lauantai 16. lokakuuta 2021

Koronapassin tietoturva

Viime yönä käyttöön otettu koronapassi herättää kiinnostusta. Miten se oikein toimii? Seuraavassa muutama havainto asian teknisestä puolesta. En ota kantaa todistuksen sisältöön (rokotettu, sairastettu tms).

Omakanta-palvelussa on pdf-tiedosto, joka sisältää tiedot rokotuksen ajankohdasta, käytetystä rokotteesta sekä perusmuotoiset henkilötiedot (koko nimi, syntymäaika). Kaikki nämä tiedot on myös tallennettu QR-koodiin. Pdf-tiedoston voi ladata puhelimeen tai QR-koodista voi ottaa ruutukuvan. Live-tarkistus Omakannasta on sekin mahdollista, mutta hidasta ja kömpelöä, joten kannattaa ladata koodi puhelimeen etukäteen. Todistuksen QR-koodeineen voi myös tulostaa paperille.

Tarkastusta varten on kansallinen sovellus nimellä "Koronatodistuksen lukija", joka valmistui eilen. Sovelluskaupassa on useita lähes samanlaisia ohjelmia, joten kannattaa hyödyntää THL:n sivulla olevia suoria linkkejä: Android ja iOS (Apple). Muuten on vaara, että tulee ladanneeksi jonkin feikkisovelluksen tai sellaisen, joka takaoven kautta välittää luettuja tietoja tekijälleen.

Lukija on tarkoitettu tilaisuuksien järjestäjän käyttöön, mutta sen voi ladata kuka tahansa ja tarkistaa vaikkapa oman koodin toimivuuden. 

Aivan aluksi lukijaohjelma lupaa olla keräämättä henkilötietoja. Baaria tms. varmasti kiinnostaisi tallentaa kaikkien illan aikana käyneiden asiakkaiden nimet, mutta ainakaan tämä ohjelma ei sitä tee. Joku voi tietenkin koodata oman lukijasovelluksen, joka tallentaa tiedot. Ne voisivat kiinnostaa myös viranomaisia, jos baari myöhemmin osoittautuu koronalingoksi ja altistuneet halutaan tavoittaa.

Sovellus lupaa olla keräämättä henkilötietoja.

QR-koodi sisältää samat tiedot kuin pdf-tiedostokin, mutta suomalainen lukija näyttää niistä vain nimen ja kertoo väreillä, onko koronatodistus ("koronapassi") voimassa vai ei. 

Koronapassi voimassa.

Tarkistajan pitäisi verrata, että todistuksessa oleva nimi vastaa henkilöllisyystodistuksen nimeä, mutta luultavasti tämä tarkistus jää usein tekemättä, ja silloin passi ei ole minkään arvoinen. QR-kuva tai paperituloste voi olla täysin toiselta henkilöltä.

Nuoren henkilön on baariin pyrkiessään pystyttävä todistamaan ikänsä, mutta 40+ vuotiailla ei välttämättä ole henkkareita mukana, etenkin jos on tullut kävellen lähikapakkaan tai ei omista ajokorttia.

QR-koodin tietoja ei voi lukea tavallisen QR-lukijalla, sillä tiedot ovat koodatussa muodossa ja niissä on tietojen muokkaamisen estävä digitaalinen allekirjoitus. Oman passin väärentämisen pitäisi siis olla liki mahdotonta.

Vaikka suomalainen lukija näyttää vain nimen ja voimassaolon, QR-koodi sisältää myös syntymäajan, rokotusajankohdan ja tiedot käytetyistä rokotteista. Oma lukijaohjelma voisi purkaa nämäkin tiedot, sillä vaikka tiedot ovat koodattuja ja allekirjoitettuja, niitä ei ole salattu. Ihan helppoa oman ohjelman koodaaminen ei kuitenkaan ole

Jos jakaa oman pdf-koronatodistuksen tai siitä otetun ruutukuvan sosiaalisessa mediassa, tulee jakaneeksi rokotustiedon lisäksi syntymäaikansa ja koko nimensä. Pelkkä QR-koodin jakaminen riittää samojen tietojen paljastamiseen. Rokotustiedot voitaneen rinnastaa terveystietoihin, mutta jos ne jakaa oma-aloitteisesti, ei asiassa pitäisi olla mitään ongelmaa. 

Syntymäajasta voi lähteä arpomaan henkilötunnusta. Koko nimi voi olla hyödyllinen jossain petoksissa, mutta molempien väärinkäyttö vaatii lisätietoja. Jakamista ei voi siis pitää erityisen vaarallisena, mutta ei toisaalta suositeltavanakaan. Omien henkilötietojen levittäminen kannattaa aina minimoida.

Selaimessa toimiva irlantilainen lukija kertoo suomalaista lukijaa enemmän tietoja: 

Irlantilainen koronapassin lukija.

Uutena tietona suomalaiseen verrattuna on rokotuspäivämäärä.

Koronapassi on hieman epäonnisen Koronavilkun jälkeen osoitus siitä, miten moderni tekniikka auttaa epidemioiden hallinnassa. Tällaisia keinoja täytyy käyttää jatkossakin, mutta tietosuojahuolet on otettava vakavasti. Järjestelmään jää helposti aukkoja, joita voidaan käyttää väärin.

Koronapassin haltijalla ei ole mitään keinoa varmistaa, että tarkistajan ohjelma on virallinen, eikä kerää nimi- ja syntymäaikatietoja. Tällä hetkellä tarkastus on luottamuksen varassa.

Lisäys 17.10.2021: Kuulin, että koronapassi ei kelpaa rajalla, siellä pitää olla alkuperäinen todistus Omakannasta. Nimestään huolimatta tämä "passi" ei ole matkustusasiakirja, koronapassi on tarkoitettu vain yritysten käyttöön. Toisaalta QR-koodi sisältää kaikki tarvittavat tiedot, joten rajavartijat voisivat lukea omalla sovelluksellaan samat tiedot mitkä Omakannan todistuksesta käyvät ilmi.

Jos haluaa nähdä kaikki tiedot, voi käyttää esim. Belgian Covid Scan -lukijaa. Toisin kuin Suomen versio, ohjelma on tarkoitettu rajatarkastuksiin ja siinä on eri vaihtoehdot eri maista tuleville. 

Ohjeet maahan saapuvalle.

Varsinaiset QR-koodin tiedot näkyvät seuraavalla sivulla:

Nimi, syntymäaika, rokotteen ja rokotuksen tiedot.

Suomen sovellus näyttää tietosuojasyistä vain minimitiedot, mikä on ihan hyvä ratkaisu koronapassin käyttötarkoitusta ajatellen.

Lisäys 20.10.2021: Uutisten mukaan joku kaupittelee väärennettyjä koronapasseja 500 eurolla. Kyse on joko a) huijauksesta, b) joku sisäpiiristä pystyy allekirjoittamaan digitaalisesti vääriä todistuksia aidolla avaimella tai c) allekirjoitusavain (sen yksityinen, salainen osa) on vuotanut, ja kohta kuka tahansa voi luoda väärennöksiä. 

Löysin pimeästä verkosta myös sivun, joka lupaa eri maiden koronapasseja 75 dollarilla. Joukossa on myös Suomi:

Väärennös myynnissä 75 dollarilla.

On todella ihmeellistä, jos joku maksaa mielummin 75 dollaria pimeän verkon tuntemattomaan palveluun kuin ottaa ilmaisen rokotuksen ja saa ilmaisen aidon passin.

23 kommenttia:

MattiW kirjoitti...

Sakasalainen Robert Koch-Institutin Corona-Warn-App (kai paikallinen "koronavilkku") kertoo kai kaiken koodin sisältämän tiedon.

Anonyymi kirjoitti...

Tuo Irlannin sivu näyttää että minulla on voimassa oleva koronapassi, samoin Hollannin sovellus. Mutta tämä kotimainen lukija ilmoittaa ettei passi ole voimassa. Kuinka tämä on mahdollista?

Petteri Järvinen kirjoitti...

Pitäisikö passin olla voimassa? Mitä Omakanta sanoo?

Anonyymi kirjoitti...

Omakannassa on voimassa oleva todistus, toinen rokotus saatu jo toukokuussa.

Anonyymi kirjoitti...

Mutta siis siitä Omakannassa olevasta todistuksesta lukijasovellus sanoo ettei se ole voimassa.

Anonyymi kirjoitti...

Omakannan rokotustiedoissa voi olla esim. sellainen virhe, että rokotusmääränä on ensimmäisen jälkeinen 1/2, vaikka toinenkin on annettu ja sen päivämäärä on oikein. Tämä riittää siihen, että suomalainen lukijasovellus näyttää punaista.

Anonyymi kirjoitti...

Todistuksessa rokotusmäärä on 2/2 kuten pitääkin, ja silti suomalainen sovellus näyttää punaista.

Petteri Järvinen kirjoitti...

Sitten ohjelmassa saattaa olla bugi. Tämä kannattaa raportoida Solitalle.

Anonyymi kirjoitti...

Raportoitu on sekä THL:lle että Solitalle että myös oman kunnan tartuntatautiyksikölle siltä varalta että tiedoissa on jotain pielessä. Tiedän myös toisen henkilön jolla on ihan sama juttu, että sovellus ei hyväksy virallista todistusta.

Anonyymi kirjoitti...

Tällä QR-koodin kaikkien tietojen dekoodaus käy helposti (tietoturvaan en ota kantaa):
QR-koodin lukijasovellus -> merkkijono -> https://dencode.com/string (Decoded Base45/Zlib/COSE/CBOR)

Anonyymi kirjoitti...

Tiedoista paljastuu aikaleima noin vuosi eteenpäin toisesta rokotuksesta, jonka jälkeen lukijasovellus alkaa näyttää punaista. Epidemian hallinnassa varmaan ihan paikallaan, mutta tästä yksityiskohdasta ei ole muistettu kertoa suurelle yleisölle

Petteri Järvinen kirjoitti...

Tartuntatautilain 58 i § muutos on voimassa vain vuoden loppuun asti, joten koronatodistuksen lukijaa ei nykytiedon mukaan tule käyttää sen jälkeen.

Toisaalta koronavilkunkin piti toimia vain maaliskuun loppuun, mutta aikaa pidennettiin kun epidemia ei talttunutkaan.

Anonyymi kirjoitti...

Solitalta Sami Köykkä vastasi jo sähköpostiini, että iPhone-sovelluksessa on vika, jonka takia se hylkää vanhimpia todistuksia. Kunhan tuo on saatu korjattua niin saapa nähdä alkaako se tunnistaa minunkin qr-koodini. Näin lienee syytää olettaa, koska ulkomaiset lukijat sen kuitenkin jo nyt hyväksyvät.

Zarr kirjoitti...

Ei tuo dekoodaus ja varmistus nyt *niin* vaikea koodattava ole.

https://github.com/HQJaTu/vacdec/tree/signature-verification

241 riviä Pythonia + muutama tukitiedosto kuten allekirjoituksissa käytetty certti.

Anonyymi kirjoitti...

Toukokuussa saatu todistus ei ollut vielä EU-kelpoinen todistus, tuli vasta myöhemmin. Minulla 3 rokotusta ja siitä EU-kelpinen todistus omakannaata, suomalainen koronatodistulukija kertoo: ei voimassa!

Anonyymi kirjoitti...

Ei toimi minullakaan iPhonen koronatodistuksen lukija. Sanoo vain "Koronatodistus ei voimassa".

Alla oleva kommentti ei muuten selvennä asiaa, tai sitten en ymmärtänyt mistä on kyse.

"Lisäys 17.10.2021: Kuulin, että koronapassi ei kelpaa rajalla, siellä pitää olla alkuperäinen todistus Omakannasta."

En ole kuullut että olisi olemassa jotain muuta kuin omakannasta ladattu pdf-tiedosto jonka voisi näyttää rajalla. Nyt annat ymmärtää että olisi joku vaihtoehtoinen "koronapassi".

Petteri Järvinen kirjoitti...

Lukijalta tulleen palautteen mukaan rajaviranomaiset halusivat nähdä pdf-tiedoston - ehkä he eivät käytä lukijaohjelmaa, joka on tarkoitettu yritysten ja yleisötilaisuuksien järjestäjien käyttöön. Ihan sama todistus on kyseessä, ei ole kuin yksi rokotustodistus. Voi olla, että kyse oli väärinkäsityksestä - varmuuden vuoksi pitäisin kuitenkin pdf-version todistuksesta mukanani, jos liikkuisin rajojen yli.

Anonyymi kirjoitti...

Nyt se iPhonen lukijan ongelma on korjattu, ilman uutta ohjelmaversiota. Sovellus on suljettava ja sitten käynnistettävä uudelleen. Sen jälkeen se ainakin minulla toimii oikein, eli näyttää että todistus on voimassa. Nyt se lukee todistuksen myös Apple walletista ja siitä Apple watchiin siirrettynä qr-koodina myös oikein.

Anonyymi kirjoitti...

Ja se siitä tietoturvasta. Toki voidaan vaan peruuttaa sertti ja luoda uudet.

https://www.tivi.fi/uutiset/tv/c76b6bfc-42f3-4271-aff4-93a8c68bea61

Anonyymi kirjoitti...

Minä en rokotetta ota. En käy missään kun kaupassa. Passia en tartte.

Matkailu ei kiinnosta. Töitä ei ole.

Kotona nautitaan päivistä internetissä. Mitä muuta voi vaatia?

Parturi on kotona, ravintola keittiössä, elokuvateatteri sohvalla. Sosiaaliset tilanteet internetissä. Ruoan saa tarvittaessa kotiinkin asti. Päivittäistavaran tilaan Kärkkäiseltä ilmaisella toimituksella suoraan kotiin. Kuntosali on kotona, täällä minä harjoittelen.

Mihin koronapassia tai -rokotetta tarvitaan erakolle?

Markus kirjoitti...

Asiasta kukkaruukkuun. Koronatodistuksen/passin saa nykyisin kätsysti Apple Walletiinkin muidenkin "maksukorttien" yhteyteen. Eli se on kännykässä aina mukana. Näyttää QR-koodin, nimen, rokotetyypin, kuinka monta kertaa rokotettu. Vähän samalla tavoin luetaan kuin laivaliputkin sun muut siitä "kirkastetulta" kännykän ruudulta.

Eli passin näyttäminen on kuin maksutapahtuma. Kaksoisnapsaus lukitusnapista. "korttiviuhka" tulee esille ja sieltä vain valitsee covid-passin.

Anonyymi kirjoitti...

Siis mitä vittua?

Mihin koko koronapassia tarvitaan ainakaan Suomen sisällä. Epidemia leviää, koska ei voida muka laittaa rokotuspakkoa


Koronapassin tavoitteena on painostaa rokottamattomia bilenuoria ottamaan rokote. Saatana, me kahteen kertaa rokotetut kärsimme tästä Neuvostoliiton-tyylisestä kansalaisten listaamisesta ja proopuskakulttuurista.

Ei tämä epidemia millään Koronavilkulla ja Koronapassilla parane. Se sijaan Orwell-digitalisaatio lisääntyy.

QR on hakkeroitavissa ja moni muukin. Miksi pitäisi tehdä jollekin vitun portsarille selkoa henkilöllisyydestään, kun on reilusti täysi-ikäinen – suorastaan toinen jalka haudassa? Olen ollut eräiden maiden passintarkistuksessa WHO:n paperisen rokotustodistuksen kanssa ja sen ymmärrän. Rajalla henkilöllisyys muutenkin tarkastetaan.

En mene mihinkään missä tarvitaan koronapassia, vaikka olen kahdesti rokotettu. Ilmoitin THL:lle etten halua koko vitun passia, mutta sinne se Kantaan vain ilmestyi.

Tää on yhtä saatanan pelleilyä ja kansalaisten henkilökohtaisten tietojen rekisteröimistä ja vuodattamaista. Hyvän asian eli epidemian hoitamisen varjolla. Voi vinetto!

Anonyymi kirjoitti...

Hauska, kuinka samat ihmiset valittaa yksityisyydestä anonyymina, mutta kuitenkin kroolaavat nettiä niin paljon, että pelkkä Google tai joku VPN firma tietää niiden nettikäyttäytymisen hyvin tarkasti. Sitten se tärkein kysymys on toki, että onko perus Matti Meikäläisellä mitään niin kiinnostavaa elämässä, että oikeastaan moniakaan kiinnostaa vaikka ne vuodettaisi kuten Vastaamossa konsanaan.