Viime yönä käyttöön otettu koronapassi herättää kiinnostusta. Miten se oikein toimii? Seuraavassa muutama havainto asian teknisestä puolesta. En ota kantaa todistuksen sisältöön (rokotettu, sairastettu tms).
Omakanta-palvelussa on pdf-tiedosto, joka sisältää tiedot rokotuksen ajankohdasta, käytetystä rokotteesta sekä perusmuotoiset henkilötiedot (koko nimi, syntymäaika). Kaikki nämä tiedot on myös tallennettu QR-koodiin. Pdf-tiedoston voi ladata puhelimeen tai QR-koodista voi ottaa ruutukuvan. Live-tarkistus Omakannasta on sekin mahdollista, mutta hidasta ja kömpelöä, joten kannattaa ladata koodi puhelimeen etukäteen. Todistuksen QR-koodeineen voi myös tulostaa paperille.
Tarkastusta varten on kansallinen sovellus nimellä "Koronatodistuksen lukija", joka valmistui eilen. Sovelluskaupassa on useita lähes samanlaisia ohjelmia, joten kannattaa hyödyntää THL:n sivulla olevia suoria linkkejä: Android ja iOS (Apple). Muuten on vaara, että tulee ladanneeksi jonkin feikkisovelluksen tai sellaisen, joka takaoven kautta välittää luettuja tietoja tekijälleen.
Lukija on tarkoitettu tilaisuuksien järjestäjän käyttöön, mutta sen voi ladata kuka tahansa ja tarkistaa vaikkapa oman koodin toimivuuden.
Aivan aluksi lukijaohjelma lupaa olla keräämättä henkilötietoja. Baaria tms. varmasti kiinnostaisi tallentaa kaikkien illan aikana käyneiden asiakkaiden nimet, mutta ainakaan tämä ohjelma ei sitä tee. Joku voi tietenkin koodata oman lukijasovelluksen, joka tallentaa tiedot. Ne voisivat kiinnostaa myös viranomaisia, jos baari myöhemmin osoittautuu koronalingoksi ja altistuneet halutaan tavoittaa.
 |
| Sovellus lupaa olla keräämättä henkilötietoja. |
QR-koodi sisältää samat tiedot kuin pdf-tiedostokin, mutta suomalainen lukija näyttää niistä vain nimen ja kertoo väreillä, onko koronatodistus ("koronapassi") voimassa vai ei.
 |
| Koronapassi voimassa. |
Tarkistajan pitäisi verrata, että todistuksessa oleva nimi vastaa henkilöllisyystodistuksen nimeä, mutta luultavasti tämä tarkistus jää usein tekemättä, ja silloin passi ei ole minkään arvoinen. QR-kuva tai paperituloste voi olla täysin toiselta henkilöltä.
Nuoren henkilön on baariin pyrkiessään pystyttävä todistamaan ikänsä, mutta 40+ vuotiailla ei välttämättä ole henkkareita mukana, etenkin jos on tullut kävellen lähikapakkaan tai ei omista ajokorttia.
QR-koodin tietoja ei voi lukea tavallisen QR-lukijalla, sillä tiedot ovat koodatussa muodossa ja niissä on tietojen muokkaamisen estävä digitaalinen allekirjoitus. Oman passin väärentämisen pitäisi siis olla liki mahdotonta.
Vaikka suomalainen lukija näyttää vain nimen ja voimassaolon, QR-koodi sisältää myös syntymäajan, rokotusajankohdan ja tiedot käytetyistä rokotteista. Oma lukijaohjelma voisi purkaa nämäkin tiedot, sillä vaikka tiedot ovat koodattuja ja allekirjoitettuja, niitä ei ole salattu. Ihan helppoa oman ohjelman koodaaminen ei kuitenkaan ole.
Jos jakaa oman pdf-koronatodistuksen tai siitä otetun ruutukuvan sosiaalisessa mediassa, tulee jakaneeksi rokotustiedon lisäksi syntymäaikansa ja koko nimensä. Pelkkä QR-koodin jakaminen riittää samojen tietojen paljastamiseen. Rokotustiedot voitaneen rinnastaa terveystietoihin, mutta jos ne jakaa oma-aloitteisesti, ei asiassa pitäisi olla mitään ongelmaa.
Syntymäajasta voi lähteä arpomaan henkilötunnusta. Koko nimi voi olla hyödyllinen jossain petoksissa, mutta molempien väärinkäyttö vaatii lisätietoja. Jakamista ei voi siis pitää erityisen vaarallisena, mutta ei toisaalta suositeltavanakaan. Omien henkilötietojen levittäminen kannattaa aina minimoida.
Selaimessa toimiva irlantilainen lukija kertoo suomalaista lukijaa enemmän tietoja:
 |
| Irlantilainen koronapassin lukija. |
Uutena tietona suomalaiseen verrattuna on rokotuspäivämäärä.
Koronapassi on hieman epäonnisen Koronavilkun jälkeen osoitus siitä, miten moderni tekniikka auttaa epidemioiden hallinnassa. Tällaisia keinoja täytyy käyttää jatkossakin, mutta tietosuojahuolet on otettava vakavasti. Järjestelmään jää helposti aukkoja, joita voidaan käyttää väärin.
Koronapassin haltijalla ei ole mitään keinoa varmistaa, että tarkistajan ohjelma on virallinen, eikä kerää nimi- ja syntymäaikatietoja. Tällä hetkellä tarkastus on luottamuksen varassa.
Lisäys 17.10.2021: Kuulin, että koronapassi ei kelpaa rajalla, siellä pitää olla alkuperäinen todistus Omakannasta. Nimestään huolimatta tämä "passi" ei ole matkustusasiakirja, koronapassi on tarkoitettu vain yritysten käyttöön. Toisaalta QR-koodi sisältää kaikki tarvittavat tiedot, joten rajavartijat voisivat lukea omalla sovelluksellaan samat tiedot mitkä Omakannan todistuksesta käyvät ilmi.
Jos haluaa nähdä kaikki tiedot, voi käyttää esim. Belgian Covid Scan -lukijaa. Toisin kuin Suomen versio, ohjelma on tarkoitettu rajatarkastuksiin ja siinä on eri vaihtoehdot eri maista tuleville.
 |
| Ohjeet maahan saapuvalle. |
Varsinaiset QR-koodin tiedot näkyvät seuraavalla sivulla:
 |
| Nimi, syntymäaika, rokotteen ja rokotuksen tiedot. |
Suomen sovellus näyttää tietosuojasyistä vain minimitiedot, mikä on ihan hyvä ratkaisu koronapassin käyttötarkoitusta ajatellen.
Lisäys 20.10.2021: Uutisten mukaan joku kaupittelee väärennettyjä koronapasseja 500 eurolla. Kyse on joko a) huijauksesta, b) joku sisäpiiristä pystyy allekirjoittamaan digitaalisesti vääriä todistuksia aidolla avaimella tai c) allekirjoitusavain (sen yksityinen, salainen osa) on vuotanut, ja kohta kuka tahansa voi luoda väärennöksiä.
Löysin pimeästä verkosta myös sivun, joka lupaa eri maiden koronapasseja 75 dollarilla. Joukossa on myös Suomi:
 |
| Väärennös myynnissä 75 dollarilla. |
On todella ihmeellistä, jos joku maksaa mielummin 75 dollaria pimeän verkon tuntemattomaan palveluun kuin ottaa ilmaisen rokotuksen ja saa ilmaisen aidon passin.
