Du kanske snart har en extra app på din telefon:ett digitalt vaccinationspass som låter personer som har vaccinerats mot covid-19 resa, gå in på företagsanläggningar och delta i evenemang. Att inte ha appen kan neka människor åtkomst.

Teorin säger att vaccinationspassappar kan hjälpa samhället att öppna igen trots fortfarande höga infektionsrisker, inklusive från mer smittsamma och dödliga stammar av coronaviruset, eftersom de tillåter skyddade människor att återuppta normala aktiviteter samtidigt som de håller människor sårbara för infektion borta från högriskmiljöer.

Vaccinationspass, dock, kan ha oavsiktlig, negativa konsekvenser. Och bortom etiska frågor, att bygga vaccinationspassappar är långt ifrån okomplicerat. Som cybersäkerhetsforskare, Jag ser flera utmaningar, inklusive hur man bäst garanterar säkerhet och integritet, och att få folk att lita på verifieringssystemen.

Lurig på detaljerna

Som nationalitet, vaccinstatus är inte synlig för andra. Pass och statliga ID har länge använts för att bevisa identitet, medborgarskap och födelsedatum, och Världshälsoorganisationens carte jaune, eller gult kort, har tjänat denna roll för att bevisa vaccinationer för internationella resor. Dessa förlitar sig på regeringar som betrodda tredje parter.

Mycket ligger fortfarande i luften när det gäller appar för vaccinationspass. Den här månaden, EU tillkännagav sina planer för vaccinationspass. Av initial dokumentation att döma, systemet är tänkt att vara decentraliserat, förlitar sig på att hälsomyndigheter utfärdar certifikat som endast lagrar nödvändig information. I synnerhet, det tillåter pappers- och appbaserade certifikat.

I vilket fall, verifiering skulle baseras på digitala signaturer, och alla hälsouppgifter skulle förbli hos den utfärdande myndigheten eller medlemsstaten. Dock, medan konceptdokumentet är lovande, vad som rullas ut och om någon bryter mot reglerna genom att lagra eller spåra data återstår att se.

CommonPass-appen som byggs av en internationell ideell organisation verkar vara den mest utvecklade vaccinationspassappen. Den dokumenterar för närvarande testresultat. Dock, medan dess tillverkare hävdar att poster endast kommer att lagras lokalt på användarnas enheter, appen är stängd källkod, och den enda dokumentationen är en ytlig FAQ.

Israel har lanserat sin "gröna pass"-app, som verifierar att en person har vaccinerats eller har återhämtat sig från covid-19, men systemet har väckt integritets- och säkerhetsproblem. Flera andra länder har också lanserat vaccinationspassappar för internt bruk, inklusive Kina och Saudiarabien.

Hur en idealisk app fungerar

Appdesigners står inför en svår uppgift:De måste skapa ett system som är säkert, integritetsskydd, lätt att använda, kompatibel med så många enheter som möjligt, mycket skalbar och kan verka över gränserna. Systemet kommer att behöva spåra institutioner som tillhandahåller vaccinationsposterna och förtroendekedjorna – de digitala handskakningarna som bevisar att varje del av systemet är vad det utger sig för att vara – och länkar dessa register till appen.

Det är att föredra för användare och organisationer som måste verifiera register för att hantera färre appar, vilket innebär att varje app skulle ha många användare. Säkerhetssårbarheter i dessa nyckelapplikationer skulle alltså få omfattande inverkan. Det stora antalet användare ökar också incitamentet för angripare som skulle tjäna på att missbruka en betrodd, hälso relaterat, myndighetsstödd app.

Därför, det är viktigt för vaccinpassappar att maximera integriteten genom att samla in och behålla endast nödvändig data, liknande vad EU föreslår. Detta skulle innefatta identitet, typ av vaccin och vaccinationsdatum. Detta minskar inte bara intern missbruk av data, men det minskar också risken vid överträdelser.

En fråga om tillit

Vem kan man lita på att bygga och underhålla den här appen? Vissa människor oroar sig för statlig och privat övervakning. Verkligen, det finns anledning till oro:appar för vaccinpass kan bli obligatoriska eller nästan obligatoriska, koppla identitet till personlig hälsoinformation, och, beroende på genomförandet, kan användas för att upprätta detaljerade personliga profiler, inklusive rörelsemönster.

Privata företag finns för att tjäna pengar och skulle därför ha incitament att tjäna pengar på passappar, vanligtvis genom datautvinning eller försäljning. Regeringsstödda appar kan ge upphov till oro för övervakning och medborgarnas rättigheter.

Därför, att bygga förtroende, det är viktigt att klargöra koncept och design i förväg, dokumentera vilka uppgifter som kommer att samlas in och behandlas, och hur. Som praktiseras av den tyska kontaktspårningsappen, alla passapplikationers backend och frontend måste vara helt öppen källkod och penetrationstestad av säkerhetsexperter för att bygga upp allmänhetens förtroende.

Det finns många utmaningar, men tekniken för att bygga en pålitlig, säker och integritetsrespekterande vaccinationspassapp är tillgänglig. Teknologi, dock, är bara en del av bilden. Det är också viktigt att överväga ett vaccinpasssystem i samband med covid-19 och samhället som helhet.

Törstiga frågor

Regeringar kommer att behöva överväga mer djupgående konsekvenserna av att kräva en vaccinationspassapp för att få tillgång till restauranger eller gym på platser där vaccindoser inte är lätta och billigt tillgängliga för alla, som är större delen av världen.

Passappar skapar ojämlikhet mellan vaccinerade och ovaccinerade individer. De som valts ut av regeringar för att vaccineras först skulle åtnjuta betydande privilegier. I USA., dessa har tenderat att vara oproportionerligt äldre, rikare och vitare. Yngre människor och färgade samhällen – båda grupperna har drabbats särskilt hårt av effekterna av pandemin – är mer benägna att lämnas utanför. Således, dessa appar kan öka sociala spänningar.

De upplevda säkerhetsvinsterna kan också få olika oavsiktliga konsekvenser. Till exempel, för tidig öppning kan öka överföringen från vaccinerade men infekterade individer eller genom ökat beskydd som kräver mer ovaccinerad personal på plats.

Sist men inte minst, att kräva passappar kan uppmuntra de ovaccinerade att felaktigt framställa sin status, om man ska klara sig, att hålla fast vid ett jobb, eller helt enkelt för att undvika att bli utanför, ytterligare öka infektionsriskerna.

Därför, på platser som USA, där alla villiga individer snart kommer att vaccineras, det vore vettigt att vänta med att rulla ut vaccinpass tills alla har fått chansen att bli vaccinerade. Andra, det måste vara klart, öppna och offentliga diskussioner om vad dessa appar ska ge och hur de ska fungera.

En mer analog metod som inte behöver en smartphone eller app för att fungera skulle vara mer tillgänglig, billigare och mer integritetsbevarande. EU:s tillvägagångssätt, som det ser ut just nu, tillåter användning av pappersdokument, verifierbar med QR-kod. Ett liknande system utvecklas också av en MIT ideell organisation. Dessa semi-digitala metoder kan hackas, men det kan appar också

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.