Europeiska unionens digitala covid-vaccinationscertifikat på papper. Kredit:Nataliya Vaitkevich / Pexels, CC BY-SA 4.0
Covid-vaccinationspass har visat sig vara extremt splittrande under coronavirus-pandemin, på grund av frågor som rör medborgerliga friheter eller deras potential att diskriminera de mer vaccintveksamma grupperna i samhället.
Men eftersom många regeringar runt om i världen driver på med implementeringen av dem i ett försök att stävja spridningen av covid-19, har säkerheten för vår data blivit en stor anledning till oro.
Många COVID-pass fungerar genom att producera en QR-kod eller 2D-streckkod för varje användare som kan skannas som bevis på vaccination. Streckkoderna som används i vissa av dessa pass är inte så säkra eftersom de inte genereras med krypterad data. De skulle dock kunna göras säkra om nationella regeringar, internationella organisationer och globala teknikföretag arbetar tillsammans för att få ut det mesta av de spännande möjligheter som denna teknik erbjuder.
Inbäddat i streckkoden finns en verifierbar legitimation som styrker vaccinationsstatus och ett antal personliga detaljer beroende på streckkodens format. Dessa innehåller sannolikt användarens fullständiga namn och födelsedatum. För att säkerställa äkthet och förhindra bedrägerier innehåller streckkoden också en unik digital signatur som genereras utifrån dess innehåll.
Ett antal vaccinpassprogram har redan hamnat i brand för bristande säkerhet, inklusive de i New York och Quebec, som har kritiserats för att tillåta människor att få tag i andras streckkoder genom att ange deras uppgifter. För att mildra vissa farhågor har EU etablerat sin egen öppna standard för vaccinpass – EU Digital COVID Certificate (EUDCC). Den har antagits av de 27 EU-staterna och 18 andra länder.
Detta har dock inte åtgärdat det faktum att innehållet i certifikatet inte är krypterat, så alla som har tillgång till streckkoden (och nödvändiga kunskaper) kan avkoda den och hämta den personliga informationen som finns däri. Detta gäller covid-pass i EU, Kanada, Storbritannien, Kalifornien och Nya Zeeland. Det finns bara små skillnader i hur data kodas – men i alla dessa fall är den inte krypterad.
För att kryptera covid-certifikatets innehåll måste det finnas en så kallad krypteringsnyckel kopplad till certifikatet och ägarens digitala identitet. För närvarande krypterar de flesta COVID-streckkoder inte sitt innehåll på grund av bristen på digital identitetsinfrastruktur samt kravet att fungera offline. Detta sätter en användares personliga information i fara.
Det finns också ett annat problem med de nuvarande covid-certifikaten. De är undertecknade av emittenten (till exempel NHS) med hjälp av en region- eller landsspecifik nyckel eller kod. Om någon skulle få nyckeln kan de skapa ett falskt certifikat. Myndigheterna skulle behöva svara på de bedrägliga covid-passen genom att återkalla den komprometterade nyckeln, vilket skulle innebära att alla redan existerande covid-certifikat skulle bli ogiltiga.
Varför använda streckkoder
Fram till nyligen har digital identitetshantering för en datoranvändare bestått av ett enkelt användarnamn och lösenord. Det är ett system som i huvudsak har fungerat i mer än 60 år. Men den nuvarande explosionen av onlineinnehåll, cybersäkerhetsutmaningar och integritetsproblem driver behovet för en användare att ha mer kontroll över sin egen digitala identitet.
Vår identitet består i huvudsak av miljontals små sanningar om oss själva. Verifierbara referenser i en streckkod skulle kunna göra det möjligt för oss att bara dela en enda sanning snarare än hela vår identitet, för att passa den specifika situationen om data är tillräckligt krypterad.
Till dess ära gör covid-certifikatet just det. Det är ett enkelt bevis på en individuell sanning som i teorin gör att du kan visa att du har vaccinerats utan att ge några andra detaljer. Det faktum att certifikatet inte är helt säkert indikerar frånvaron av en mer robust digital identitetsinfrastruktur.
Möjliga risker
Frånvaron av denna bit av det digitala identitetspusslet måste rättas till någon gång i framtiden. Tills dess kan de nuvarande covid-passen vara öppna för missbruk.
De personuppgifter som ingår i vaccinationsintyget är inte särskilt känsliga till nominellt värde, eftersom de ofta lätt kan hittas på andra platser som körkort, skolböcker eller pass. Men i framtiden, när den här tekniken är mer utbredd, kommer vi förmodligen att använda liknande certifikat som innehåller verifierbara referenser i i stort sett alla aspekter av våra liv – till exempel för att komma åt en byggnad eller tjänster, eller för att godkänna köp (både i butik och online) ).
Detta har positiva och negativa konsekvenser för användarna. På plussidan kommer vi bara att behöva tillhandahålla den minsta mängden personlig information på ett mycket användarvänligt sätt. Vi kommer till exempel att kunna registrera oss på webbplatser utan att ens ange ett namn.
Men om vi presenterar osäkra streckkoder på många ställen, som var och en innehåller små enstaka sanningar om oss själva, så kan dessa så småningom potentiellt kombineras och identiteten för den individ som de relaterar till kan äventyras.
Det är så många cyberkriminella för närvarande arbetar, och kombinerar data från olika informationskällor, vilket gör att en persons digitala identitet kan konstrueras över tid. Detta kan leda till en ökad risk för identitetsstöld, och potentiellt kunna användas som grund för en mängd olika cyberbrott.
Men för alla dessa farhågor om digitala pass bör vi komma ihåg att om det kan göras säkert i internationell skala, har denna typ av digital identitetsteknik en betydande potential för medborgarna – och inte bara för vaccinationsintyg.