COVID19 Zertifikate richtig prüfen
Fast überall, wo ich hinkomme, sind die Prüfungen der COVID-Zertifikate schändlich, schlampig und unprofessionell. Leute, so bekommen wir die Pandemie nie in den Griff! Ich kann es nicht mehr sehen, daher hier meine Anleitung: Wie kann ich ein COVID Zertifikat richtig prüfen?
Fakt: Ohne Smartphone & Co kannst du nicht prüfen
Vom flüchtigen Draufschauen bis zum minutenlangen starren auf die App: Alles Blödsinn. Vom Anschauen kannst du kein COVID-Zertifikat prüfen. Das Zertifikat steckt im QR-Code, die kleinen schwarz/weissen Kästchen sind nichts anderes als Computerdaten. Wie Text, nur unlesbar. Man kann QR-Codes leicht (mit Software) decodieren, selbst wenn sie (zB auf Papier) ein wenig schmutzig sind. Deshalb finden wir sie auf Hinweisschildern oder Außenwerbung und ganz vielem mehr. Ich kenne aber niemanden, der das “im Kopf” kann.
Das Anstarren der Handyapp bringt also gar nichts. Auch das “runterscrollen” sagt nichts, außer, dass an meinem Bildschirm zu sehen ist, ich sei geimpft. Fun fact: Es dauert nur Minuten, mit einer der App-Entwicklungsbaukästen1 etwas zusammenzuschieben, was wie die CovPass App ausschaut. Auch “Security” auf der Jacke hilft nicht weiter. Oder: Die App mit einem Touch-Stift bedienen, damit man infektionsgeschützt ist. Alles irrelevant.
Weil nur der QR-Code ausschlaggebend ist, gibt es diesen inzwischen auch auf Plastikkärtchen, sogenannten Immunkarten für Leute, die kein Smartphone benutzen möchten oder können. Der Zweck, Sinngehalt und die Prüfung sind exakt gleich.
Fakt: Du musst einen Ausweis sehen
Also: Du musst die CovPass Check App auf deinem Smartphone oder Tablet installieren. Die App gibt es für iOS (Apple) und Android. Damit scannst du dann den QR-Code, den man dir hinhält. Das Ergebnis schaut etwa so aus:
Jetzt sind dir zwei Dinge bestätigt:
- Die digitalen Daten, die im QR-Code stecken, lassen sich bis zu einer offiziellen Signaturstelle zurückverfolgen. Heisst: Die Signatur ist gültig, darauf kannst du dich verlassen.
- Das Zertifikat wurde (hier) für eine
Johanna Elisabeth Mustermann
ausgestellt, geboren am05.05.1955
.
Jetzt bist du gefragt: Steht Johanna Elisabeth Mustermann vor dir? Wenn dir die Person nicht namentlich bekannt ist, musst du einen amtlichen Ausweis prüfen. Personalausweis, Reisepass… alles behördliche mit Bild und Namen ist gut. Wenn jetzt die Daten im Ausweis zu denen in der CovPassCheck App passen: Herzlichen Glückwunsch, du hast sinnvoll geprüft. Wenn du alles bereit hälst, dauert das nur Sekunden.
Hintergrund: Warum reicht es nicht, die App anzustarren?
- Der QR-Code macht für dich als menschlichem Betrachter keinen Sinn. Es sind digitale Daten, du bist kein Computer.
- In den digitalen Daten steckt eine digitale Signatur, deren Unversehrtheit man nur mit komplexen mathematischen Methoden verlässlich prüfen kann. Du bist kein Computer.
- Das User-Interface der App ist kein Beweis. Im dümmsten Fall hält man dir nur einen Screenshot hin. Im elaborierten Fall eine Fake-App, die ausschaut wie die offizielle CovPass App.
- Das hingehaltene Zertifikat kann von einer anderen Person sein. Gute App, gutes Zertifikat, aber falsche Person. Hier hilft nur der Ausweis.
Es hat natürlich auch Fälle gegeben, in denen unvorsichtige oder gar korrupte Apotheken gültige Zertifikate ausgestellt haben, obwohl tatsächlich keine Impfung vorlag. Solche ungültige Zertifikate werden inzwischen von den Apps zurückgewiesen, aber es ist natürlich nicht ausgeschlossen, dass es auch weiterhin vereinzelt zu Missbrauch kommt. Im Großen und Ganzen ist das Verfahren der digitalen Signaturen (diese bilden die Basis) aber sicher und bekannt, man kann ihm bei richtiger Anwendung2 vertrauen.
zB XCode und Swift am Mac, oder Xamarin oder React Native oder Flutter… ehrlich, zahllose Möglichkeiten.
Wenn jemand den Signaturschlüsselt verliert und dieser “in falsche Hände” kommt, dann ist die Sicherheit natürlich dahin. Aber das ist dann nicht die Schuld des Verfahrens.