1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Corona: Unzählige Sicherheitslücken…

Anonyme, datensparsame Lösung!?

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Anonyme, datensparsame Lösung!?

    Autor: Sandeeh 23.03.21 - 18:38

    Also nur die notwendigsten Informationen für eine halbwegs sichere Validierung & Verifizierung sollten erfasst werden, beispielsweise so:

    - Geburtsdatum (YYYYMMDD)
    - Initialen von Vor- und Nachnamen (
    - Impfdatum, Impfcharge und Impfort
    - Zufallszahl (128 bit key)

    Das alles wird gehashed und in einen QR-code gepackt, welcher
    - vom impfenden Arzt in einer "zentralen" Datenbank registriert und
    - dem Geimpften in Form eines (laminierten) Kärtchens ausgehändigt wird.

    Die QR-Information selbst lässt keine Rückschlüsse auf eine konkrete Person. Erst in Verbindung mit einem weiteren Ausweisdokument liese sich ein Abgleich herstellen (Verifizierung) und der QR-Code selbst kann gegen die zentrale DB validiert werden, das dieser tatsächlich beim Impfen ausgestellt und nicht anderweitig "generiert" wurde.

    Man könnte den QR-Code natürlich jemand anderem geben, aber dann müssten schon zwei merkmale (Geburtsdatum und Initialen) genau übereinstimmen. Die Menge, auf welche das Zutrifft betrachte ich als vernachlässigbar. Dafür wäre dies eine datensparsame, recht einfache Lösung?!

    Grüße, Sandeeh

  2. Re: Anonyme, datensparsame Lösung!?

    Autor: DreiChinesenMitDemKontrabass 23.03.21 - 19:57

    Sandeeh schrieb:
    --------------------------------------------------------------------------------
    > Die QR-Information selbst lässt keine Rückschlüsse auf eine konkrete
    > Person. Erst in Verbindung mit einem weiteren Ausweisdokument liese sich
    > ein Abgleich herstellen (Verifizierung) und der QR-Code selbst kann gegen
    bräuchte man dann nicht auch die ungehashte Zufallszahl?

    Wie auch immer das löst ja auch noch nicht das beschriebene Problem mit den Ärzten. Es könnte sich jeder als Arzt ausgeben und ein Eintrag in der Datenbank machen

  3. Re: Anonyme, datensparsame Lösung!?

    Autor: MFGSparka 24.03.21 - 11:47

    DreiChinesenMitDemKontrabass schrieb:
    --------------------------------------------------------------------------------
    > Sandeeh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die QR-Information selbst lässt keine Rückschlüsse auf eine konkrete
    > > Person. Erst in Verbindung mit einem weiteren Ausweisdokument liese sich
    > > ein Abgleich herstellen (Verifizierung) und der QR-Code selbst kann
    > gegen
    > bräuchte man dann nicht auch die ungehashte Zufallszahl?

    Es wird der Hash des QR-Codes mit einem Hash in der Datenbank verglichen. Mehr Informationen stehe nicht zur Verfügung und werden, in dem Skizzierten Prozess, auch nicht benötigt.
    Was Sandeeh nicht genau beschrieben hat ist, sollten die Daten im Klartext in der Datenbank stehne? Aber davon gehe ich mal stark aus, sonst wäre ein Impfdatum nicht mehr zu überprüfen.

    > Wie auch immer das löst ja auch noch nicht das beschriebene Problem mit den
    > Ärzten. Es könnte sich jeder als Arzt ausgeben und ein Eintrag in der
    > Datenbank machen

    Ein absolut valider Punkt.



    1 mal bearbeitet, zuletzt am 24.03.21 11:49 durch MFGSparka.

  4. Re: Anonyme, datensparsame Lösung!?

    Autor: DreiChinesenMitDemKontrabass 24.03.21 - 21:43

    MFGSparka schrieb:
    --------------------------------------------------------------------------------
    > Es wird der Hash des QR-Codes mit einem Hash in der Datenbank verglichen.
    > Mehr Informationen stehe nicht zur Verfügung und werden, in dem Skizzierten
    > Prozess, auch nicht benötigt.
    dann könnte man den QR code einfach jm anders geben. Es war bestimmt anders gemeint.

    > Man könnte den QR-Code natürlich jemand anderem geben, aber dann müssten schon zwei merkmale (Geburtsdatum und Initialen) genau übereinstimmen
    und
    > Das alles wird gehashed und in einen QR-code gepackt
    und
    > Erst in Verbindung mit einem weiteren Ausweisdokument liese sich ein Abgleich herstellen (Verifizierung)

  5. Re: Anonyme, datensparsame Lösung!?

    Autor: Sandeeh 25.03.21 - 08:56

    DreiChinesenMitDemKontrabass schrieb:
    --------------------------------------------------------------------------------
    > MFGSparka schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Es wird der Hash des QR-Codes mit einem Hash in der Datenbank
    > verglichen.
    > > Mehr Informationen stehe nicht zur Verfügung und werden, in dem
    > Skizzierten
    > > Prozess, auch nicht benötigt.
    > dann könnte man den QR code einfach jm anders geben. Es war bestimmt anders
    > gemeint.

    Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record) dienen. Die Nutzinformationen (Initialen, Impfdatum) sollen im Klartext auslesbar bleiben. Die Weitergabe wird hierdurch erschwert, weil man erstmal jemanden mit den gleichen Merkmalen finden muss.

    Das Problem bleibt weiterhin die Vertrauenswürdigkeit der Registrierung der QR's in der Datenbank. Es muss sichergestellt werden, das nur tatsächlich am Impfprogramm teilnehmende Ärzte einen (schreibenden) Zugang (verknüpft mit einer UniqueID) erhalten. Eine 100%ige Sicherheit, das der Arzt auch den Impfstoff verabreicht hat, gibt's hingegen nie. Es muss aber möglich sein, im Falle von bekanntwerdender "Unregelmäßigkeiten" bei einem Arzt die entsprechende UniqueID zu sperren und damit eingereichte Datensätze in einem bestimmten Zeitraum zu invalidieren.

    Das sind ganz normale Security-Anforderungen und eigentlich nichts besonderes. Sollte ein Projekt und deren Business Analysten und Software-Architekten normalerweise auf die Reihe bekommen - entsprechende Erfahrung aus früheren Projekten vorausgesetzt. ;-)

    Grüße, Sandeeh

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Savencia Fromage & Dairy Deutschland GmbH, Wiesbaden
  2. Richter-Helm BioLogics GmbH & Co. KG, Bovenau
  3. Knappschaft Kliniken Service GmbH, Bochum
  4. über Hays AG, Thüringen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Ryzen 7 5800X für 469€)
  3. (u. a. PS5 + HD Kamera für 549,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme