Digitaler Impfausweis - Wie funktioniert der?

CommanderZed

OpenBSD User
Teammitglied

Wenn ich das richtig verstehe wird nur einmalig der immer gleiche QR-Code generiert.

Dort wird der Name angezeigt, den man zb mit einem Perso gegenprüfen kann, oder verstehe ich das komplett falsch?

Es ist sozusagen einfach nur eine alternative zum klassischen Impfbuch wenn man das zb nicht unbedingt mitschleppen möchte, ist ja auch nicht dafür gedacht immer dabei zu sein.

Soviel ich weiß sollen weitere Anwendungen folgen.

Klingt doch eigentlich jetzt nach ner "halbwegs sinnvollen" Lösung für ein Problem, insb. wenn man die beteiligten (EU, Bundesregierung etc.) sowie den Zeitraum bedenkt.

Soweit ich das sehe brauchst du dafür aber ein passendes Smartphone mit mindestens Android 6 und Google-Diensten bzw ein passendes iPhone (z.B. das gut abgehangene iphone 6)
Das finde ich jetzt auch keine so unrealistische Plattformentscheidung wenn man weite teile der Bevölkerung erreichen möchte ;)
 

pit234a

Well-Known Member
also im Vorbeigehen erklärte mir meine Frau erstaunt, dass sie nun einen QR Code geschickt bekam, nachdem sie in einer Apotheke schon einen erhalten konnte. Leider habe ich nicht gefragt, wer ihr das zugeschickt hat. Geimpft wurde sie im Rahmen ihrer Tätigkeit vom Arbeitgeber. Aber offenbar gab es da einen Automatismus der einen Brief mit QR-Code gebracht hat.
Was da ansonsten noch drin steht, muss ich dann mal nachfragen.
 

Yamagi

Possessed With Psi Powers
Teammitglied
Wenn die Adresse des Geimpften dem Gesundheitsamt bekannt ist, wird der QR automatisch zugeschickt. Das sollte nach und nach gehen und ich meine bis Ende Juli abgeschlossen sein. Bekannt ist sie immer bei Impfung im Impfzentrum, oft bei Impfung über den Betriebsarzt und eigentlich nie bei einer Impfung beim Hausarzt. Bei Hausärzten ergibt es sich über das indirekte Abrechnungsmodell und das man dort verständlicherweise nicht noch mehr Bürokratie auf der letzten Meile zwischenschalten wollte.
 

pit234a

Well-Known Member
Wenn die Adresse des Geimpften dem Gesundheitsamt bekannt ist, wird der QR automatisch zugeschickt. Das sollte nach und nach gehen und ich meine bis Ende Juli abgeschlossen sein. Bekannt ist sie immer bei Impfung im Impfzentrum, oft bei Impfung über den Betriebsarzt und eigentlich nie bei einer Impfung beim Hausarzt. Bei Hausärzten ergibt es sich über das indirekte Abrechnungsmodell und das man dort verständlicherweise nicht noch mehr Bürokratie auf der letzten Meile zwischenschalten wollte.
genau das kann ich so nun bestätigen, nachdem ich eben meine Frau nochmal fragte.
Ihre Firma hat die Impfungen "an ein Impfzentrum angehängt" durchgeführt und dieses informiert und dieses wieder das Gesundheitsamt und so kam dann der QR-Code.
Mein Hausarzt hatte mir das ähnlich erklärt, aber da kam bisher noch nichts, ich bin aber auch etwa zwei drei Wochen meiner Frau hinterher und habe eh keinen Bedarf, weshalb ich auch nicht nachfrage oder in der Apotheke einen QR abholen möchte.
 

serie300

Well-Known Member
Was ich jetzt immer noch nicht rausbekommen habe - Ist der QR Code, der ja anscheined reicht (ich kann mein altes Mobile behalten :-) ), mit einem (geheimen) Code einer Bundes- / Länderbehörde (z.B. mit GPG) signiert, sodaß man das digitale Zertifikat und dessen Integrität prüfen kann oder nicht. In den von CommanderZed angeführten Links finde ich nur "Der digitale Impfnachweis ist kryptographisch vor Veränderungen geschützt." und "Im Gelben Impfpass wird nach erfolgter Corona-Impfung neben der Unterschrift und dem Stempel auch ein Aufkleber der Charge eingeklebt. Das Tool kann nicht überprüfen, ob die Impfung echt ist. Impfungen werden in Deutschland nicht zentral erfasst.", aber nichts genaues. Wäre ja sinnvoll, daß eine Lese Anwendung die Echtheit mit einem öffentlichen Schlüssel verifiziert.
 

morromett

Well-Known Member
... und eigentlich nie bei einer Impfung beim Hausarzt. Bei Hausärzten ergibt es sich über das indirekte Abrechnungsmodell und das man dort verständlicherweise nicht noch mehr Bürokratie auf der letzten Meile zwischenschalten wollte.
Bei privat versicherten Patienten kennt der Hausarzt immer die Anschrift des Patienten.
Ab Mitte Juli sollen auch Arztpraxen, das Impfzertifikat ausstellen können. Quelle: https://sozialministerium.baden-wue...startet-am-montag-mit-digitalem-impfnachweis/
 

Yamagi

Possessed With Psi Powers
Teammitglied
In https://digitaler-impfnachweis-app.de/download/pdf/Impfpass-Datenschutzhinweise_DE.pdf steht:

Um ein digitales COVID-Zertifikat zu erstellen, ist es erforderlich, dass Ihre Daten zur Ihrer Corona-Impfung, dem Test oder Ihrer Genesung durch das RKI mit einer sogenannten elektronischen Signatur versehen werden. Dabei handelt es sich um eine besondere Form der Verschlüsselung, die wie eine elektronische Unterschrift des RKI funktioniert und sicherstellt, dass es sich um ein offiziell vom RKI erstelltes digitales Dokument handelt.

Die zuständige Einrichtung, von der Sie Ihr COVID-Zertifikat erhalten (z.B. Impfzentren, Ärztinnen und Ärzte sowie Apotheken und im Fall von Testzertifikaten auch Teststellen) erfasst für die Signatur je nach Art des Zertifikats Ihre Impfdaten, Testdaten oder Daten zur Genesung und übermittelt diese sicher ver-schlüsselt an das RKI. Das RKI signiert die Daten elektronisch und sendet sie an die Einrichtung zurück. Anschließend wird Ihnen das COVID-Zertifikat in Form des ausgedruckten QR-Codes übergeben.

Also ist das RKI der Signaturgeber. Ich habe auf die Schnelle tatsächlich nichts dazu gefunden, aber der Digitale Impfnachweis in der ganzen EU akzeptiert wird und er in der Zukunft eventuell noch auf weitere Länder ausgeweitet werden soll, kann das RKI die Suppe nicht alleine kochen. Es muss irgendeine Form von Zentralstelle geben, die die Schlüssel für diese äh nationalen Signaturen ausstellt oder zumindest verwaltet. Denn die Prüf-Apps müssen ja jede irgendwo in der EU ausgestellte Signatur verifizieren können.
 

serie300

Well-Known Member
Naja es reicht doch wenn das RKI mit seinem selbst generierten geheimen schlüssel signiert und den öffentlichen bei der EU veröffentlicht . Traurig aber daß man nicht klar kommuniziert, was man macht. Meint man, daß den Bürger das eh nicht interessiert oder ist da was mit security by obscurity verbaut.
 

morromett

Well-Known Member
Es muss irgendeine Form von Zentralstelle geben, die die Schlüssel für diese äh nationalen Signaturen ausstellt oder zumindest verwaltet.
Es gibt keine Zentralstelle. Jedes Land hat eine Datenbank mit allen Schlüsseln der EU:
Jede ausstellende Stelle (z. B. Krankenhaus, Testzentrum, Gesundheitsbehörde) hat ihren eigenen digitalen Signaturschlüssel. Sämtliche Schlüssel werden in jedem Land in einer gesicherten Datenbank gespeichert.
Quelle: https://ec.europa.eu/commission/presscorner/detail/de/QANDA_21_2781
 

pit234a

Well-Known Member
"Sämtliche Schlüssel werden in jedem Land in einer gesicherten Datenbank gespeichert."
über solche Formulierungen stolpere ich natürlich.
Gesichert bedeutet ja nicht geheim, aber was bedeutet es überhaupt? Sicher im Sinne: das Symbol im Browser zeigt ein intaktes Schloss, also ist es sicher? Oder sicher wovor?

Ich glaube tatsächlich, dass sich niemand wirklich dafür interessiert, was da abgeht und wie sicher das Verfahren tatsächlich ist. Naja, einige wenige Auserwählte kümmert das womöglich schon, aber die stehen nicht in der Öffentlichkeit und machen keine Schlagzeilen.
Die Mehrheit will doch nur einen einfachen Ausweis, der noch einfacher kontrolliert werden kann, um zurück zur Normalität zu kommen. Ich glaube, dass man meine arg schwammige Formulierung versteht.
Die Konsumenten, die Anbieter, Veranstalter, Dienstleister aber auch die Politiker wollen das. In Mehrheit will man keine schlechten Nachrichten und keine Verunsicherung mit einem QR-Code, sondern da soll nun endlich etwas kommen, das eine einfache und sichere Lösung darstellt.

Das ist, wie bei einem Schnelltest der Prüfer mir sagte: "wir wollen ja nicht, dass positiv wird, da gehe ich mal nicht so tief rein..."
Am liebsten wäre doch der Mehrzahl der Leute, wenn wir dieses Corona einfach und endlich für beendet erklärten. Es reicht doch jetzt aber wirklich!
Und in diesem Sinne sehe ich diese QR-Code Geschichte. Eine Art Plakat, das man vor sich her tragen möchte und allen zu zeigen: seht, ich bin geimpft, ich darf wieder normal!

Von Technik und Sicherheit will doch da niemand mehr was wissen. Darum sollen sich Andere Gedanken machen.
 

foxit

Well-Known Member
Ich glaube tatsächlich, dass sich niemand wirklich dafür interessiert, was da abgeht und wie sicher das Verfahren tatsächlich ist.
Warum sollte sich den "niemand" dafür interessieren? Wer will, kann das tun. Ich hab doch einen Link gepostet [1]. Zwar die Schweizer Variante aber man bekommt doch einen guten Eindruck davon, wie das System funktioniert.

Am liebsten wäre doch der Mehrzahl der Leute, wenn wir dieses Corona einfach und endlich für beendet erklärten. Es reicht doch jetzt aber wirklich!
Und in diesem Sinne sehe ich diese QR-Code Geschichte. Eine Art Plakat, das man vor sich her tragen möchte und allen zu zeigen: seht, ich bin geimpft, ich darf wieder normal!
Oh bitte lass es einfach sein! Diese Diskussion brauchen wir hier jetzt aber wirklich nicht!

[1] https://github.com/admin-ch/CovidCertificate-Documents
 

pit234a

Well-Known Member
Warum sollte sich den "niemand" dafür interessieren? Wer will, kann das tun.
Ich meine nicht, dass niemand sich dafür interessieren soll, ich meine, dass kaum jemand sich dafür interessiert.
Diese Diskussion brauchen wir hier jetzt aber wirklich nicht!
Heute redete ich mit fünf Leuten, vielleicht auch sechs. Keiner davon wollte irgendwas zur Technik der Corona-QR-Codes und dahinter liegender Sicherheit wissen. Zwei haben den "unerwünschten Werbemüll" entsorgt: was soll ich denn mit so einem Code? Die anderen haben ihn zusammen mit anderen Papieren mal in die Brieftasche/Handtasche gesteckt, sehen aber keinen Bedarf und zeigen gar kein Interesse daran, schon überhaupt nicht an den möglichen Sicherheitsmängeln. Was ein solcher Code kann und welche Daten er womöglich enthält, interessierte keinen.
Das war heute und ist natürlich nicht repräsentativ.

Aber all meine Gespräche der letzten Tage gehen in die gleiche Richtung.
Scheinbar alle Leute, die ich so kenne, interessieren sich für Schutzmaßnahmen und dafür, was man wieder darf und sinnvoller Weise auch tun kann. Für QR-Codes hat sich bisher niemand interessiert, die werden allenfalls genutzt, aber nicht hinterfragt.

Das wollte ich auch nicht diskutieren. Es ist ein Gefühl, das ich mit meinen eingeschränkten gesellschaftlichen Kontakten bekomme und das wollte ich beschreiben, auch als Antwort auf einen vorhergehenden Beitrag von @serie300

Aber nun sieht es so aus, als würde ich nur noch versuchen, mich auf eine erteilte Schelte von @foxit zu rechtfertigen.
Offensichtlich ist indessen, dass er zumindest von meinem Worten nicht in der Weise angesprochen wurde, die ich mir erhoffte. Dieses Problem habe ich ja generell. Ich weiß einfach nicht, wie andere Menschen ticken und kann sie immer nur schlecht erreichen.
 

medV2

Well-Known Member
Ich kann das von @pit234a aus meiner Bubble bestätigen. Bis auf die, welche ebenfalls im IT Umfeld arbeiten interessiert sich KEINER von meinen Freunden für den QR Code. Gut das man ihn hat, am besten mit der App, die muss ja für was da sein, immerhin gibt es sie ja. Was aus datenschutztechnischer Sicht dahinter steht interessiert keinen.

Kann vermutlich dem Durchschnittsuser aber auch egal sein, wer sich nicht um seine Daten bei FB, Google und Co gedanken macht, braucht jetzt nicht bei der CoronaApp anfangen, das wäre ähnlich lächerlich wie die Impfschwurbler die zwar immer ihr Smartphone mit sich rumtragen (für den neuesten Scheiß aus der Telegram Gruppe!) aber glauben der Staat müsste eine Pandemie erfinden und die Leute mit Chips impfen um sie zu tracken.
 

foxit

Well-Known Member
Aber nun sieht es so aus, als würde ich nur noch versuchen, mich auf eine erteilte Schelte von @foxit zu rechtfertigen.
@pit234a Ich habe mich nicht auf die Diskussion mit dem QR-Code bezogen sondern explizit auf das Thema: "wenn wir dieses Corona einfach und endlich für beendet erklärten. Es reicht doch jetzt aber wirklich!". Das habe ich gequotet. Bitte nicht einfach meine Antworten aus dem Kontext reissen! Das ist schon ein grosser Unterschied, weil du beziehst dich auf den QR-Code.

Die Leute "müssen/wollen" das auch nicht verstehen. Warum auch? Verstehe nicht, warum man hier ein Fass aufmachen muss. Einige Leute verstehen nicht, wie der PC funktioniert oder wie er sich mit dem Internet verbindet. Ist halt so.
 

pit234a

Well-Known Member
sondern explizit auf das Thema: "wenn wir dieses Corona einfach und endlich für beendet erklärten. Es reicht doch jetzt aber wirklich!"
aber das ist doch kein Beitrag zur Diskussion gewesen, sondern lediglich das Schildern der Situation, die ich halt bei meinen Mitmenschen erlebe. Es gibt in keinster Weise meine eigene Meinung zu diesem Thema wieder und sollte keinerlei Anlass zur Diskussion liefern.

Aus meiner Sicht möchte da aber nun eher nichts mehr beitragen.
Ich glaube, dass ich innerhalb dieses Threads viel verstanden habe und wenig beitragen konnte, Wie immer.
Lassen wir es dabei.
 

morromett

Well-Known Member
Aus welchem Grund hat man nochmal Certificate Authorities erfunden, wenn sich auch einfach jeder Berechtigte jeden Key kopieren kann?
Es gibt jetzt eine zentrale Schnittstelle, zum Überprüfen der Signatur:
Die EU-Kommission hat eine Schnittstelle eingerichtet, über die alle Zertifikat-Signaturen EU-weit überprüft werden können.
Quelle: https://ec.europa.eu/info/live-work...nes-europeans/eu-digital-covid-certificate_de
 
Oben