Цифровізація здорової людини. Як отримати сертифікат вакцинації міжнародного зразка

"Якщо Мінцифри вам розповідатиме казки про те, як неймовірно складно було реалізувати видачу сертифікатів вакцинації, не ведіться. Цифровізація здорової людини виглядає інакше. Ви її легко впізнаєте за відсутністю "геморою". Думка.

Міжнародний сертифікат вакцинації
Якщо Мінцифри вам розповідатиме казки про те, як неймовірно складно було реалізувати видачу сертифікатів вакцинації, не ведіться.

Сертифікати вакцинації в Україні бувають трьох типів: паперовий міжнародний сертифікат з підписами та печатками лікарів — гарна річ, але її масово підробляють і довіра до них падає. Отримати можна в "сімейного" лікаря. Міжнародний сертифікат європейського зразка (EUDCC), йому і присвячений цей текст. Є ще "внутрішній сертифікат" у Дії, він влаштований так само, як і європейський, тільки до нього додано податковий номер (РНОКПП) та номер паспорта. Марний трохи менше, ніж нічого.

Як отримати сертифікат вакцинації з QR-кодом?

У жодному разі не ставимо собі додаток "Дія", а одразу йдемо на портал diia.gov.ua. Портал і додаток – не одне й теж. Якщо ви поставили собі додаток — знесіть його до біса (не забудьте при цьому зробити скріншот коду, якщо він у вас є).

На портал можна зайти за допомогою Bank ID (ПриватБанк підійде). Після того, як банк передасть дані про вас "Дії" (яка, як відомо, "нічого не зберігає"), портал запросить у вас усі дані повторно. Не питайте мене, навіщо.

Але тут з'являється можливість. Якщо вас турбує безпека ваших даних, ви можете ввести лівий телефон, лівий email і ліву адресу проживання. Податковий номер та паспорт краще не псувати. І телефон та email повинні бути робочими, на них будуть надходити коди підтвердження.

Важливо
Попит і пропозиція. Чому в майбутньому фейкова "Дія" може стати невідмінною від оригіналу
Попит і пропозиція. Чому в майбутньому фейкова "Дія" може стати невідмінною від оригіналу

На останньому етапі реєстрації може вилетіти помилка, не звертайте уваги та оновіть сторінку. Замовте сертифікат у розділі "Здоров'я". Якщо розділ з невідомих причин неактивний, зайдіть у профіль і спробуйте змінити адресу. Писати можна будь-яку маячню. Мені допомогло, і з чим це пов'язано, я не знаю, бо жодної документації на Дію як не було, так і немає. Через деякий час, від кількох секунд до кількох годин вам прийде посилання на PDF-файл. Завантажте і краще роздрукуйте. Сертифікат діє рік (перевірити краще, прочитавши дату закінчення із самого сертифікату).

Більше вам нічого не потрібно. Якщо ви захочете перевірити сертифікат — покажіть PDF або фотографію QR-коду. Якщо вам зручніше користуватися програмами, то Дія для цього теж не потрібна. Завантажте швейцарський "COVID Certificate". На андроїдах він може не знаходитися через дуркуватість Гугла, тоді скористайтеся прямим посиланням. Додаток легкий, стабільний, йому не потрібен інтернет, "без СМС та реєстрації", і тим більше без крутіння головою. Код програми відкритий і лежить на гітхабі.

Важливо
Тягар доказу. Що не так із верифікацією в додатку "Дія"
Тягар доказу. Що не так із верифікацією в додатку "Дія"

Що зберігається в QR-коді? Там є ваше ім'я та прізвище в рідному написанні та в транслітерації (усі додатки показують "рідне", це так і задумано), дата видачі та закінчення терміну дії сертифікату. Дата вашого народження. Кількість вакцинацій, їх виробник, тип і власне те, що це вакцина від Covid-19. Також стандартом передбачені сертифікати для тестів та для перехворілих (в Україні їх тільки почали впроваджувати). Специфікація на формат EUDCC тут.

Сам собою сертифікат — звичайна медична довідка і не є документом, що ідентифікує особу.
Сам собою сертифікат — звичайна медична довідка і не є документом, що ідентифікує особу.

Чому сертифікат важко підробити? Усі дані в сертифікаті підписані цифровим підписом ECDSA NIST P-256, у випадку України секретний ключ для підпису зберігається в Міністерстві цифрової трансформації.

Попри панічні чутки, жоден із ключів країн-учасниць досі не потік. Якщо це станеться, усі сертифікати, підписані скомпрометованим ключем, будуть відкликані, і їх доведеться отримувати заново. Сертифікати "Гітлера" були створені або лікарями-жартівниками, або через бекенд Північної Македонії, який помилково опинився у відкритому доступі.

Стандарт передбачає також чорний список відкликаних сертифікатів (в Україні не працює). Більшість "лівих" сертифікатів виписують лікарі-хабарники, не тільки в нас, а й у всьому світі. Ціна коливається від $300 до $500.

Набагато корисніше для здоров'я (і для гаманця) — вакцинуватися безкоштовно й отримати чесний сертифікат.

Як працює інфраструктура сертифікатів у нас та за кордоном?

Дані про щеплення вносяться лікарями до національної медичної бази даних. У випадку України – це ЕСОЗ (у підпорядкуванні МОЗ та НСЗУ). У нормальних країнах видачею сертифікатів займається МОЗ. І його можна отримати відразу після щеплення, на емейл, якщо залишити його лікареві, в аптеці, як у Німеччині, там сертифікат з QR-кодом можна отримати за українською паперовою довідкою. Або на спеціальному сайті з мінімальною автентифікацією, це може бути податковий номер + дата народження або щось подібне. Ось так це виглядає в Молдові.

Важливо
Відчиніть, кіберполіція! Чому створення фейкової "Дії" — не підробка документів
Відчиніть, кіберполіція! Чому створення фейкової "Дії" — не підробка документів

Може здатися, що таке рішення не є цілком безпечним, але якщо ви знаєте ім'я та дату народження, і в сертифікаті є ім'я та дата народження, то нової інформації ви не отримаєте. Не може потекти те, що супротивник і так уже знає. Тим не менш, подібний підхід можна покращити, якщо захистити форму введення капчею або випадковим "піном", що видається в офлайні під час вакцинації. Не через телефон. Не потрібно давати телефон будь-кому. Особливо державі.

Специфікація на сертифікати версії 1.3, приклади реалізації та тести, була готова у квітні. Однак, "дієві" захотіли вкрасти корисну фічу у свою програму, щоб загнати туди якнайбільше людей. Ті, хто намагається отримати зиск із загального лиха, називаються мародерами. Через це, а також через те, що дієві захотіли нав'язати всім "Дія.Підпис", сертифікати з'явилися лише в серпні.

УВАГА! Якщо ви створювали сертифікат через програму в серпні, тоді випустили неправильні сертифікати. Звичайно, МЦТ не визнало свою помилку і нікого не попередило. Перевірте сертифікат швейцарським додатком "COVID Certificate Check".

Після того, як сотні тисяч людей ледь не звернули собі шию, намагаючись пройти біометричну автентифікацію, яка в цьому випадку, як зайцю стоп-сигнал, підпис прибрали і з порталу, і з додатку. Цифровий підпис має юридичну силу, якщо його якимось чином у вас вкрадуть, то бути біді. Зносьте програми, відкликайте підписи. Як це зробити, написано на сайті https://ca.diia.gov.ua/.

Сам собою сертифікат — звичайна медична довідка і не є документом, що ідентифікує особу. Тому паспорт бажано носити із собою, а під час перевірки — сканувати код та порівнювати його дані з паспортом.

Я це пишу не тому, що мені подобається ідея перевірки кодів на кожному кутку, а просто тому, що в будь-якому іншому випадку перевірка не має жодного сенсу. І з тим же успіхом можна показувати код сусіда або цінник із супермаркету "стегенця курячі". Чим зараз і займається школота з додатками та веб-сторінками, що виглядають як "Дія". Нічого хорошого в цьому немає, але й поганого також. Це помилка дієвих мародерів, які нікому нічого не розповіли та не пояснили.

Якщо МЦТ вам розповідатиме казки про те, як неймовірно складно було реалізувати видачу сертифікатів, то можу вас запевнити, що це чергова брехня. Ось так генерується сертифікат на python 3 (три рядки), а ось таким кодом можна вивести сертифікат на екран 1 (один) рядок. Про "високонавантажені" послуги — теж брехня. Якби сервіс був реалізований на базі ЕСОЗ (як це і потрібно було зробити спочатку!) без посередника у вигляді Дії, то навіть дуже скромний комп'ютер впорався б із генерацією та видачею всіх сертифікатів за 1 (один) день.

Зносьте Дію, нічим добрим ця витівка не закінчиться. Я зовсім не проти "цифровізації", але цифровізація здорової людини виглядає інакше. Ви її легко впізнаєте за відсутністю геморою.

Першоджерело.