Sicherheitstechnik Elektronischer Imfpass

Habe gerade das hier gelesen

Die Daten der Geimpften, Name, Geburtsdatum, Impfstatus sowie Informationen zum verwendeten Impfstoff, werden bei der PKI als Datensatz verschlüsselt und mit Hilfe des privaten Schlüssels des Ausstellers des Impfnachweises digital signiert. Über den dazugehörigen öffentlichen Schlüssel kann der Datensatz überprüft werden

Eine zentrale Datenbank mit personenbezogenen Daten sollte es nicht geben.

Quelle: FAZ.net

Ich verstehe das so: Beim Erstellen des Impfzertifikats werden die Daten mit dem privaten Schlüssel verschlüsselt. Die Daten können mit dem dazugehörigen öffentlichen Schlüssel entschlüsselt werden, also nach dem selben Verfahren wie bei einer Email-Signatur.

  • Woher hat die auslesende Stelle den öffentlichen Schlüssel? Es sollen ja keine personenbezogenen Daten zentral gespeichert werden. Das kann man über eine Id im QR-Code lösen. Man kann das Zertifikat jedenfalls nur mit Online-Verbindung zu einem zentralen Schlüsselserver lesen.

  • Was soll geschützt/zertifiziert werden? Es wird damit ja nur sichergestellt, dass der QR-Code mit einem (beliebigen) privaten Schlüssel erstellt wurde. Kopiere ich QR-Code auf das Gerät einer anderen Person, funktioniert der Impfnachweis damit auch fur diese Person. Man muss, um sicher zu gehen, also immer eine Identitätsprüfung über Personalausweis machen.

  • Was passiert mit dem privaten Schlüssel, nachdem man den QR-Code erzeugt hat? Wer diesen Schlüssel hat, kann ja beliebig gültige Zertifikate erstellen.

Zusatzfrage:
Ich habe auf den Abbildungen des elektronischen Impfpass kein Foto gesehen. Wie soll geprüft werden, ob das Handy zu dieser Person gehört oder nur (kurz) ausgeliehen wurde?
Genau das passiert heute schon mit den Test-Bescheinigungen, wo auch kein Foto drauf ist. Der Lokal-Besitzer ist ja nicht verpflichtet, einen Personalausweis zu prüfen um Adresse zu vergleichen.
Gruß Michael

Gar nicht.
Hat man Zweifel wird man einen Lichtbildausweis verlangen.

Das ist doch beim gelben Impfpass nicht anders, auch er ist in dem Sinne „übertragbar“ und gilt nur zusammen mit einem amtlichen Lichtbildausweis.

1 Like

Da frag ich mich dann, warum man so einen Aufwand mit „fälschungssicher“ betreibt, wenn man die Dinger einfach ausleihen kann. Wie gesagt, der Wirt, Kinokasse usw. wird kaum den Ausweis überprüfen - wenn er das überhaupt darf.

Der Wirt, der Kassierer an der Kinokasse usw. ist derjenige, der das Hausrecht ausüben darf. Nennen wir diesen Menschen also mal „Hausrauber“ (Abkürzung für Hausrechtausübungsberechtigter).

Hausrauber darf das vorzeigen des Ausweises nicht verlangen. Hausrauber darf aber sagen: „Ich lass dich gerne rein, wenn du mir deinen Ausweis zeigst. Du musst mir deinen Ausweis natürlich nicht zeigen, wenn du das nicht magst. Aber ich wiederum muss dich nicht reinlassen, wenn ich nicht mag. Und ich teile dir hiermit mit dass ich dich nicht reinlassen werde, wenn du mir deinen Ausweis nicht zeigst. Die Entscheidung liegt bei dir, zeig mir deinen Ausweis oder lass es bleiben.“

1 Like

Jaa, das ist das, was ich an unseren Medien liebe.

Gestern abend:
Erfahren sie gleich, wie der digitale Impfpass genau funktioniert!
Unter „genau“ verstehen die, dass sie erläutern, dass man ne App braucht, dass die Apotheken irgendwas damit zaubern, und dann man dann so ein lustiges Muster auf dem Handy hat, mit dem man überall reinkommt.


Letztendlich steht da, dass der private Schlüssel des Ausstellers zum Einsatz kommt. Der Bürger ist das also nicht, und darf es auch nicht sein. Keine Ahnung, ob dann jede Stelle, an der man den Ausweis bekommt, als Aussteller gilt, oder ob eigentlich z.B. die Stadt oder die Krankenkasse der wahre Aussteller ist, und die Stellen, zu denen man hingeht, nur die Ausführenden sind.

Das heißt aber auch, dass die Anzahl der Schlüssel nicht so wahnsinnig hoch ist, und sich nach kurzer Zeit nicht alle drei Minuten ändert.
Und das heißt, dass ein Kontrolleur sich täglich die neuesten öffentlichen Schlüssel runterlädt, und dann den ganzen Tag offline Ausweise kontrollieren kann.

Man erreicht so, dass die persönlichen Daten ausschließlich beim Büger liegen, und sonst nirgends.
Den privaten Schlüssel hat er nicht, damit er die Daten nicht manipulieren kann. Das würde dem Kontrolleur sofort auffallen.

Natürlich wird bei all dem nicht geprüft, ob die Person im Ausweis auch die Person ist, die da steht. Das geht nur über Perso etc und so. Das ist aber doch nicht erst seit dem digitalen Impfpass so.


Was mich nur sehr stutzig macht: Der Ausweis ist ja digital, und deshalb sieht man in dem Zusammenhang immer ein Handy mit nem QR-Code in den Medien.
Aber das ganze ist meines Wissend doch so gedacht, dass der gesamte Datensatz, den der Bürger bekommt, statisch ist, und sich nicht mehr ändert. Demnach reicht es vollkommen, den QR-Code auch ausgedruckt dabei zu haben.
Natürlich könnte man auf nem Handy noch andere Dinge damit treiben, aber der Imfpnachweis alleine ist mit dem Code auf Papier möglich.

Ich fürchte nur, in Zukunft wird man irgendwo nicht reingelassen, weil man den QR-Code nicht auf dem handy sondern auf papier dabei hat.

1 Like

Ja… wobei…

Wir haben die niedrigen Inzidenzen und das schöne Wetter jetzt ausgiebig genutzt. In nur einem einzigen Bistro wurden wir neben dem Schnelltest auch nach dem Ausweis gefragt.
Was schön und gut ist - würde die Teststation auch danach fragen.

Konkret bedeutet das also, die Apotheke, der Arzt, das Impfzentrum, die Teststelle haben einen privaten Schlüssel, mit dem sie alle Impfpässe erzeugen. Offen ist, ob das ein individueller Schlüssel des Ausstellers ist oder ein gemeinsamer Schlüssel aller Apotheken, aller Apotheken einer Stadt oder eines Landes und ob der Schlüssel dauerhaft verwendet oder regelmäßig erneuert wird. Die zugehörigen öffentlichen Schlüssel sind zentral abrufbar. Jedem Zertifikat kann über eine im QR-Code enthaltene Kennung der passende öffentliche Schlüssel zugeordnet werden. Das Ergebnis der Entschlüsselung ist Name, Geburtsdatum, Gültigkeit der Impfung bzw. des Tests oder Immunisierung.

Der Zugang zu den privaten Schlüsseln muß also gut geschützt werden und es müssen Mechanismen vorgesehen sein, die verhindern, dass nicht alle damit bereits erstellten Impfpässe ungültig werden, wenn ein solcher Schlüssel in falsche Hände gelangt.

Vielleicht ist das ja alles irgendwo beschrieben.

Moin,
ich sehe auch das Problem, dass ich da nur einen QR-Code habe, bei dem jemand dann nachlesen kann „Lieschen Müller ist geimpft“.

Es wäre besser, wenn man irgendwie Passfoto und Impfbestätigung verheiraten könnte.

Hier gibt es eine Alternative, nämlich eine kommerzielle App. Dazu muss man lediglich ein Foto seines Personalausweise über die App an den Anbieter hochladen, dort sitzen dann Hilfskräfte die die Angaben auf Plausibilität prüfen und das Profil manuell freischalten. Ein Kontrolleur scannt den QR-Code vom Handy und bekommt anschließend auf seinem Endgerät das Passfoto des Benutzers und dessen Impf- / Teststatus an.

Der Anbieter sagt sinngemäß: „Macht euch über Datenschutz keine Gedanken. Wir sind das Tochterunternehmen eines kleinen Anbieters von Abrechnungslösungen im Gesundheitssektor und kooperieren bei der App mit einem total dynamischen, jungen Unternehmen. Und im Gesundheitssystem ist sowieso alles total sicher und vertrauenserweckend - wir also auch.“

Da ich diese App bei einer Veranstaltung nutzen sollte, habe ich mich da zähneknirschend registriert - aber die Nummer meines Perso mit dem dicken Daumen abgedeckt. Das Profil wurd abgelehnt. Hatte sich dann für mich definitv erledigt.

Der Grundgedanke ist aber praxisorientierter als der mit einem sogenannten „digitalen Ausweis“, der ohne zusätzlichen Identitätsnachweis wertlos ist.

Schön wäre ein Impfpass, der nur aus QR-Code und Foto besteht (sonst keine Daten). Erst wird der Ausweis gescannt, direkt danach ein QR-Code der App (in der App würde der Impfstatus lokal gespeichert, aber weder Bild noch andere Daten). Erst der Scan des analogen Ausweiskärtchens sorgt dafür, dass der Kontrolleur mit dem Code vom Handy zum Impfstatus kommt.

Berechtigte (Ärzte und Co.) scannen ebenfalls den analogen Ausweis, tippen in deren App die soeben verabreichte Impfung ein, worauf ein QR-Code erstellt wird, der vom Handy des Impflings gescannt wird und der App den neuen Impfnachweis freigibt.

Das würde mit Foto, aber sonst datensparsam, mit Zwei-Faktor-Authentifizierung und offline funktionieren.
Der analoge Ausweis alleine ist wertlos, das Handy mit der App alleine ist wertlos. Und beide zusammen funktionieren nur, wenn das Foto passt.

Oder übersehe ich da was?

Was ich den Berichten in den Medien auch nicht entnehmen kann, ist, ob der ab heute erhältliche digitale Impfpass identisch mit dem europäischen Green Pass ist und somit auch bei Reisen ins europäische Ausland gilt. Das würde ja voraussetzen, dass die kontrollierenden Stellen im Ausland auch Zugriff auf die öffentlichen Schlüssel haben und deren Lesegeräte den deutschen Verschlüsselungsalgorithmus implementieren.

1 Like

Ja!

Das Problem mit den Mechanismen ist:
Mit dem öffentlichen Schlüssel kann auch gespeichert werden, ab wann er ungültig wird.
Jetzt muß man zu dem Impfpass dazu schreiben, wann er ausgestellt wurde, um zu prüfen, ob er VOR dem Ungültig werden erstellt wurde. Diese Information darf… NICHT im Pass selbst stehen, denn dann kann ich als Betrüger ja einen Pass generieren, der angeblich Anno 1502 ausgestellt wurde…
Der eigene Pass muss also doch wieder mit irgendwas verknüpft werden, auf das ein Betrüger selbst mit privatem Schlüssel keinen Zugriff hat.
Also doch wieder öffentliche Datenbank, in der zumindest drinsteht, dass genau dieser Pass gültig ist.

@X_Strom:

Im Prinzip schlägt das in die gleiche Kerbe.
Man könnte das Foto mit in den Datensatz aufnehmen, der ausschließlich im Impfpass selbst enthalten und vor manipulation geschützt ist.
Allerdings ist ein Foto so groß, dass es nicht mehr in einen QR-Code rein passt. Es müsste daher in einer sicheren Datenbank gespeichert werden, und dem prüfer dann auf SEINEM gerät angezeigt werden.

Interessant… n-tv.de schreibt:

Es ist schon bezeichnend…

Im ersten Absatz steht, daß man den Code mit dem Handy und der speziellen App scannen soll, und man dann das Handy überall vorzeigen kann.

Erst fünf Abschnitte später steht, dass man zur not, also ja, also… eigentlich braucht man das Handy nicht, es reicht auch der ursprünglich ausgedruckte Code.
Das Handy tut also nichts weiter, als diesen Code speichern und auf Verlangen nochmal anzeigen. Man könnte mit dem Handy auch einfach ein Foto machen, und das vorzeigen.

Das wird garantiert in die Richtung laufen, dass man nur mit Handy irgendwo rein kommt, wenn man nen Code auf Papier vorzeigt, darf man draußen bleiben.

Warum sollte der ungültig werden?

Asymmetrische Verschlüsselung funktioniert so, dass es einen geheimen Schlüssel zum VERschlüsseln gibt. Und einen öffentlichen zum ENTschlüsseln. Den geheimen Schlüssel könnte man nach dem Verschlüsseln auch wegwerfen. Und der Schlüssel zum Entschlüsseln wird natürlich niemals ungültig - wozu auch? Und wie stellst du dir die dann jedesmal notwendige Neuverschlüsselung der Nachricht rein praktisch vor?

Anyway: hier wird gar nichts verschlüsselt. Hier wird Zertifiziert. Mit einer Baumstruktur von Zertifikaten. Analog zum „httpS“. Stells’s dir als aufgemotzte Prüfsumme wie bei der IBAN vor.

Anyway 2: was genau nutzt ein angeblich fälschungssicherer QR-Code angesichts dessen, dass die Fälschung bereits vorher stattfinden kann und angesichts dessen, dass das völlig fälschungsunsichere Original (der Impfpass) genauso als Nachweis dient?

Anyway 3: Online prüfen? Damit man auch sieht, wo ich mich aufhalte? Und damit auch andere das sehen können?

Anyway 4: SICHERE Online-Abfrage?

https://www.ccc.de/de/updates/2021/impfausweise-beenden-keine-pandemien

Hi!

Schlüssel haben meist ein Ablaufdatum. Oder man kann sie bereits vorher für ungültig erklären, wenn der private in falsche Hände gefallen ist.

In dem Fall funktionieren sie weiterhin prinzipiell, allerdings wird bei der Prüfung des Dokuments dann festgestellt, dass der Schlüssel nicht mehr gültig ist.

Da du https ansprichst: Auch da gibt es ein Ablaufdatum, und wenn der Betreiber das verpennt, dann bekommst du als Benutzer eine nette Warnung angezeigt, die sich mit 345 Klicks dann umgehen lässt. Natürlich funktioniert die Seite dennoch. (Und ist https nicht auch verschlüsselt?)

Und zwar mittels Verschlüsselung, wie du ja beschrieben hast:

Der Herausgeber des Zertifikats verschlüsselt die Daten so, dass sie nur mit seinem öffentlichen Schlüssel dekodiert werden können.

Kannst du näher erläutern, wo im Fall des Impfpasses eine Baumstruktur vorliegt.

very off topic:

er hat „Baumstruktur“ gesagt!

5 Like

Nein. Das Ablaufdatum bezieht sich nur auf das Zertifikat, das die Identität des Schlüssels bestätigt. Für die Verschlüsselung oder Entschlüsselung ist das völlig überflüssig. Und selbstverständlich kann man nicht die Entschlüsselung von Nachrichten dadurch verhindern, dass das Datum des Zertifikats abgelaufen ist. Auch nicht die Entschlüsselung von neuen Nachrichten, wenn man nicht das Schlüsselpaar wechselt.

Bei Https wird der Schlüssel jedesmal neu ausgehandelt. Das Zertifikat soll nur bestätigen, wer die Daten liefert. Wenn diese Bestätigung abgelaufen ist, funktioniert die Verschlüsselung immer noch, aber man kann sich nicht sicher sein, ob nicht ein völlig anderer Server die Daten liefert (der Server eines Hackers?).

Bei der Zertifizierung. Die elektronischen Gesundheitsdienste der EU (eHealth) haben das Master-Zertifikat. Und sie geben Zertifikate weiter an die einzelnen Länder. Die wiederum Zertifikate an verschiedene Impfpassersteller weiter verteilen können. Ggf. über ihre Bundesländer als weitere Ebene des Baums.

Die Daten werden nicht in dem Sinne verschlüsselt, dass man sie nicht mehr lesen kann. Das ergäbe ja auch keinen Sinn.


https://digitaler-impfnachweis-app.de/faq