Digitaler Impfnachweis: "anonymer" Fingerabdruck, 5 Blockchains, IOTA

Der Aufhänger:
https://ubirch.de/digitaler-impfnachweis

Würde ich Deutschland-Neuland-Bingo spielen würde ich nach wenigen Sätzen gewinnen.

Spiegel: Ubirch und IBM erhalten Zuschlag für deutschen digitalen Impfnachweis - DER SPIEGEL

Technisch funktioniert das Ubirch-System so: Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code setzt sich zusammen aus personenbezogenen Daten wie dem Namen, den Angaben zum Impfdatum, dem verwendeten Impfstoff sowie einer Zufallszahl. Aus diesen Daten wird ein nach Angaben von Ubirch anonymer Fingerabdruck generiert, der nicht erratbar ist. Er wird kryptografisch signiert und – aus Gründen der Redundanz – in insgesamt fünf Blockchains hinterlegt.

Heise: Digitaler Corona-Impfpass: IBM, Ubirch und fünf Blockchains | heise online

Das Kölner Unternehmen Ubirch hat nach eigener Darstellung bereits Impfpässe für den bayerischen Landkreis Altötting und den Zollernalbkreis in Baden-Württemberg realisiert, bei dem zum ausgedruckten QR-Code für den Geimpften ein „anonymer Fingerabdruck“ kryptografisch signiert und von Ubirch als Nachweis in einer Blockchain der Govdigital sowie vier weiteren Blockchains verankert wird.

  • Wie kann ein „digitaler Fingerabdruck“ anonym sein, wenn dieser Name, Geburtsdatum, Ausweis-ID, beiden Impftage und der Impfstoff im Klartext enthalten muss, damit dieser von einem Dritten ausgelesen werden kann?

  • Warum Blockchain? Warum nicht eine einfache, von mir aus geclusterte und verschlüsselte Datenbank die extern auditiert ist?

  • Warum gleich 5 Blockchains? Was ist der Mehrnutzen?

Bitte das ganze nicht (nur) als rant, sondern als offenen Austausch verstehen, vielleicht kann mich ja jemand erhellen. Ich lerne jeden Tag dazu. Gerne die Diskussion auf den technisches Aspekt beschränken :wink:

EDIT: Das IOTA involviert ist setzt dem ganzen die Krone auf. Für mich zumindest sind sie allein seit ihrem Anwälte-Strike (lieber verklagen als auf vulnerabilities eingehen) bestenfalls ein meme (Quelle Auslöser: Cryptographic vulnerabilities in IOTA | by Neha Narula | Medium ,Quelle Reaktion IOTA: https://twitter.com/c___f___b/status/965667086348509185 )

2 „Gefällt mir“

So viel unnötige Bürokratie in diesem System, aber das gelbe Impfbuch muss digital ersetzt werden…

@Pullover-Diktator
Ich fand dieses Video zur Erklärung ganz sinnvoll:

Da wird erklärt, wie in einem Merkle-Tree nur die gehashten Daten und Testergebnisse abgelegt werden.
Ergo sind die Daten schon anonym und vertrauenswürdig - also fälschungssicher.

Das nur zur technischen Erklärung.

Aber es sei nochmal verdeutlicht, dass von Seiten Ubirch IOTA noch nicht als Anwendung für deren Impfpasslösung bestätigt wurde!!!
Es soll demnächst wohl noch mehr bekannt gegeben werden, aber es kann auch ganz was anderes eingesetzt werden - siehe die Firma govdigital eG, die für die Speicherung der Daten zuständig ist. Dieses Firmenkonstrukt hat wohl seine eigene permissioned Blockchain.

1 „Gefällt mir“

Danke für das Video. Es wird also nur der eindeutige Hash in der Blockchain abgebildet, mit der man den im Klartext vorliegende Datensatz auf Echtheit prüfen kann.
Erklärt mir aber leider nicht den konkreten Nutzen einer (sorry laut Planung 5) Blockchain statt einer klassischen Datenbank. Es wird erklärt wie sicher dank Blockchain der Impfprozess wird. Es fühlt sich für mich eher an, als ob man hier mit 10+ Jahren Projektzeitraum ein perfektes System versucht umzusetzen, während andere Nationen bald ihre Impfungen durch haben. Klar, ist ein sehr sensibles und wichtiges Thema. Andere Themen wo ähnlich wichtig und sensibel sind werden allerdings nicht mit so einem Sicherheitsaufwand betrieben.
Meine Befürchtung ist, es wird nach einem Volkswagen verlangt/gesucht, aber nun wird eine Marsrakete geliefert.

https://www.golem.de/news/ubirch-blockchain-impfausweis-mit-schwaechen-2102-153909.html
Golem hat leider schon Schwächen von dem sicheren System aufdecken können. Klar ist in einer frühen Phase, aber dennoch…

Also ich wünsche dem Projekt nur das Beste, hoffentlich sitzen genug schlaue Köpfe dran, dass das so funktioniert wie sich das die Auftraggeber (der Staat, in letzter Instanz die Bürger) vorstellen.

1 „Gefällt mir“

Da stimme ich dir voll und ganz zu, ob das in dieser Form in der jetzigen Zeit so sinnvoll ist.
Das ist doch wie 2017/18:
Irgendwas wurde „jetzt neu mit Blockchain“ angepriesen und der Shice wurde gehyped - egal ob es sinnvoll war oder nicht.

Aus ideologischen Gründen würde ich aber schon sagen, dass Daten nicht mehr zentral, sondern auf einem DLT gespeichert werden sollten

1 „Gefällt mir“

Hey eine wie oben beschrieben Datenbank wäre schon mal deutlich weiter als das bayerische System vom Sommer 2020 (Einreisen per Stift und Papier in Tabellen schriftlich festhalten und anschließend in Excel hauen). :grin:

DLT wäre für vieles extrem interessant. Aber warum dann nicht gleich zu Beispiel als Teil einer digitalen Krankenakte? So erscheint diese Blockchain-Produkt wie eine spezielle Insellösung die im best case das erfüllt was sie machen soll.

1 „Gefällt mir“

Na weil Deutschland doch erst dieses Jahr begonnen hat die elektronische Patientenakte (langsam) auszurollen.

Ich wette, dass da ein einfacher Impfnachweis noch nicht leicht zugänglich (also via App scannbar) Implementiert wurde.
Dann hätten die den ganzen „Rollout“ stoppen müssen und es würden wieder Jahre vergehen :sweat_smile:

Das scheitert eher an ganz anderen Dingen.
Unterschiedliche Behörden.
Unterschiedliche Projektziele.
Unterschiedliche Projektleiter (inkl. Karriereplan, da kommt doch keiner auf die Idee Projekt samt sich selbst „überflüssig“ zu machen).

Solche strategischen Zusammenlegungen von Projekten müssten von sehr, sehr weit oben deligiert werden. Aber dafür bräuchte man auch eine Strategie :wink:

Einfach mal den letzten Podcast LogbuchNetzpolitik anhören, aber vorher mit viel Popkorn eindecken, man kommt aus dem Lachen nicht mehr raus!