A technológia már megvan az uniós védettségi igazoláshoz – kérdés, politikai akarat lesz-e

2021.03.24. 07:03

Az Európai Bizottság március 17-én mutatta be a digitális zöldigazolványnak nevezett koronavírus elleni védettségi igazolásáról a javaslatát, amivel reményeik szerint vissza lehetne állítani a szabad mozgás jogát Európában. Mennyire lehet biztonságos adatvédelmi szempontból a rendszer, és hogyan nézhet ki a gyakorlatban? Szakértőkkel jártunk utána!

A technológia már megvan az uniós védettségi igazoláshoz – kérdés, politikai akarat lesz-e

Március 17-én szerdán mutatta be az Európai Bizottság a digitális zöldigazolványnak nevezett védettségi igazolását. A javaslatból kiderült, hogy a Bizottság egy olyan, az egész Európai Unió területén érvényes rendszert szeretne felépíteni, amely megkönnyítené az unión belüli utazást. A zöldigazolvánnyal mindenki igazolni tudná, hogy vagy kialakult már nála a kínai koronavírus elleni védettség vagy pedig nem fertőző. (A javaslatról bővebben itt írtunk.)

A javaslat szerint az igazolványokat a tagállamok állítják ki, tartalmaznia kéne

+ az illető nevét;

+ születési dátumát;

+ a vakcináról, a tesztről vagy a felépüléssel kapcsolatos releváns információt;

+ és egy egyedi azonosítót.

A javaslat azt is leszögezi, hogy a szükséges információkat a tagállamok fogják tárolni. Más tagállamok vagy egyéb szervek az adatokat csak ideiglenesen kezelhetik, és miután megszűnik a kezelést kiváltó ok – például megtörtént a határátlépés –, rögtön törölniük kell.

Azonban még így is sok kérdés megválaszoltalanul maradt a tervezetben? Hogyan nézne ki a technológia, amin keresztül a határőrök le tudnák olvasni az igazolást? Kellenek-e új szoftverek vagy új leolvasók? Megoldható-e az adatok védelme?

Jelenleg ez inkább csak célmeghatározás

Az Azonnali a javaslat kapcsán megkereste Asbóth Mártont, a TASZ Magánszféra-projekt vezetőjét, aki telefonban elmondta, hogy

a javaslat adatvédelem szempontjából eddig megnyugtató, de ettől a gyakorlat eltérhet majd.

Asbóth elmondta, hogy jelenleg részleteiben nem lehet vizsgálni a javaslatot, hiszen elképzelhető, hogy nem is ebben a formájában kerül majd elfogadásra, és még azt sem tudjuk pontosan, hogy mire fognak feljogosítani a digitális zöldigazolványnak nevezett dokumentumok.

„A javaslat jelenlegi állapotában nehéz megmondani ezt, de az bíztató, hogy az adatvédelemmel kifejezetten foglalkoztak. Jelenleg

többet tudunk arról, hogyan lesz biztonságos az adott dokumentum, mint hogy valójában miről fog szólni, és mi lesz az egésznek a tartalma”

– véli Asbóth, aki hozzátette, hogy a javaslat szerint az Európai Bizottság inkább egy keretrendszert alkotna meg, és a tagállamokra bízná, hogy tartalmilag mivel fogják feltölteni a javaslatot.

Asbóth szerint a javaslattal a Bizottság csak kitűzte a célokat, hogy egy olyan rendszert szeretnének létrehozni, amely garantálja az adatbiztonságot – de mivel a dokumentum konkrét használhatóságát nem ismerjük, így nem tudjuk, hogy majd mi számít elegendő adatközlésnek.

„Adatok védelménél alapelv az adatok felhasználásának a célhoz kötöttsége. Csak olyan adatokat lehet kezelni, amelyeknél az adott cél indokolja” – indokolja Asbóth.

A TASZ szakértője szerint elképzelhető, hogy csak a legminimálisabb adatok lesznek szükségesek, mert például határátkelésnél csak azt kell megállapítania a határőrnek, hogy az illető rendelkezik-e valamilyen immunitással, és hogy valóban azé az igazolvány, akit megillet.

„Attól kezdve pedig minden ország saját maga tudja alkalmazni az igazolványokat a saját szabályai alapján” – zárta gondolatait a TASZ jogásza.

Az Azonnali közéleti podcastjában, a Helyzetben Lattmann Tamás nemzetközi jogász is hasonlóan vélekedett. Szerinte a rendeletjavaslat alapján a digitális zöldigazolvány rendben van adatvédelmi szempontból, hiszen az EU nem fog egészségügyi adatokat kezelni, azok megmaradnak a tagállamoknál.

Józsa Gábor, a többek között útlevélolvasó-rendszereket is fejlesztő Adaptive Recognition Hungary Zrt. marketingigazgatója szerint a tervezetben foglaltaknak megfelelően 

könnyen meg lehet valósítani egy biztonságos rendszert, hiszen a technológia már adott hozzá,

a határőröknek csak a QR-kód valódiságát és időbeli érvényességét kellene ellenőrizni, amire szinte bármilyen okoseszköz képes. Ennek megfelelően úgy véli: technológiai akadálya nincs, hogy gyorsan bevezessenek egy ilyen rendszert. A legnagyobb kérdés szerinte leginkább az, hogy a politikai akarat miként fogja módosítani a javaslatot, és hogy „az egyes EU-s tagállamok megbíznak-e egy másik tagállam által kiállított digitális vagy nyomtatott formátumú igazolványában”.

AZ ÜRES HEGYESHALMI HATÁRÁTKELŐ 2020. MÁRCIUSÁBAN. A BIZOTTSÁG AZT REMÉLI, HOGY A JAVASLATTAL VISSZA LEHET ÁLLÍTANI A SZABAD MOZGÁS JOGÁT A SCHENGENI ÖVEZETEN BELÜL. FOTÓ: BAKÓ BEA / AZONNALI.

De hogyan nézhetne ki egy ilyen rendszer?

Józsa szerint egy ilyen rendszerhez nem kellene közös adatbázist építeni, hiszen kivitelezhető úgyis, hogy a szenzitív adatok a tagállamokban maradnak: a tagállamoknak mindössze a QR-kódot kell titkosítania, hogy azt ne tudja dekódolni bárki. „Ahhoz, hogy az adatokat dekódolni tudjam és értelmezhetővé váljon, ehhez ún. publikus és privát asszimetrikus kulcspárok kellenek. A privát kulcsokkal írják, míg a publikus kulcsokkal titkosítják az adatokat és csak a publikus kulccsal lehet olvasni az adatokat. A tagállamok a publikus kulcsokat megosztják egymással, így a QR-kódban található érzékeny adatokat csak az erre jogosultak tudják kinyitni és olvasni a dekódolt adatokat, miután a publikus kulcshoz tartozó privát kulccsal decryptálják (visszafejtik).”

A privát kulcs mindig ott marad a dokumentum kiadójánál – jelen esetben a QR-kód kibocsátójánál – a publikus kulcsok pedig átadásra kerülnek. Ennek a lényege, hogy „ha nálam van a megfelelő publikus kulcs, azzal meg tudom vizsgálni, hogy ezt a QR-kódot egy valid folyamat során készítették, illetve ki is tudom nyitni, ki tudom benne olvasni az adatokat” – véli a szakértő, majd hozzátette: hogy ezzel

el lehet érni, hogy a QR-kódban lévő adat ne legyen bárki számára olvasható, és vissza lehet követni, hogy az adott QR-kódot melyik állam melyik szerve állította ki.

Erre a kulcspárok mellett egy digitális aláírásláncot szoktak használni, ami a sztenderdek szerint az adott országban piramisszerűen épül fel: a csúcs tetején áll a belügyminisztérium, akik kialakítanak egy állami digitális igazolványt (CA – country certificate), majd pedig az alá tartozó többi állami szerv, akik szintén QR-kód készítéssel foglalkoznak, egy saját digitális igazolvánnyal (certificate) rendelkeznek, amiből a QR-olvasó ki tudja olvasni a CA-t, azaz az egész kibocsátási láncot. Így pedig ellenőrizni tudják, hogy egy hiteles, hivatalos kiadás során került a QR-kód elkészítésére.

Hogy érthetőbb legyen az egész folyamat, a szakértő a következő példát hozta: képzeljük el Annát, aki a belügyminisztériumnál dolgozik. Mellette ott van Dezső és Béla, akik más állami szervnél dolgoznak, de Anna megbízásából kiadhatnak QR-kódokat. Amikor Dezső vagy Béla kiad egy QR-kódot, aláírják az Annától kapott privát kulccsal. Amikor egy erre megfelelő személy a QR-kódot ellenőrzi egy másik országban, akkor a kibocsátó országbeli Anna odaadja neki a publikus kulcsot, ezzel ki tudják nyitni az titkosított adatot. Ez a titkosított adat pedig a QR-kód adattartalmát titkosítja le (hash-kódolással). Így ha utólag valaki belenyúlt a QR kódba, nem fog stimmelni a hash kód.

Mennyire biztonságos a QR-kódos rendszer?

Józsa nem aggódik azon, hogy egy nem biztonságos rendszert dolgoznának ki, hiszen a QR-kódokat általában ún. hash kódokkal titkosítják. Ezeknek a lényege, hogy a QR-kódon egy nagyon kis változtatás is a dekódolt adatok nagy mértékű megváltozását eredményezi, ezért a feltörése nem egyszerű, és csak a megfelelő kulccsal lehet dekódolni az általa tárolt adatokat.

A szakértő szerint ha az iparágban elterjedt 256 vagy 512 bites titkosítást használják, akkor csak kvantumszámítógépekkel lehet feltörni a QR-kódot, mivel a 256-os titkosítás 2 a 256-on lehetséges kombinációt jelent. Ez egy hagyományos számítógép számára túl nagy feladat lenne, de Józsa hozzátette, hogy

nem sok értelmét látná, hogy bárki is feltörjön egy QR-kódot, mivel a túl nagy erőfeszítésért csak elhanyagolható haszont lehet szerezni.

„A dokumentumnak az érvényessége mindössze 4-6 hónap, ezért nem valószerű, hogy ezeket a kódokat bárki is feltörné. Sokkal egyszerűbb elintézni a háziorvossal, hogy be legyünk oltva, mintha az eredeti okmányt próbálnánk meg valahogy hamisítani. Főleg, mivel ezek

a digitális zöldigazolványok nem önmagukban álló dokumentumok lennének, hanem mellé már használatban lévő, hiteles utazási okmányok is kellenek.

Ez lehet útlevél vagy személyi igazolvány, míg egy harmadik országból érkezők esetén vízum is szükséges” – véli a szakértő, de azt hozzátette, hogy az ilyen rendszereket amúgy is nagy védelemmel látják el, hogy szinte lehetetlen legyen feltörni ezeket.

Józsa szerint a kérdés érdekesebb része inkább a tagállamokban használt eszközparkok, hiszen

jelenleg 27 eltérő határellenőrzési rendszerről és jogszabályról van szó.

Józsa – mint egy útlevélolvasó-rendszereket is gyártó cég képviselője – munkája miatt többször is találkozott már a tagállamok eltérő rendszereivel, és szerinte hatalmas különbségek vannak az eszközparkok, illetve a személyi tudás kapcsán is a tagállamok között. Szerinte azonban ez nem feltétlenül probléma, hiszen a már meglévő okmányolvasó eszközök is el tudják látni ezt a feladatot. Azonban ha „mélységi ellenőrzést”, azaz határon belüli ellenőrzést is szeretnének, akkor elképzelhető, hogy be kell szerezni pár új okostelefont vagy leolvasót.

Szerinte technológiai akadályai nem lesznek, hogy nyáron már működhessen a rendszer.

„Ha politikailag meg lesz az akarat, hogy ezt minél gyorsabban megvalósítsák, akkor nem hinném, hogy probléma lesz, de kérdés, hogy a 27 tagállam milyen gyorsan ad zöld utat a javaslatnak”

– véli a szakértő.

Józsa azt is hozzátette, hogy ez a technológia nem a mostani javaslat kapcsán lett kitalálva, az EU-ban már 2006 óta használják különböző chippel ellátott útlevelek és egyéb okmányok kapcsán. Emellett egyre több állam használ biometrikus azonosítóval ellátott dokumentumokat, például a magyar személyiigazolvány is ilyen, de több országban a jogosítványokon is szerepelnek ilyen chipek.

De mire lesz jó a magyar hatóságok által kibocsátott védettséget igazoló plasztikkártya?

Arra is kíváncsiak voltunk, hogy Józsa szerint a magyar állam által nemrég kibocsátott védettséget igazoló plasztikkártyák mennyiben illeszthetőek bele a rendszerbe, amit az Európai Bizottság felvázolt.

A szakértő szerint technikailag megoldható lenne, hogy ezeket elfogadják, hiszen a QR-kódhoz csak pár plusz adatsort kellene hozzárakni, ez műszakilag nem nagy feladat. Azonban sajtóértesülések szerint 

a magyar dokumentumból hiányzik az oltás típusa, így más tagállamok nem fogják elfogadni, ha a javaslat a jelenlegi formában kerül elfogadásra.

A magyar plasztikkártya helyzetét hasonlóan látja Lattman Tamás is: szerinte biztosnak látszik, hogy a jelenleg osztogatott magyar oltási igazolás nem felel meg a rendeletjavaslat szerinti EU-s igazolványnak, az szerinte egy másik dokumentum kell majd legyen.

Bővebben érdekel a téma? Olvasd el a javaslatról írt cikkünket itt! Inkább hallgatni szeretnéd? Hallgasd meg a témáról szóló podcastunkat itt!

NYITÓKÉP: Vitárius Bence / Azonnali

Karóczkai Balázs
Karóczkai Balázs az Azonnali újságírója

Mesterdiplomás politológus, 2019 óta újságíró. A külpolitika szenvedély, a belpolitika hobbi, a kultúra pedig kikapcsolódás.

olvass még a szerzőtől

Tetszett a cikk?

Az Azonnali hírlevele

Nem linkgyűjtemény. Olvasmány. A Reggeli fekete hétfőn, szerdán és pénteken jön, még reggel hét előtt – tíz baristából kilenc ezt ajánlja a kávéhoz!

Feliratkozásoddal elfogadod az adatkezelési szabályzatot.

Kommentek