COVID-vaccinatiepaspoorten zijn tijdens de pandemie van het coronavirus buitengewoon verdeeldheid gebleken, vanwege problemen met betrekking tot burgerlijke vrijheden of hun potentieel om de meer aarzelende groepen in de samenleving te discrimineren.

Maar terwijl veel regeringen over de hele wereld doorgaan met de implementatie ervan in een poging de verspreiding van COVID-19 in te dammen, is de veiligheid van onze gegevens een grote reden tot bezorgdheid geworden.

Veel COVID-passen werken door voor elke gebruiker een QR-code of 2D-barcode te produceren die kan worden gescand als bewijs van vaccinatie. De streepjescodes die in sommige van deze paspoorten worden gebruikt, zijn niet zo veilig omdat ze niet worden gegenereerd met gecodeerde gegevens. Ze kunnen echter worden beveiligd als nationale regeringen, internationale organisaties en wereldwijde technologiebedrijven samenwerken om de opwindende mogelijkheden die deze technologie biedt optimaal te benutten.

In de streepjescode is een verifieerbaar legitimatiebewijs ingebed dat de vaccinatiestatus aantoont, en een aantal persoonlijke gegevens, afhankelijk van het formaat van de streepjescode. Deze bevatten waarschijnlijk de volledige naam en geboortedatum van de gebruiker. Om authenticiteit te garanderen en fraude te voorkomen, bevat de streepjescode ook een unieke digitale handtekening die wordt gegenereerd op basis van de inhoud ervan.

Een aantal programma's voor vaccinpaspoorten zijn al onder vuur komen te liggen vanwege een gebrek aan veiligheid, waaronder die in New York en Quebec, die zijn bekritiseerd omdat ze mensen in staat stellen de streepjescodes van andere mensen te verkrijgen door hun gegevens in te voeren. Om sommige zorgen weg te nemen, heeft de EU haar eigen open standaard voor vaccinpaspoorten opgesteld:het EU Digital COVID-certificaat (EUDCC). Het is goedgekeurd door de 27 EU-landen en 18 andere landen.

Dit neemt echter niet weg dat de inhoud van het certificaat niet versleuteld is, zodat iedereen met toegang tot de streepjescode (en de nodige vaardigheden) deze kan decoderen en de persoonlijke informatie erin kan ophalen. Dit geldt voor COVID-paspoorten in de EU, Canada, het VK, Californië en Nieuw-Zeeland. Er zijn slechts kleine verschillen in de manier waarop de gegevens worden gecodeerd, maar in al deze gevallen zijn ze niet versleuteld.

Om de inhoud van het COVID-certificaat te versleutelen, moet er een zogenaamde versleutelingssleutel zijn die is gekoppeld aan het certificaat en de digitale identiteit van de eigenaar. Momenteel versleutelen de meeste COVID-barcodes hun inhoud niet vanwege het ontbreken van een digitale identiteitsinfrastructuur en de vereiste om offline te werken. Dit brengt de persoonlijke informatie van een gebruiker in gevaar.

Er is ook nog een ander probleem met de huidige COVID-certificaten. Ze worden ondertekend door de uitgever (bijvoorbeeld de NHS) met behulp van een regio- of landspecifieke sleutel of code. Als iemand de sleutel zou krijgen, zou hij een vals certificaat kunnen maken. De autoriteiten zouden moeten reageren op de frauduleuze COVID-paspoorten door de gecompromitteerde sleutel in te trekken, wat zou betekenen dat alle reeds bestaande COVID-certificaten ongeldig zouden worden.

Waarom streepjescodes gebruiken

Tot voor kort bestond digitaal identiteitsbeheer voor een computergebruiker uit een eenvoudige gebruikersnaam en wachtwoord. Het is een systeem dat over het algemeen al meer dan 60 jaar werkt. Maar de huidige explosie van online-inhoud, uitdagingen op het gebied van cyberbeveiliging en privacykwesties zorgen ervoor dat een gebruiker meer controle moet hebben over zijn eigen digitale identiteit.

Onze identiteit bestaat in wezen uit miljoenen kleine waarheden over onszelf. Verifieerbare referenties in een streepjescode kunnen ons in staat stellen om slechts één enkele waarheid te delen in plaats van onze hele identiteit, om aan de specifieke situatie te voldoen als de gegevens voldoende zijn versleuteld.

Het strekt tot eer dat het COVID-certificaat precies dat doet. Het is een eenvoudig bewijs van een individuele waarheid, waarmee u in theorie kunt aantonen dat u bent ingeënt zonder andere details prijs te geven. Het feit dat het certificaat niet helemaal veilig is, wijst op het ontbreken van een robuustere digitale identiteitsinfrastructuur.

Potentiële risico's

Het ontbreken van dit stukje van de digitale identiteitspuzzel moet in de toekomst worden rechtgezet. Tot die tijd kunnen de huidige COVID-paspoorten misbruikt worden.

De persoonlijke informatie op het vaccinatiebewijs is op het eerste gezicht niet bijzonder gevoelig, omdat deze vaak gemakkelijk te vinden is op andere plaatsen, zoals een rijbewijs, schoolgegevens of paspoort. Maar in de toekomst, wanneer deze technologie meer wijdverbreid is, zullen we waarschijnlijk vergelijkbare certificaten gebruiken die verifieerbare referenties bevatten in vrijwel elk aspect van ons leven, zoals om toegang te krijgen tot een gebouw of diensten, of om aankopen goed te keuren (zowel in de winkel als online ).

Dit heeft positieve en negatieve gevolgen voor gebruikers. Aan de positieve kant hoeven we alleen de minimale hoeveelheid persoonlijke informatie op een zeer gebruiksvriendelijke manier te verstrekken. We kunnen ons bijvoorbeeld aanmelden bij websites zonder zelfs maar een naam in te voeren.

Maar als we op veel plaatsen niet-beveiligde streepjescodes presenteren, die allemaal kleine enkele waarheden over onszelf bevatten, dan kunnen deze uiteindelijk mogelijk worden gecombineerd en kan de identiteit van de persoon op wie ze betrekking hebben, worden aangetast.

Dit is het aantal cybercriminelen dat momenteel werkt, waarbij gegevens uit verschillende informatiebronnen worden gecombineerd, waardoor de digitale identiteit van een persoon in de loop van de tijd kan worden geconstrueerd. Dit kan leiden tot een verhoogd risico op identiteitsdiefstal en mogelijk worden gebruikt als basis voor een verscheidenheid aan cybercriminaliteit.

Maar ondanks al deze zorgen over digitale paspoorten, moeten we niet vergeten dat als het op internationale schaal kan worden beveiligd, dit soort digitale identiteitstechnologie een aanzienlijk potentieel voordeel heeft voor burgers - en niet alleen voor vaccinatiecertificaten.