Zasebnostna analiza aplikacije za preverjanje izpolnjevanja PCT pogojev

mjtk je 1. avg 2021 ob 15:58 izjavil:

krneki2021 je 1. avg 2021 ob 15:47 izjavil:

...In podatki so zares nekodirani in lahko berljivi. Edina "koda" je to, da so notri v base45 in iz ministrove qr kode oz. teksta, ki ga qr koda nosi, se da v pol sekunde dobiti ven vse njegove podatke....

mešaš pomen sifrirano in kodirano. to ni isto.

base45 je kodiranje.

šifriranje pa je nebruteforcabilno kriptografsko sifriranje(encryption). odsifriraš lahko le s pomočjo dešifrirnega ključa.


anyway tudi sifriranje ne bi ređilo problema. oz bi ustvarlo kup novih. Edino kar vidim je pametno nenaivno HASHANJE (+ klic na nijz server api )

Kolikor sem razumel nekega vladnega kekca, pocnejo tocno to... stejejo obiske in ce se preveckrat zgodi isti osebi, kodo zavrnejo. Edina resitev bi bila vpis recimo serijske iz osebne izkaznice. In konkretno povecanje stevila inspektorjev z recimo tedensko prepovedjo nadaljnega obratovanja, ce te dobijo, da si v "obrat" spustil nepreverjeno osebo / osebo z ne-njenim potrdilom. Da imajo gostinci (in ostali) interes preverjati.

misek je 1. avg 2021 ob 16:09 izjavil:

Sicer me to na forumu sploh več ne preseneča ampak zakaj ljudje pišete tehnične zadeve o delovanju te qr kode, covid potrdila, podpisovanja, če jih ne razumete? Dajte najprej vsaj malo prebrati kaj ta QR koda sploh je, kaj je v njej, kako delujejo digitalni podpisi, pa še kaj. Da ne bo takih zapisov

krneki2021 je 1. avg 2021 ob 15:47 izjavil:

Ce bi si vzel 5min casa, jih pa verjetno brez tezav zamenjam s svojimi podatki in generiram qr kodo z mojimi podatki, katera bi bila verjetno vec kot dovolj dobra tudi za preverjanje inspektorjev na terenu.

Če bi to bilo tako enostavno potem zadeva ne bi imela nobenega smisla.

Za začetek dve povezavi:
https://ec.europa.eu/info/live-work-tra...
Digital signature @ Wikipedia

Nekje na slo-techu sem ze objavil link kaj je notri, samo se mi ne da iskat. Bottom line, te podatki ne bi smeli biti nikoli vidni navzven, cisto dovolj je samo id, ki se ga preveri online. To, da so aplikacijo malo pobrikali, da jih ne kaze ni nobena resitev, edino kar je smiselno je, da se zadeva obdeluje server side. Ampak to so ze odprtokodni kreteni v osnovi zahebali, nihce ni razmisljal o potencialnih zlorabah potrdila, recimo sledenju kupcem. Buhuhu, elektronski podpis, ta bo vse resil, ja.

Utk je 1. avg 2021 ob 16:10 izjavil:

zmist je 1. avg 2021 ob 16:06 izjavil:

mjtk je 1. avg 2021 ob 15:58 izjavil:

krneki2021 je 1. avg 2021 ob 15:47 izjavil:

...In podatki so zares nekodirani in lahko berljivi. Edina "koda" je to, da so notri v base45 in iz ministrove qr kode oz. teksta, ki ga qr koda nosi, se da v pol sekunde dobiti ven vse njegove podatke....

mešaš pomen sifrirano in kodirano. to ni isto.

base45 je kodiranje.

šifriranje pa je nebruteforcabilno kriptografsko sifriranje(encryption). odsifriraš lahko le s pomočjo dešifrirnega ključa.


anyway tudi sifriranje ne bi ređilo problema. oz bi ustvarlo kup novih. Edino kar vidim je pametno nenaivno HASHANJE (+ klic na nijz server api )

Kolikor sem razumel nekega vladnega kekca, pocnejo tocno to... stejejo obiske in ce se preveckrat zgodi isti osebi, kodo zavrnejo. Edina resitev bi bila vpis recimo serijske iz osebne izkaznice. In konkretno povecanje stevila inspektorjev z recimo tedensko prepovedjo nadaljnega obratovanja, ce te dobijo, da si v "obrat" spustil nepreverjeno osebo / osebo z ne-njenim potrdilom. Da imajo gostinci (in ostali) interes preverjati.

Ne, edina rešitev je čip pod kožo.

Imam bolj preprosto, nagnati vse egoisticne pizde na antarktiko in jih pustiti tam. Ali pa kaksno dzunglo centralne Afrike. Da bi se lahko upraviceno obnasali, kot, da so sami na tem svetu. To bi resilo vse tezave.

krneki2021 je 1. avg 2021 ob 15:47 izjavil:

Choc je 1. avg 2021 ob 14:14 izjavil:

Niso šifrirani, so samo digitalno podpisani, da ne moreš spreminjati vsebine. Za dobiti ključ digitalnega podpisa pa... Good luck z brute force :)

Zakaj pa bi rabil brut forcati digitalni podpis? Podpis je ena stvar (to kar ime pravi, podpis), kodiranje je druga stvar. Pri podpisu ni potrebe po brute forcanju kljuca, dokler zelis podatke zgolj brati. In podatki so zares nekodirani in lahko berljivi. Edina "koda" je to, da so notri v base45 in iz ministrove qr kode oz. teksta, ki ga qr koda nosi, se da v pol sekunde dobiti ven vse njegove podatke. Ce bi si vzel 5min casa, jih pa verjetno brez tezav zamenjam s svojimi podatki in generiram qr kodo z mojimi podatki, katera bi bila verjetno vec kot dovolj dobra tudi za preverjanje inspektorjev na terenu.

Če bi želel spremeniti podatke iz QR kode in narediti veljaven digitalni podpis.

sigmundfreud je 1. avg 2021 ob 14:10 izjavil:

Edina rešitev za nadzor bi bila online aplikacija, ki preverja hash z bazo v centralnem strežniku. Sem bil nekoliko (tehnično) razočaran, ko sem ugotovil, da temu ni tako. Enaka šola kot z davčnimi blagajnami...

Online aplikacija bi bila bottleneck, poleg tega pa bi omogocila centralno sledenje gibanja ljudi... se dobro da temu ni tako in da je mozno/zahtevano offline preverjanje.

Choc je 1. avg 2021 ob 16:40 izjavil:

Če bi želel čez mejo, kjer bodo podatke iz QR kode primerjali z osebno izkaznico ;)

To je kaznivo dejanje s kaznijo do treh let zapora, s tem se ne bi hecal.

Potem se ti bolj splača it na črno čez mejo. Manjša kazen in nobene šanse, da greš v zapor.

zmist je 1. avg 2021 ob 16:06 izjavil:

mešaš pomen sifrirano in kodirano. to ni isto.

Zares je meni kristalno jasna razlika med tema dvema pojmoma. Digitalni podpis in brute force le-tega, ki ga je omenjal tisti, kateremu sem odgovarjal, pa pri vsem tem ne igra vloge

misek je 1. avg 2021 ob 16:09 izjavil:

Če bi to bilo tako enostavno potem zadeva ne bi imela nobenega smisla.

Za začetek dve povezavi:
https://ec.europa.eu/info/live-work-tra...
Digital signature @ Wikipedia

Ja saj mogoce pa vseeno le nima nekega strasnega smisla. In se enkrat mi je kristalno jasno kaj je digital signature.

No in ce ni tako preprosto, tole je iz ministrove kode... Vse kar rabis je da zamenjas njegove podatke s svojimi, ter generiras base45 tekt iz katerega potem generiras QR code... pa bos sel verjetno lahko tudi cez mejo, ker se bodo podatki ujemali s tistimi na osebni.
QR koda:

HC1:NCFOXN%TSMAHN-HOZS2P8K/UUDJDPR0II8 N 43-KG/EBRG2C+3A4D3K9TIC*BSQHIZC4.OI1RM8ZA*LPBX2GHKW/F3IKJ5QH*AA:GLLO$/AL4L+0EZ0J5:DE7T-0L+ 20%0$$0+5PE700OP.58IMI4UUIMI.J9WVHWVH+ZE5%P/T1VLIWQHMXAUF2OP6 WURTE-E6%J6%/HZT5AQ5 W5HCLEWA/G9GYPU3B+G9/G9MVPO$9Q$9GLUYJE$P6*C0 L6MXPK*R3T3+7A.N8RK4R$F/MAMXP6QS03L0QIRR9TL2/*GCY0+-CVYCRMTB*05*9O%0HJP7NVDEBK3JL2JVZ0CNN 2JIGF5JNBPIOSU$+NF1WOUK3UQME6 .VQ$F%+NMSGXZQVG93QK9NTUU4/NST*QGTAAY7.Y7N31BASY1W.-NABMQ0OI+D.:8.LT07E%W619OGWCYZCSA5 ZNBHHKMM:FS:+GQNAX/5KBVQ+443NA*6 JFNVQ*J1S.IM1I9+MYWTE/09 Q%30 KD%0

Pa se lepsi bolj razumljiv tekst:

{
"1": "SI",
"4": 1632297887,
"6": 1624521887,
"-260": {
"1": {
"v": [
{
"ci": "URN:UVCI:01:SI:C57F79FF97E528B0E053#P",
"co": "SI",
"dn": 2,
"dt": "2021-06-18",
"is": "Nacionalni in\u0161titut za javno zdravje",
"ma": "ORG100001699",
"mp": "EU/1/21/1529",
"sd": 2,
"tg": "840539006",
"vp": "J07BX03"
}
],
"dob": "1979-02-09",
"nam": {
"fn": "JANEZ",
"gn": "POKLUKAR",
"fnt": "JANEZ",
"gnt": "POKLUKAR"
},
"ver": "1.3.0"
}
}
}

zmist je 1. avg 2021 ob 16:06 izjavil:

Kolikor sem razumel nekega vladnega kekca, pocnejo tocno to... stejejo obiske in ce se preveckrat zgodi isti osebi, kodo zavrnejo. Edina resitev bi bila vpis recimo serijske iz osebne izkaznice. In konkretno povecanje stevila inspektorjev z recimo tedensko prepovedjo nadaljnega obratovanja, ce te dobijo, da si v "obrat" spustil nepreverjeno osebo / osebo z ne-njenim potrdilom. Da imajo gostinci (in ostali) interes preverjati.

Zelo verjetno to ni res, ker se podatki iz qr kode lahko preverjajo tudi offline, kar pomeni, da ni nikjer zapisov, da se je podatek preveril. Za povrhu ni potrebe oz. ni obvezno preverjanje z aplikacijo NIJZ (no tako ali tako je do sedaj ni bilo, ceprav je bilo preverjanje obvezno). Enako se nikamor ne zapise preverjanje papirjev, tako da je tisto "stetje obiskov" BS nekoga, ki mu ni jasno kako stvar dela... no ja saj ce objavi vse svoje podatke tako javno, potem mu se vse kaj drugega ni jasno.

Točno tako, ne vem ali se krneki2021 heca ali nekaj ne razume :D

ajdov2 je 1. avg 2021 ob 17:04 izjavil:

zadeva bi bila boljša, če bi se preverjalo cepilne kartončke

Smo pa ja v letu 2021 - kakšni kartončki

Choc je 1. avg 2021 ob 17:07 izjavil:

Cepilne kartončke se lažje ponareja. QR kode (načeloma) ne moreš ponarediti (razen če bi nekdo prišel do privatnega ključa).

ne rabiš ponaredit, samo skopiraš

Choc je 1. avg 2021 ob 17:07 izjavil:

Oz. bi za vsak cepilni kartonček moral online preverjati v sistemu.

(so 1990 :D)

daš gor eno hologramsko nalepko in bo za večino ljudi preveč dela s ponarejanjem

Zares je meni kristalno jasna razlika med tema dvema pojmoma.

Več kot očitno je, da ti NI jasno. Policaju bi se morda izpisali tvoji podatki, ampak samo zato, da bi znal koga zapret, ker bi bila qr koda očitno ponarejena, ker se podpis ne bi ujemal.

Hrvaška aplikacija CovidGo izpiše vse podatke - tudi datum cepljenja in s čim si bil cepljen.

Kolega je delal analizo in prišel do vmesnika za generiranje QR kod. Ne vem pa točno kaj to pomeni, ali je koda podpisana ali ne. Je pa omenil, da je bil vmesnik od neke druge države, ne Slovenije.

misek je 1. avg 2021 ob 18:13 izjavil:

Še malce branja: https://ec.europa.eu/health/sites/defau...

stran 24:

The verifier app realizes a workflow of the following steps during verification: 
  Scanning of QR Code4 
  Base45 Decoding 
  COSE Signature Extraction 
  CBOR-to-JSON Decoding 
  Fetching the Signature’s Public Key 
  Verification of COSE Signature with Public Key 
  Verification of CBOR Content, Comparison with Deny-List*

Le kaj tukaj počne Fetching the Signature’s Public Key in Verification

Preverja se veljavnost podpisa in s tem veljavnost potrdila, ampak sami podatki niso šifrirani! Zgolj digitalno podpisani.

Še vedno trdim, da gre za problem v razumevanju s strani IP, ki problematizira aplikacijo v smislu, kaj lahko prikaže in kaj ne. Sama aplikacija ni nič "kriva", saj le izpiše, kar je v QR kodi. Podatki so objavljeni že v QR kodi. Namesto aplikacije bi bilo treba cenzurirati že samo QR kodo oz. potrdilo.

misek je 1. avg 2021 ob 18:18 izjavil:

Miha 333 je 1. avg 2021 ob 18:15 izjavil:

Preverja se veljavnost podpisa in s tem veljavnost potrdila, ampak sami podatki niso šifrirani! Zgolj digitalno podpisani.

Ja. Torej kako ponarediti QR kodo? Nikakor. In znano je, da so podatki v prosti obliki.

Dokler se ne preverja pripadnost določeni osebi, ne rabiš ničesar ponarejati, ampak samo izposoditi od kolega, mame, punce, ... V tem je problem.

krneki2021 je 1. avg 2021 ob 17:56 izjavil:

No ja potem mi pa ni. Do sedaj nihce od vas niti do tega ni prisel kako preposto prebrati podatke iz kode pametujete pa o podpisih kriptiranjih kodiranjih in stetju obiskov. In ne trenutno se mi ne da ukvarjati s tem, kar je napisal Misek, ko/ce se mi bo dalo, bom pa poskusil spremeniti podatke iz te QR kode in generirati svojo ter jo spustiti skozi aplikacijo pa da vidimo kaj bo rekla. Ampak zares dvomim, da bo stvar zavrnjena. No ko/ce se mi bo dalo (ali pa ce bo Misek nasel 5min casa in to naredil pred mano) bom pa videl kaj od tega drzi.

Bo zavrnejna, ker za preverjanje rabiš samo javni ključ, ki pa je že shranjen v aplikaciji, tako da preverjanje seveda deluje tudi offline.

Mora bi pa IBM priskočil na pomoč? Imajo dosti izkušenj s tem iz WW2.

Utk je 1. avg 2021 ob 18:22 izjavil:

Miha 333 je 1. avg 2021 ob 18:17 izjavil:

Še vedno trdim, da gre za problem v razumevanju s strani IP, ki problematizira aplikacijo v smislu, kaj lahko prikaže in kaj ne. Sama aplikacija ni nič "kriva", saj le izpiše, kar je v QR kodi. Podatki so objavljeni že v QR kodi. Namesto aplikacije bi bilo treba cenzurirati že samo QR kodo oz. potrdilo.

Tako je. Zato ta kolobocija niti v teoriji ne more delovat, v praksi pa še manj. Čudno samo, da evropska ustavna sodišča to dovolijo, in kolk časa še.

To je namerno tako, da rešijo te probleme (ki so jih sami ustvarili), nam bodo ponudili čip v katerem bo vse shranjeno.

Jaz prerokujem, da se bo kmalu razvila QR "kodez" scena. Najbolj iskani torenti 2021.

enako temu, kot če bi zahtevali, da se osebne izkaznice gleda skozi šablono, ki prekrije del kartice.

Še huje je. Zahtevamo, da država in kelnarji prisežejo, da bojo gledali samo skozi šablono. Vedet pa ne moreš.

zmist je 1. avg 2021 ob 20:55 izjavil:

LeQuack je 1. avg 2021 ob 18:15 izjavil:

Zanimivo da to da so te kode sploh obstajajo nobenega več ne moti, zdaj ste že kar sprejeli to kot samoumevno.

A te moti, da imas osebno? Kaj pa potni list? Hitro se pojdi pritozit na sodisce za clovekove pravice. Bumbar.

Da, mene moti, že to da jo moram imet in prenašat naokoli, da je moram še pokazat vsakič ko grem na sekret, je pa kaplja čez rob. Se bom pa na pragu poscal.

Sej, zato pa pravimo, cepite se, čim več.

Utk je 1. avg 2021 ob 20:59 izjavil:

Sej, zato pa pravimo, cepite se, čim več.

Ali pa pac se drzite ukrepov lockdowna in cepljenje ne bo vec potrebno - ceprav... ja... najvecjih cloveskih iztrebkov se nisem omenil, obiskovalcev spanije, hrvaske ipd. Te so pa zagotovilo, da tudi noben lockdown ne bo deloval. Ampak hebe se njim, samo da lahko gredo v svojo barako na morje za nekaj tednov, tudi, ce je zaradi njih lockdown potem celo zimo. Samo, da si ga lahko drkajo v hrvaski makiji.

acookook je 1. avg 2021 ob 21:00 izjavil:

Ne vem kje vidite, da ni imena in priimka, sem vnesel potrdilo od drugega pa sta ime in priimek zraven. Posodobitev kaže 29.07.

Dekodiraj podatke. Pozabi kaj ti aplikacija kaze, spremenili so jo, da ne pokaze vsega. Itak bo en slovenski kreten slej ko prej plasiral aplikacijo za android, ki bo to znala, zraven pa bo se sporocala vse podatke na facebook. Ker pokvarjenost primitivcev iz programerskih vrst ne pozna meja.

Samo egoistična pizda si domišlja, da je naravno imuna na virus.