De onzekerheid neemt toe rond de app CoronaCheck die bewijst dat je gevaccineerd bent dan wel negatief ben getest of eerder corona hebt gehad. Op het ministerie van Volksgezondheid, Welzijn en Sport (VWS) nemen de twijfels toe.

De problemen spitsen zich toe op mensen die wel twee keer een vaccin hebben gehad maar daarna toch positief zijn getest. Na een besmetting zou hun qr-code moeten worden ingetrokken. Maar dan verdwijnt de informatie dat iemand twee keer een vaccinatie heeft gehad. En dat is dan definitief. Als iemand naderhand weer gezond is kan de oude status over de inentingen niet meer worden hersteld.

Het grote probleem met het systeem is dat vanwege de privacy het privédeel van de sleutel van het certificaat is gekoppeld aan de qr-code. Die heb je persoonlijk alleen op je eigen telefoon staan en staat nergens anders geregistreerd. De qr-scanner controleert off-line of de qr-code geldig ondertekend is met het certificaat. Zowel de telefoon van de gebruiker als van de scanner hoeven daarbij niet online te gaan.

Het alternatief is de certificaten in een database (Certificate Revocation List) op te nemen. Dan kan de scanner online checken of een qr-code (certificaat) al dan niet geldig is. Dit valt te vergelijken met het groene of rode slotje in een internetbrowser. Bij deze oplossing moet wel een stukje privacy worden ingeleverd. 

Ad Koolen, cryptodeskundige bij Compumatica, voelt het meest voor de tweede optie: ‘Door qr-codes tegen een database met vervallen certificaten te houden kan iemands status worden ingetrokken.’ Maar VWS is daar huiverig voor. Dit in verband met mogelijke privacy-problemen. Koolen zelf ziet die moeilijkheden overigens niet. Een database met certificaten kan zodanig zijn ingericht dat deze alleen zegt of een qr-code al dan niet is ingetrokken....

...Los van dit probleem bestond eerder op de dag enige vrees dat in Nederland de geheime (privé)sleutels van qr-codes waren gestolen. Het leek erop dat in Polen en Frankrijk Europese qr-codes waren gelekt. Maar van een lek lijkt vooralsnog minder waarschijnlijk. De indruk bestaat dat een medewerker van de Poolse/Franse GGD die toegang had tot het systeem, een ‘grap’ heeft willen uithalen. 

Alles bij de bron; Computable


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha