image

De Jonge: intrekken qr-codes vanwege ontwerp CoronaCheck niet mogelijk

woensdag 3 november 2021, 17:29 door Redactie, 27 reacties
Laatst bijgewerkt: 03-11-2021, 20:28

Door de manier waarop de CoronaCheck-app en het Nederlandse coronatoegangsbewijs zijn ontwikkeld is het niet mogelijk om uitgegeven qr-codes in te trekken, zo stelt demissionair minister De Jonge van Volksgezondheid in een brief aan de Tweede Kamer. De minister reageerde op het feit dat mensen die over een coronatoegangsbewijs beschikken, maar positief zijn getest, hun qr-code behouden.

"In het geval van een Nederlands coronatoegangsbewijs zijn bijvoorbeeld slechts summiere persoonsgegevens opgenomen in de qr-code, is de bron van het bewijs niet zichtbaar en zijn mensen ook niet te volgen waar ze hun qr-code laten zien. Daarbij zijn de gegevens alleen op de telefoon van de gebruiker beschikbaar nadat deze zelf zijn opgehaald en kan de app zonder verbinding met het internet worden gebruikt", stelt De Jonge.

Volgens de minister staan deze ontwerpkeuzes het automatisch intrekken van qr-codes in de weg. Het is daarnaast niet mogelijk om papieren coronatoegangsbewijzen in te trekken. De controle zou aan de kant van de scanner kunnen plaatsvinden, om zo de betreffende qr-code als ongeldig aan te merken. "Om dat mogelijk te maken moeten coronatoegangsbewijzen technisch zo aangepast worden dat elk bewijs aan een specifiek persoon te koppelen is. Dit leidt ertoe dat kwaadwillenden CoronaCheck gebruikers kunnen gaan volgen", gaat De Jonge verder.

Daarnaast zou het ook nodig zijn dat de positieve testresultaten in een of andere vorm beschikbaar gemaakt worden voor alle scanners. Dat kan door alle testresultaten onder alle scanners te verspreiden of de scanner bij elke controle een database te laten raadplegen waarmee altijd een verbinding met internet beschikbaar moet zijn. De minister merkt op dat het beschikbaar stellen van testresultaten het risico met zich meebrengt dat positieve testresultaten in verkeerde handen kunnen vallen.

De Jonge wijst daarbij naar onderzoek van de Belgische Gegevensbeschermingsautoriteit naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om qr-codes bij het scannen te blokkeren. "De voordelen van het wel kunnen intrekken van bewijzen wegen voor mij niet op tegen de nadelen hiervan en risico’s die daarbij ontstaan", besluit de minister.

Reacties (27)
03-11-2021, 17:45 door Anoniem
Stel dat hij gelijk heeft... dan zit er eindelijk iets waar de overheid wel met z'n vingers aan heeft gezeten... een keer goed in elkaar. Het lijkt komt vast nog wel. Maar vooralsnog: hulde!
03-11-2021, 17:48 door Anoniem
“De minister reageerde op het feit dat mensen die over een coronatoegangsbewijs beschikken, maar negatief zijn getest, hun qr-code behouden.“

Ik zie het probleem niet. Gevaccineerd én een negatieve test!
03-11-2021, 18:15 door Anoniem
Feitelijk gezien klopt het niet. QR-codes kunnen wel degelijk ingetrokken worden zonder dat daarbij de privacy in het geding komt. Hier volgt een technisch verhaal...

De CoronaCheck app is gebaseerd op Camenisch-Lysyanskaya handtekeningen. (Zie ook de beschrijving in [sec-architecture] en gerelateerde documenten.) Dit cryptografische protocol bestaat al enige tijd en ondertussen zijn er al verschillende onderzoeken geweest naar het intrekken van handtekeningen, zonder dat de multi-show unlinkability in gevaar komt. Multi-show unlinkability betekend dat als je twee QR-codes te zien krijg, je niet kan zeggen of deze van dezelfde persoon afkomstig zijn.

Een aantal jaren geleden is voor deze specifieke situatie, waarbij ook untraceability door de uitgever (MinVWS) belangrijk is, al opgelost. Untraceability betekend dat de als de uitgever (minVWS) een QR-code te zien krijg, zij niet kunnen zeggen van wie deze is. Dit probleem is opgelost door gebruik te maken van een cryptografische accumulator, zoals beschreven is in de paper van Baldimtsi ([bal2017]).

Belangrijke voorwaarde is dat zowel de scanner als de CoronaCheck-app regelmatig contact maken met de server om hun eigen gegevens bij te werken. Naar mijn weten is dit al verplicht elke 5 dagen. Dat zou dan wel verkort moeten worden naar elke dag, afhankelijk van hoe snel je een QR-code wilt intrekken.

Dit lijkt mij goed te gebruiken in de CoronaCheck-App. Deze cryptografische accumulator is ook al geïmplementeerd in de IRMA-app ([irma]). De cryptografie van de CoronaCheck-app is ook gebaseerd op de IRMA-app, wat het nog eenvoudiger maakt om dit te implementeren. Dit is dus niet alleen leuk in een wetenschappelijke paper, maar kan daadwerkelijk gebruikt worden!

Los van deze vrij technische oplossing is er nog een veel eenvoudigere oplossing. Iedereen met een bewijs kan ook elke dag contact maken met de server om een nieuwe QR-code op te vragen. Voldoe je niet meer aan de voorwaarden, dan krijg je geen nieuwe QR-code. Het enige wat dan nodig is, is dat er gecontroleerd kan worden op welke dag de QR-code is uitgegeven. Dat is niet privacy gevoelig, zolang je window van toegestane dagen niet te groot wordt.

Afijn. Laten we vooral blij zijn dat er in Nederland gekozen is voor een privacy-vriendelijke QR-code. Dat kunnen we van de Europees versie namelijk niet zeggen. Maar vergis je niet: het is hier puur een kwestie van willen, niet van kunnen.

[irma] https://irma.app/docs/revocation/
[sec-architecture] https://github.com/minvws/nl-covid19-coronacheck-app-coordination/blob/main/architecture/Security%20Architecture.md
[bal2017] Foteini Baldimtsi et al. “Accumulators with applications to anonymity-preserving revocation”. In: 2017 IEEE European Symposium on Security and Privacy (EuroS&P). IEEE.2017, pp. 301–315.
03-11-2021, 18:20 door EersteEnigeEchte M.J. - EEEMJ
Dit is een voorzetje naar het alsnog op naam stellen van QR-codes, ten koste van de privacy. Met dan als excuus dat dit "nodig" is om de echtheid van de QR-code te controleren. De minister zou graag willen dat het parlement dat inkopt, door op hoge toon te gaan eisen dat "fraude met QR-codes" door de regering effectief wordt bestreden.

Het uitgangspunt zal nu al snel worden dat de overheid niet "kwaadwillend" is en dat er dus geen beletsel is om die codes toch te gaan koppelen aan personen. Omdat er "voldoende waarborgen" zijn tegen misbruik. Immers, de overheid heeft haar ICT eigenlijk altijd prima op orde... En ook zijn onze ambtenaren altijd onkreukbaar...

En onze wakkere rechters? Die zullen dat ook prima vinden, want volgens hen "heeft de overheid enige ruimte" bij het interpreteren van wat "nodig" is.

De logica van het wantrouwen ten aanzien van burgers leidt tot steeds extremere vormen van controle, die dan weer de rechtvaardiging gaan vormen voor nog meer controle. Van de privacy van burgers blijft zo niets over, behalve wat abstracte noties op papier.

Tegelijk leidt het idee dat de overheid MOET worden vertrouwd, tot een logica die neerkomt op een vrijbrief voor de overheid om alles te controleren en persoonsgegevens op allerlei manieren te verwerken, zonder dat burgers daar in de praktijk nog enig zicht of vat op hebben.

Privacy? Overheden mogen alles, de burger heeft geen rechten. Niks aan de hand, want het is toch "democratisch" goedgekeurd door de carrière-politici in ons parlement? Nou dan! Oogjes dicht en snaveltje toe. Want dieren zijn soms net als mensen. Met dezelfde mensenwensen! In fabeltjesland, in fabeltjesland, in fa-bel-tjes-land!

M.J.
03-11-2021, 18:41 door Anoniem
Mensen laten zich dan niet meer testen, kan de code ook niet ingetrokken worden. Invoeren dat intrekken wel kan is dan ook zinloos.

Dan blijft nog maar één reden over waarom De Jonge dit zo graag wil; nog meer controle over de burgers. Niemand bij het cda beseft hoe gevaarlijk dit is?
03-11-2021, 19:26 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: Dit is een voorzetje naar het alsnog op naam stellen van QR-codes, ten koste van de privacy. Met dan als excuus dat dit "nodig" is om de echtheid van de QR-code te controleren. De minister zou graag willen dat het parlement dat inkopt, door op hoge toon te gaan eisen dat "fraude met QR-codes" door de regering effectief wordt bestreden.

Komt dit nu uit je duim, of weet je dit zeker?
03-11-2021, 20:01 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 03-11-2021, 20:03
Door Anoniem:
Door EersteEnigeEchte M.J. - EEEMJ: Dit is een voorzetje naar het alsnog op naam stellen van QR-codes, ten koste van de privacy. Met dan als excuus dat dit "nodig" is om de echtheid van de QR-code te controleren. De minister zou graag willen dat het parlement dat inkopt, door op hoge toon te gaan eisen dat "fraude met QR-codes" door de regering effectief wordt bestreden.

Komt dit nu uit je duim, of weet je dit zeker?

Het is gebaseerd op waarnemingen van het gedrag van onze vaccin-joker - pardon, halloween-doktersclown - eh, ik bedoel: gezondheidsminister - in combinatie met waargenomen eerdere voorbeelden van politiek samenspel, en in combinatie met een vergelijkbare redenering in een andere, mij bekende zaak.

De redenering van de autoriteiten was in die zaak als volgt: Het privacy-aantastende en dwingende controle-instrument is gerechtvaardigd omdat dit instrument nodig is. Het instrument is nodig omdat er zonder die privacy-aantasting niet kan worden gecontroleerd of mensen het instrument misschien d.m.v. fraude weten te omzeilen.

De vraag of het dwingende controle-instrument om te beginnen überhaupt nodig was, werd op die manier niet beantwoord. Maar iedereen (de overheidsinstantie die het controle-instrument in gebruik had genomen alsmede de Autoriteit Persoonsgegevens die er niet tegen wilde optreden) deed net alsof dat wel het geval was, en alsof de noodzaak van de inzet van dit instrument, inclusief de privacy-aantasting, op deze manier was aangetoond.

In het geval van De Jonge en de QR-code houd ik het voor mogelijk dat het voorzetje niet tot het gewenste doelpunt zal leiden, omdat het politieke krachtenveld anders is en de publieke meningsvorming volatiel lijkt te zijn. Maar ik kan ook zeker niet uitsluiten dat de fixatie op controle zo sterk zal zijn dat het parlement onze grondrechten opnieuw in meerderheid zal negeren (of "vergeten") om de minister ter wille te zijn.

M.J.
03-11-2021, 20:24 door Anoniem
Door Anoniem: “De minister reageerde op het feit dat mensen die over een coronatoegangsbewijs beschikken, maar negatief zijn getest, hun qr-code behouden.“

Ik zie het probleem niet. Gevaccineerd én een negatieve test!

Inderdaad, lekker snugger.

Je bent de enige die wakker is :-)
03-11-2021, 21:29 door Anoniem
Door Anoniem: Mensen laten zich dan niet meer testen, kan de code ook niet ingetrokken worden. Invoeren dat intrekken wel kan is dan ook zinloos.

Dan blijft nog maar één reden over waarom De Jonge dit zo graag wil; nog meer controle over de burgers. Niemand bij het cda beseft hoe gevaarlijk dit is?
Onder bureaucraten en politici vindt men zonder moeite schitterende exemplaren van fundamenteel domme individuen, van wie het vermogen tot vernielen des te angstaanjagender is naarmate zij hoger geplaatst zijn.
04-11-2021, 07:16 door spatieman
een collega van mij, is nu voor de 2e keer aan het donderstralen bij de ggd omdat zijn qr-code niet meer werkt.
hij heeft geen meer erin om zich weer te laten testen om een nieuwe code te krijgen, omdat de ggd er een puinhoop van maakt.
04-11-2021, 08:08 door Anoniem
Gaat dus in essentie niet ongezondheid, maar om dwingen naar Corona pas. Gevaccineerd onbeperkte privileges, ook ziek zijnd. Getest 48 uur respijt van verwijderen van de werkvloer etc., Misschien straks vertrek mit Nacht und Nebel.
#corona proxy
04-11-2021, 08:54 door Anoniem
Hugo de Jonge LIEGT:
https://github.com/minvws/nl-covid19-coronacheck-idemix/commit/21fbb94f41510fe23356c42c4888520dd03b1acb

De Corona Scanner haalt een denylijst op waarin individuele codes ongeldig gemaakt kunnen worden!
Actuele stand van de lijst:
coronacheck-tools denylist
This is an unofficial tool that is in no way affiliated with CoronaCheck.nl or the Ministry of VWS
Denylist:
272a1737e2e46d6123a81bed7b5d66f3 -> True
dd675765ae9380849d1042901954eaec -> True
f2b6cabd7fae9510661f123cb42ab028 -> True
a1f5733f2bdd4dce237195f30f0cd570 -> True
1e7bed15dd81adbeeb203bd737b2cc06 -> True
066373136954d791b9c8120d92c2f2ad -> True
d752685feefb4bdbd58d6b248a28b556 -> True
1484f8cc7dc555e879cf53d08fb5f96f -> True
424bd6b6e6b0826cc3ffdb0bb68a1e17 -> True
3cb0b7f8fcfaef58fe6cdb45d593fbc1 -> True
5c7430e795fda4c4d6c6ff38d059158f -> True
28d393e3472d1d613c5d37a4535be8d7 -> True
46681dde0bd48ab9f09fc7f61eb7ef26 -> True
04-11-2021, 11:12 door Anoniem
Door Anoniem: Hugo de Jonge LIEGT:
https://github.com/minvws/nl-covid19-coronacheck-idemix/commit/21fbb94f41510fe23356c42c4888520dd03b1acb

De Corona Scanner haalt een denylijst op waarin individuele codes ongeldig gemaakt kunnen worden!
Actuele stand van de lijst:
coronacheck-tools denylist
This is an unofficial tool that is in no way affiliated with CoronaCheck.nl or the Ministry of VWS
Denylist:
272a1737e2e46d6123a81bed7b5d66f3 -> True
dd675765ae9380849d1042901954eaec -> True
f2b6cabd7fae9510661f123cb42ab028 -> True
a1f5733f2bdd4dce237195f30f0cd570 -> True
1e7bed15dd81adbeeb203bd737b2cc06 -> True
066373136954d791b9c8120d92c2f2ad -> True
d752685feefb4bdbd58d6b248a28b556 -> True
1484f8cc7dc555e879cf53d08fb5f96f -> True
424bd6b6e6b0826cc3ffdb0bb68a1e17 -> True
3cb0b7f8fcfaef58fe6cdb45d593fbc1 -> True
5c7430e795fda4c4d6c6ff38d059158f -> True
28d393e3472d1d613c5d37a4535be8d7 -> True
46681dde0bd48ab9f09fc7f61eb7ef26 -> True

Klopt, maar dit is enkel voor de DCC (Europese) QR-codes en de papieren QR-codes.
Niet voor de Nederlandse QR-codes welke in de CoronaCheck app automatisch gegenereerd worden.
04-11-2021, 11:29 door Anoniem
Door Anoniem: Feitelijk gezien klopt het niet. QR-codes kunnen wel degelijk ingetrokken worden zonder dat daarbij de privacy in het geding komt. Hier volgt een technisch verhaal...

(....)

Belangrijke voorwaarde is dat zowel de scanner als de CoronaCheck-app regelmatig contact maken met de server om hun eigen gegevens bij te werken. Naar mijn weten is dit al verplicht elke 5 dagen. Dat zou dan wel verkort moeten worden naar elke dag, afhankelijk van hoe snel je een QR-code wilt intrekken.

Dit lijkt mij goed te gebruiken in de CoronaCheck-App. Deze cryptografische accumulator is ook al geïmplementeerd in de IRMA-app ([irma]). De cryptografie van de CoronaCheck-app is ook gebaseerd op de IRMA-app, wat het nog eenvoudiger maakt om dit te implementeren. Dit is dus niet alleen leuk in een wetenschappelijke paper, maar kan daadwerkelijk gebruikt worden!

Los van deze vrij technische oplossing is er nog een veel eenvoudigere oplossing. Iedereen met een bewijs kan ook elke dag contact maken met de server om een nieuwe QR-code op te vragen. Voldoe je niet meer aan de voorwaarden, dan krijg je geen nieuwe QR-code. Het enige wat dan nodig is, is dat er gecontroleerd kan worden op welke dag de QR-code is uitgegeven. Dat is niet privacy gevoelig, zolang je window van toegestane dagen niet te groot wordt.

Afijn. Laten we vooral blij zijn dat er in Nederland gekozen is voor een privacy-vriendelijke QR-code. (...)

Klinkt helemaal niet privacy-vriendelijk. En ook niet mensvriendelijk. Jouw "eenvoudige oplossing" dat burgers elke dag een nieuwe QR-code zouden moeten aanvragen, maakt ook wel duidelijk uit welke kant de wind bij jou waait. Iedereen aan die app krijgen.

Wij van IRMA-eend adviseren IRMA-eend. Zie: https://www.security.nl/posting/722732/Nederlandse+hoogleraar+wil+privacyvriendelijk+sociaal+netwerk+starten En dan vooral de reacties daaronder.
04-11-2021, 12:48 door Anoniem
Twee Amsterdamse vrouwen (van 30 en 31 jaar) zijn gisteren door de politie aangehouden als verdachten van handel in gefraudeerde vaccinatieregistraties. Beiden werkten als doktersassistent in dezelfde artsenpraktijk in Amsterdam. Als het ministerie van VWS weet welke codes vals zijn, kunnen ze geblokkeerd worden. Er volgt een onderzoek naar de kopers.

https://www.parool.nl/amsterdam/doktersassistenten-aangehouden-voor-handel-in-valse-vaccinatiebewijzen~b1d8dee7/
04-11-2021, 14:08 door Anoniem
Hugo de Jonge LIEGT:
Wordt een keer wakker. De Jonge liegt altijd. Weet je nog Dansen met Jansen? --> Wie heeft er gedanst na 12 uur?
En ken je deze nog? https://www.youtube.com/watch?v=RFSZWc7I8o4

Op het moment dat Hugo de Jonge zijn mond opendoet komt er een leugen uit.
04-11-2021, 14:15 door Anoniem
Door Anoniem:
Door Anoniem: Hugo de Jonge LIEGT:
https://github.com/minvws/nl-covid19-coronacheck-idemix/commit/21fbb94f41510fe23356c42c4888520dd03b1acb

De Corona Scanner haalt een denylijst op waarin individuele codes ongeldig gemaakt kunnen worden!
A

Klopt, maar dit is enkel voor de DCC (Europese) QR-codes en de papieren QR-codes.
Niet voor de Nederlandse QR-codes welke in de CoronaCheck app automatisch gegenereerd worden.

Bovendien "schaalt" zo'n oplossing natuurlijk niet. Als er duizenden tot honderdduizenden codes moeten worden "ingetrokken" dan wordt die lijst groot, neemt veel storage en/of werkgeheugen in, downloaden duurt lang of kost teveen "databundel", de implementatie voor zoeken in de lijst blijkt niet bestand tegen heel grote lijsten, etc.
04-11-2021, 15:02 door Anoniem
Door Anoniem: Twee Amsterdamse vrouwen (van 30 en 31 jaar) zijn gisteren door de politie aangehouden als verdachten van handel in gefraudeerde vaccinatieregistraties. Beiden werkten als doktersassistent in dezelfde artsenpraktijk in Amsterdam. Als het ministerie van VWS weet welke codes vals zijn, kunnen ze geblokkeerd worden. Er volgt een onderzoek naar de kopers.

https://www.parool.nl/amsterdam/doktersassistenten-aangehouden-voor-handel-in-valse-vaccinatiebewijzen~b1d8dee7/

Er is een derde aanhouding in deze zaak gedaan. Het gaat om een 52-jarige vrouw, die in dezelfde praktijk werkt. De zaak kwam aan het rollen na een tip van de Koninklijke Marechaussee, die in een lopend drugsonderzoek deze handel in valse QR-codes op het spoor kwam. Klanten betaalden € 500,= tot € 1000,= voor een valse vaccinatieregistratie.

https://twitter.com/POL_Amsterdam/status/1456230350171029504
04-11-2021, 18:58 door Anoniem
Door Anoniem: Feitelijk gezien klopt het niet. QR-codes kunnen wel degelijk ingetrokken worden zonder dat daarbij de privacy in het geding komt. Hier volgt een technisch verhaal...

Dan moet je dus elke dag eisen dat iemand zijn gegevens ophaalt met digid of zoiets. Er is geen centrale databank van wie welke qrcode heeft gekregen, dus er is ook geen centrale mogelijkheid om te zien welke data niet meer geldig is.

Positieve testen komen vanuit de GGD, vaccinaties ook vanuit het RIVM en andere plaatsen. Dan zul je dus al deze data aan elkaar moeten koppelen. Er is expliciet voor gekozen om geen grote nationale vaccinatiedatabank te maken. Dit moet wel gebeuren als je wilt weten welke data niet meer geldig is; of elke dag alles echt opnieuw ophalen en met elkaar verbinden.

Leuk dat je protocol het kan, nu nog leuk als het in de echte wereld ook echt kan.
04-11-2021, 20:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hugo de Jonge LIEGT:
https://github.com/minvws/nl-covid19-coronacheck-idemix/commit/21fbb94f41510fe23356c42c4888520dd03b1acb

De Corona Scanner haalt een denylijst op waarin individuele codes ongeldig gemaakt kunnen worden!
A

Klopt, maar dit is enkel voor de DCC (Europese) QR-codes en de papieren QR-codes.
Niet voor de Nederlandse QR-codes welke in de CoronaCheck app automatisch gegenereerd worden.

Bovendien "schaalt" zo'n oplossing natuurlijk niet. Als er duizenden tot honderdduizenden codes moeten worden "ingetrokken" dan wordt die lijst groot, neemt veel storage en/of werkgeheugen in, downloaden duurt lang of kost teveen "databundel", de implementatie voor zoeken in de lijst blijkt niet bestand tegen heel grote lijsten, etc.

Daar zijn natuurlijk verschillende oplossing voor te vinden. Als QR-codes verlopen wordt je lijst ook vanzelf kleiner. Je kan werken met bloomfilters. En een snelle berekening leert mij dat je met 100K codes (10 dagen, 10K intrekkingen per dag, 256 bits per ID) pas op ~3 MB zit. Als je met delta's werkt zal dat dagelijks nog minder zijn. Kortom, het lijkt mij minder problematisch dan je doet voorkomen.

Wat ik interessanter vind is de opmerking dat er al een denylist is en dat deze gebruikt kan worden voor papieren QR-codes. De gelinkte commit lijk hier echter niet over te gaan, heeft iemand een link aan een beschrijving of de code?
04-11-2021, 21:23 door Anoniem
Door Anoniem:
Wat ik interessanter vind is de opmerking dat er al een denylist is en dat deze gebruikt kan worden voor papieren QR-codes. De gelinkte commit lijk hier echter niet over te gaan, heeft iemand een link aan een beschrijving of de code?

https://github.com/minvws/nl-covid19-coronacheck-mobile-core/commit/a3b9235eae213c2b7a5f562d34f2841771f9776d
04-11-2021, 21:56 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 04-11-2021, 22:05
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Hugo de Jonge LIEGT:
https://github.com/minvws/nl-covid19-coronacheck-idemix/commit/21fbb94f41510fe23356c42c4888520dd03b1acb

De Corona Scanner haalt een denylijst op waarin individuele codes ongeldig gemaakt kunnen worden!
A

Klopt, maar dit is enkel voor de DCC (Europese) QR-codes en de papieren QR-codes.
Niet voor de Nederlandse QR-codes welke in de CoronaCheck app automatisch gegenereerd worden.

Bovendien "schaalt" zo'n oplossing natuurlijk niet. Als er duizenden tot honderdduizenden codes moeten worden "ingetrokken" dan wordt die lijst groot, neemt veel storage en/of werkgeheugen in, downloaden duurt lang of kost teveen "databundel", de implementatie voor zoeken in de lijst blijkt niet bestand tegen heel grote lijsten, etc.

Daar zijn natuurlijk verschillende oplossing voor te vinden. Als QR-codes verlopen wordt je lijst ook vanzelf kleiner. Je kan werken met bloomfilters. En een snelle berekening leert mij dat je met 100K codes (10 dagen, 10K intrekkingen per dag, 256 bits per ID) pas op ~3 MB zit. Als je met delta's werkt zal dat dagelijks nog minder zijn. Kortom, het lijkt mij minder problematisch dan je doet voorkomen.

Wat ik interessanter vind is de opmerking dat er al een denylist is en dat deze gebruikt kan worden voor papieren QR-codes. De gelinkte commit lijk hier echter niet over te gaan, heeft iemand een link aan een beschrijving of de code?

Leuk zo'n technisch overlegje over technieken om mensen totaal te onderwerpen, te controleren en hun rechten te ontnemen via een "denylist"... Het is niet het eerste technische probleem waar we een oplossing voor zoeken, en zal ook niet het laatste zijn. Wat ik interessanter vind, is om te zoeken naar een opgeschaalde eindoplossing zodat we in één keer alles onder controle kunnen brengen. Fijn om te horen dat dat niet problematisch hoeft te zijn.

Er zullen misschien wat individuen mekkeren over "dehumanisering", "vrijheid" of "mensenrechten" en dat soort ongein. Daar is een simpele oplossing voor: die zetten we in een aparte kolom op de denylist waardoor ze hun codes kwijtraken, en die krijgen ze pas terug als ze ophouden met dat geneuzel en gewoon meedoen.

Nog een paar technische details, en we kunnen aan de slag!

M.J.
05-11-2021, 10:09 door Anoniem
Sinds half oktober is het mogelijk om QR-codes te blokkeren. [...] Het blokkeren van een QR-code werkt via een 'zwarte lijst' in de scanner-app, die door medewerkers in bijvoorbeeld de horeca wordt gebruikt. Scannen ze een QR-code die op de zwarte lijst staat, dan kleurt het scherm rood.

https://nos.nl/artikel/2404415-qr-codes-nog-steeds-breed-gedeeld-veel-malafide-codes-nog-niet-geblokkeerd

Via Telegram wordt een nep-CoronaCheck app verspreid. De frauduleuze app is bijna niet van echt te onderscheiden.
05-11-2021, 16:41 door Anoniem
Door Anoniem:
Sinds half oktober is het mogelijk om QR-codes te blokkeren. [...] Het blokkeren van een QR-code werkt via een 'zwarte lijst' in de scanner-app, die door medewerkers in bijvoorbeeld de horeca wordt gebruikt. Scannen ze een QR-code die op de zwarte lijst staat, dan kleurt het scherm rood.

https://nos.nl/artikel/2404415-qr-codes-nog-steeds-breed-gedeeld-veel-malafide-codes-nog-niet-geblokkeerd

Via Telegram wordt een nep-CoronaCheck app verspreid. De frauduleuze app is bijna niet van echt te onderscheiden.

Maar wat is het doel van die nep- check app ?

Gewoon phishing / phone hack ?
05-11-2021, 17:34 door Anoniem
Door Anoniem: Maar wat is het doel van die nep- check app ?

Die app wordt buiten het zicht van malware protectie van de Google Play via Telegram gedistributeerd. De kans is dus groot dat je daarmee een Trojaans paard in huis haalt -- of een dozijn aan malafide trackers die je gedrag op de voet gaan volgen. Het roven van je persoonsgegevens en een inbraak op je sociale media log-ins is dus niet uitgesloten.
06-11-2021, 13:48 door Anoniem
Wat gebeurt er met QR-codes waarmee gefraudeerd is?

Vanaf versie 2.4.0 bevat de Scanner voor CoronaCheck de mogelijkheid om specifieke QR-codes te blokkeren. QR-codes en coronabewijzen zijn persoonlijk, en mogen niet worden gebruikt door anderen. Het delen van QR-codes en het gebruik van QR-codes van iemand anders is strafbaar en er wordt aangifte gedaan als het misbruik geconstateerd wordt. Wanneer QR-codes breed worden gedeeld op internet of op sociale media, dan kan het ministerie van VWS deze codes blokkeren. In dat geval geeft de Scanner app een rood scherm en mag de persoon niet toegelaten worden.

Controleer altijd de legitimatie, om te voorkomen dat men met een QR-code van een ander toegang probeert te krijgen.

https://coronacheck.nl/nl/faq/7-8-wat-gebeurt-er-met-qr-codes-waarmee-gefraudeerd-is/
07-11-2021, 09:26 door Anoniem
Minister van VWS kan gekopieerde qr-codes coronabewijzen voortaan blokkeren
zondag 7 november 2021, 09:09 door Redactie

https://www.security.nl/posting/728922/Minister+kan+gekopieerde+qr-codes+coronabewijzen+voortaan+blokkeren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.