Green Pass Wäscherei, UPDATE 3
Da ich im Urlaub bin und nicht verstehen konnte, warum sie die Schlüssel nicht einfach ungültig machen, ist mir aufgefallen, dass die Lecks von nicht verwandten Institutionen zu kommen scheinen: Französisch, Polnisch, Niederländisch und andere kommen hinzu.
Also habe ich mich gefragt: Aber verschiedene Systeme mit unterschiedlicher Sicherheit und unterschiedlichen Anbietern und unterschiedlicher Software zu durchdringen, ist kompliziert. Es ist einfacher, ONE zu durchbohren, sagen wir den mitteleuropäischen.
Aber wie einfach ist das? Wie ist dieses Ding gemacht?
Da ich im Urlaub kein Systemarchitekt sein sollte, habe ich mir das Architekturdokument hier heruntergeladen:
https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-certificates_v5_en.pdf
Gut.
Nicht schlecht.
Der Widerrufsteil wird also hier beschrieben:
Gut. Es gibt ein großes Problem, und es versteckt sich in der Sprache. Wörter wie SOLL, KÖNNTE, SOLL und andere haben eine genaue Bedeutung.
Wie Sie im ersten Screenshot oben sehen können, ist der gesamte Widerrufsteil NICHT obligatorisch. Es ist alles ein SOLLTE, SOLLTE NICHT, EMPFOHLEN.
Kurz gesagt, es ist eine gute Praxis. Und hier sind wir uns einig.
Aber der Punkt ist: Die Implementierung der Funktion, mit der Sie EU-weite Zertifikate deaktivieren können, WAR NICHT ZWINGEND.
Hier beginnt es kalt zu werden.
Vielleicht übersehen Sie den Punkt: Wenn Sie so eine Spezifikation schreiben, landen die entsprechenden User Stories heute im Backlog, im EPIC von „neverHappen“, der im Monat „notGonnaHappen“ durchgeführt wird. Der Tag des „forgetItDay“.
Um es klar zu sagen, ich bin mir nicht sicher, ob der Teil nicht umgesetzt wird: Es hängt von 27 Ländern ab. Vielleicht haben einige „vogon“ Product Owner alles buchstabengetreu umgesetzt. Was mir auffällt, ist, dass dies nicht obligatorisch war und dass es nicht obligatorisch war, sich in der gesamten EU einheitlich zu verhalten.
Dies könnte erklären, warum die Lösungen des Problems bisher alle lokal waren. Es muss Klarheit geschaffen werden.
Und wenn dich dieses Ding zum Zittern gebracht hat, nimm das, was wirklich nicht zu lesen ist:
Lassen wir die Tatsache der Passwörter per Telefon und E-Mail weg…. tatsächlich, nein. Sie versenden die Dateien per Mail, das am schwersten zu sichernde System , und dann folgt das Passwort… per Telefon. Warum haben sie ITU oder so verschlüsselt?
Dieses Zeug mag zig Millionen gekostet haben, aber war es so teuer, einen Offizier der Streitkräfte oder der Polizei zu schicken, um die Akten persönlich zu überbringen? Wir sprechen von 450 Millionen Menschen unter einer Pandemie, FUCK!.
Aber lies den letzten Punkt und schau dir das Diagramm an:
Ist es wirklich notwendig, das System anzugreifen, ich weiß, Franzose? Muss man wirklich 27-mal mehr Gefängnis riskieren, daran arbeiten, mehrere Systeme zu durchdringen, die anders gemacht, anders produziert, anders verteidigt werden, wenn man nur eines durchbohren kann?
Versetzen Sie sich in die Lage eines Angreifers …
Ich bin scheiße, weiß mehr über die EU als Frankreich.
… REBUS [3,4]
