Der digitale Impfpass ist jetzt seit kurzer Zeit verfügbar und schon gibt es die ersten Probleme. Doch zuerst möchte ich euch erklären, wie der digitale Impfpass überhaupt funktioniert.

Was ist der digitale Impfnachweis?

Der digitale Impfnachweis ist eine schnelle, sichere und einfache Möglichkeit nachzuweisen, dass man geimpft ist (Wie hoffentlich jeder, der das liest. Falls nicht -> Ab zum nächsten Impfzentrum oder Arzt.). In dem digitalen Zertifikat werden der Name, das Geburtsdatum und das Ausstellungsdatum, sowie Angaben zum Impfstoff mit dem geimpft wurde oder zum Test oder der Genesung gespeichert. Dritten kann so leicht nachgewiesen werden, dass man zum vernünftigen Teil der Menschheit gehört.

Wie Funktioniert der digitale Impfnachweis?

Das System ist eigentlich relativ gut durchdacht und wird so oder so ähnlich in Millionen von Anwendungen verwendet. Es funktioniert folgendermaßen: Eine berechtigte Stelle (zum Beispiel ein Impfzentrum oder eine Apotheke) erfasst die benötigten Daten (s.o.). Diese werden dann an das Robert-Koch-Institut gesendet und dort signiert. Dann bekommt die Stelle das ganze zurück und kann daraus dann den QR-Code erstellen, der mit der Corona-Warn-App gescannt werden kann. Diese Daten sehen ungefähr so aus:

HC1:5BVAXN*TS0BC$ZDFRH%YJLXBRTAIPH123YHM3XHP+56R53F5418BOMBX4NXR-RQQHIZC5.OI1RM8ZA*LPRT2GHKW/F3IKJ5QH*AF/GJ5M71IK.G7/G .G-4L90L4GAO.F8CA3IK9/HCAWNNSJ3SD+CD1KURPYE9/MVFK0*LA 436IAXPMHQ1*P1HU1+ZEXC5OH6PO0:TUQJAJG9-*NIRICVELZUZM9EN9-O9/IE%TE6UG+ZEAT1HQ1THGE 9ZIEQKERQ8IY1I$HH%U8 9PS5-LH/CJTK44L6SR9MU9DV1 R13PI�PN1/T1%%HN9GL$UP$I/XK$M8NN9JAKVON$3LIGF5JNBPIHVUK+VSTL4H2.UI.YU+ZB$SHVM6AW21234H9TZUXZQTK1U+VFTK9T3/UI2YURKEDVB-KGO�VFWQG/V74PIQJAZGA+1V2:U2E4N9U30S6LF:TVMWM00Q2%D:SFB7D2P5B5CLY4SO45GEXVJL NF AMV1U3IQASV-7U35:LD*IA+QBU3JR0B.UIMHJ7BSXWISGED8MQYMU508GF30

Damit kann man erstmal wenig anfangen.

Für Nerds: Nach dem „HC1:“ beginnt der interessante Teil: Ein base45 codierter Block, der dekodiert zlib-komprimmierte Daten preisgibt.

Für alle anderen: Das ganze sind komprimierte Daten und keine geheimen „Zaubercodes“. Damit ihr selber seht, dass das so ist, habe ich euch einen kleinen Scanner gebastelt (Berechtigung für Kamera nötig!), mit dem ihr euer eigenes Impfzertifikat entschlüsseln könnt und selbst sehen könnt, was da alles an Daten drin steckt.

Für alle anderen habe ich hier mal einen solchen Beispieldatensatz erstellt und beschrieben:

  "v":[
      {
         "ci":"UGN:UVBI:01DE/A78654110/6PT9GEB1ND125Q954BL6Q4#K", (Zertifizierungsdaten)
         "co":"DE",
         "dn":2, (Zweite Impfung)
         "dt":"2021-06-01", (Datum der Impfung)
         "is":"Robert Koch-Institut", (Aussteller des Zertifikats)
         "ma":"ORG-100030215", (EMA SPOR-System Code von Biontech[:])
         "mp":"EU/1/20/1528", (EU-Zulassung[:])
         "sd":2, (von zwei Impfungen)
         "tg":"840539006", (Alpha-ID Codes der Krankheit[:])
         "vp":"1119349007" (SNOMED-Code des Impfstoffes[:])
      }
   ],
   "dob":"2000-01-01", (Geburtsdatum)
   "nam":{
      "fn":"Musterfrau", (Nachname)
      "gn":"Gülcan Erika", (Vor- und Zunamen)
      "fnt":"MUSTERFRAU", (Nachname wie unten im Personalausweis)
      "gnt":"GUELCAN<ERIKA" (Vor- und Zunamen wie unten im Personalausweis)
   },
   "ver":"1.3.0" (Zertifikatsversion)

Das ist jetzt natürlich noch nicht das ganze Geheimnis. So könnte sich ja jeder einen QR-Code basteln, der genau diese Daten enthält und würde damit zum Beispiel Zutritt zu Konzerten erhalten.

Daher enthält der digitale Impfnachweis ein Sicherheitsmerkmal. Er ist signiert, wie oben bereits erwähnt.

Die Signatur

Die Signatur ist die große Stärke des digitalen Impfnachweises aber auch gleichzeitig auch das Problem an der ganzen Idee.

Diese sieht etwa so aus:

"TESTCTX": {
        "VERSION": 1,
        "SCHEMA": "1.0.0",
        "CERTIFICATE": "MIIBWTCCAQCgAwIBAgIFAK7oh64wCgYIKoZIzj0EAwIwEDEOMAwGA1UEAwwFRUMtTWUwHhcNMjEwNTAzMTgwMDAwWhcNMjEwNjAyMTgwMDAwWjAQMQ4wDAYDVQQDDAVFQy1NZTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABIQ5ERHXUAPDk3phCru13jtRzJnVcwXYd8jCm0wAez9TFnJhHkxGEW0pvQB7FQJkqcr3H4FDsxaf6Z5i55nQcWOjRzBFMA4GA1UdDwEB/wQEAwIFoDAzBgNVHSUELDAqBgwrBgEEAQCON49lAQEGDCsGAQQBAI43j2UBAgYMKwYBBAEAjjePZQEDMAoGCCqGSM49BAMCA0cAMEQCIA6il0H0Shfie72mZBX+F1PbQXA88HCkAF1HZKjIQW8VAiBiIdQGkNxs3+vpcAwRqrRyXel6y2e/M2Qgr4PWy2Ms5g==",
        "VALIDATIONCLOCK": "2021-05-03T20:00:00+02:00",
        "DESCRIPTION": "VALID: EC 256 key",
        "GATEWAY-ENV":["ACC"]
    }

Im wesentlichen funktioniert das so: Es gibt einen privaten Schlüssel und einen öffentlichen Schlüssel. Ein Schlüssel ist dabei eine lange Zeichenkette. Beide Schlüssel gehören dabei zusammen, aber lassen keine Rückschlüsse aufeinander zu. Wird ein Dokument signiert (hier der Impfpass), dann werden die Daten vom Impfpass zusammen mit dem privaten Schlüssel und der aktuellen Uhrzeit kombiniert und es entsteht eine neue Zeichenkette, die sogenannte Signatur, die widerum keine Rückschlüsse auf den privaten Schlüssel zulässt.

Wird jetzt etwas an dem Dokument verändert, dann passt die Signatur nicht mehr zu dem Dokument. Ob das so ist, das lässt sich in einem weiteren Algorithmus mit der Uhrzeit, der Signatur, dem Dokument und jetzt dem öffentlichen Schlüssel überprüfen. Der Algorithmus kann dann entweder sagen „Ja, die Signatur passt zu dem Dokument!“ oder „Halt, die Signatur und das Dokument passen nicht zusammen!“. So wird sichergestellt, dass das Dokument 1. von dem stammt, der sagt, dass er es signiert hat und 2. genau den Inhalt hat, den dieser signiert hat.

Die Probleme

Die erste Schwachstelle ist dabei der private Schlüssel. Gelangt dieser in die falschen Hände, dann kann damit jeder einfach selber Dokumente signieren und diese passieren dann die Kontrolle. Das heißt, dass dieser Schlüssel gut gesichert sein muss.

Die zweite Schwachstelle ist jedoch der Anwender. So auch beim digitalen Impfpass. Das Problem ist folgendes: Momentan gibt es in Deutschland eine Stelle, die für alle Apotheken signiert. Das ist das Robert Koch-Institut. Dieses gibt den Apotheken einen Zugang zu seinem Signatursystem. Dort loggen sich die Apotheken ein, erstellen ein Impfzertifikat und laden das zur Signatur hoch. Das Impfzertifikat wird dann vom RKI signiert und anschließend mit Signatur an die Apotheken zurück geschickt. Beim RKI, dem Staat oder der Apotheke verbleiben dabei keinerlei Daten.

Das heißt jedoch auch, dass wenn eine Apotheke Zertifikate an unberechtigte (sog. Covidioten) ausstellt, lässt sich die Signatur nicht ohne weiteres für ungültig erklären. Die einzige Möglichkeit ist, dass der öffentliche Schlüssel als ungültig markiert wird. Dann wären aber alle Zertifikate, die mit dem zugehörigen privaten Schlüssel signiert worden sind gleichermaßen ungültig. Also alle Zertifikate, die irgendjemand aus einer Apotheke in Deutschland erhalten hat.

Warum immer so stümperhaft?

Sinvoller wäre es gewesen, wenn jede Apotheke ein eigenes Schlüsselpaar erhalten hätte. Das hätte nur unwesentlich mehr Aufwand bedeutet, keine zusätzliche Infrastrukur erfordert, aber den riesen Vorteil gehabt, dass bei einer Apotheke, die nicht ordnungsgemäß arbeitet gezielt alle Zertifikate von dort für ungültig erklärt werden könnten. Dazu wäre eine etwas genauere Überprüfung der Apotheken bei deren Registrierung von Vorteil.^[:]

Wie immer scheint der Grund in Deutschland zu sein: Die, die es können, die werden nicht gefragt und Leute wie Andi Scheuer und Jens Spahn bleiben im Amt. Schade eigentlich, denn technisch ist der digitale Impfpass ohne Beanstandung umgesetzt. Genau deshalb stellt er trotz seiner Schwächen in der konkreten Umsetzung einen Meilenstein der Digitalisierung in Deutschland dar.

Zum weiterlesen für Nerds:

• https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-certificates_dt-specifications_en.pdf
• https://github.com/eu-digital-green-certificates/dgc-testdata/tree/main/DE