¡El pasaporte de vacunación de la UE ha llegado! La empresa   ha trabajado día y noche durante las últimas semanas para garantizar que millones de alemanes pudieran disfrutar de un verano de libre circulación. UBIRCH  El certificado de vacunación parece un simple código QR en papel, pero se invirtió mucha tecnología para garantizar la seguridad de los datos personales, hacerlos accesibles solo para usuarios autorizados y también difíciles de falsificar.  En un   dirigido a los CTO, Matthias Jugel, el CTO de UBIRCH compartió lo que pasó con la tecnología y explicó cómo decodificar simplemente el contenido del código QR. podcast  El Programa de Vacunas de la UE  El pase de vacunación alemán se basa en los protocolos definidos por la   para sus estados miembros. Unión Europea en cuanto a certificados de vacunas  Cuando recibe su vacuna, crea un pequeño conjunto de datos que contiene su información personal, su nombre y su fecha de nacimiento, por ejemplo, y también alguna información sobre la vacunación real: el fabricante; identificación del producto de la inyección; la fecha en que recibió su inyección y qué inyección en una serie de dosis.  La UE también tiene   sobre cómo se debe manejar este conjunto de datos. Debe colocarse en una representación binaria que luego se firma con un material de clave criptográfica. Cualquiera que tenga la clave pública ahora puede verificar que sea auténtica. protocolos  Esta   luego se comprime y codifica en base-45, que se sabe que es muy eficiente en combinación con códigos QR. Luego, la representación de texto en base 45 se coloca en un código QR que se imprime y tiene su código y su pase. La cadena completa es: base45 > zlib > objeto COSE -> CBOR representación binaria  Este método es diferente de un token JW porque es un poco más pequeño. Un JWT está codificado en base 64, puramente basado en texto y no está comprimido en sí mismo. Esto significa que no puede contener tanta información en la misma cantidad de datos básicamente, por lo que al final es muy grande.  Aún así, alguien tiene que encargarse de convertir el conjunto de datos en una pieza de datos firmada. Por lo tanto, UBIRCH brinda un servicio en el que reciben los datos, los transforman, los firman y luego devuelven algo que puede imprimirse en un código QR o imprimirse como un documento PDF. Todo esto se hace a través de los centros de vacunación.  Descifrando su propio Green Pass  Aunque legalmente solo el personal autorizado debe verificar el contenido del código QR, aún puede verificar qué hay dentro de su propio código QR desde un punto de vista técnico. Sin embargo, no podrá realizar la verificación de la firma, ya que el acceso a las claves públicas no está oficialmente disponible. Entonces, el siguiente código es solo para nerds que quieren saber qué datos están codificados en su código QR.  1. Utilice un lector de códigos QR para obtener el contenido de su propio código QR. Uno basado en navegador está   : aquí  Aquí hay un código QR de muestra de una persona ficticia que usaremos para este ejemplo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ree un archivo de Python con el siguiente código y guárdelo como decode.py       json   sys   zlib   base45   cbor2   cose.messages   CoseMessage payload = sys.argv[   ][   :] print(   + payload)   decoded = base45.b45decode(payload)   decompressed = zlib.decompress(decoded)   cose = CoseMessage.decode(decompressed)   print(json.dumps(cbor2.loads(cose.payload), indent=   )) #! /usr/bin/env python3 import import import import import from import 1 4 "decoding payload: " # decode Base45 (remove HC1: prefix) # decompress using zlib # decode COSE message (no signature verification done) # decode the CBOR encoded payload and print as json 2  3. Instale todas las bibliotecas necesarias para usar el código de ejemplo:    pip3 install cryptography==2.8 pip3 install cose pip3 install cbor2 pip3 install base45  4. Ejecute el archivo python    python3 decode.py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sí es como se vería la salida:    {   :   , // issuing country   :   , // expires at   :   , // issued at   : {   : {   : [ {   :   ,   :   ,   :   ,   :   ,   :   ,   :   ,   :   ,   :   ,   :   ,   :   } ],   :   ,   : {   :   ,   :   ,   :   ,   :   },   :   } } } "1" "DE" "4" 1655209933 "6" 1623673933 "-260" "1" "v" "ci" "URN:UVCI:01DE/IZ12345A/21E0JXD7UQY6ECLM3WT7YF#8" "co" "DE" "dn" 2 "dt" "2021-04-01" "is" "Robert Koch-Institut" "ma" "ORG-100031184" "mp" "EU/1/20/1507" "sd" 2 "tg" "840539006" "vp" "1119349007" "dob" "1964-08-12" "nam" "fn" "Mustermann" "gn" "Erika" "fnt" "MUSTERMANN" "gnt" "ERIKA" "ver" "1.0.0"  La Verificación de Pases de Vacunación - Offline  Sin embargo, la verificación real se puede realizar fuera de línea, para cumplir con los requisitos de la UE. Las aplicaciones corona se ocupan de la verificación de dichos pases, sin necesidad de Internet. La verificación se realiza íntegramente a través del teléfono.  Las aplicaciones obtienen las claves públicas y verifican la firma, y luego, según el uso previsto, pueden presentarle el contenido del código QR, los datos que realmente están allí.  Hay 2 tipos de aplicaciones disponibles.  La aplicación oficial para personal autorizado y la aplicación oficial para el público.   Aplicación CovPass Check para personal autorizado  La aplicación oficial se creó para permitir viajar gratis en la UE. Está destinado a ser utilizado cuando cruza una frontera o cuando la policía o alguien que quiera saber si tiene permitido estar allí lo revisan en el extranjero.  Esta información contiene datos personales y es por eso que la aplicación oficial, que puede acceder a todos los datos contenidos en el código QR, es solo para personal autorizado.   La aplicación oficial de CovPass para uso público  Puede obtener una aplicación autorizada de la tienda de aplicaciones que le indicará si el código QR escaneado es válido. La idea detrás de esto es presentar la menor cantidad de información personal posible, para proteger la privacidad de todos los involucrados.   Uso de Blockchain para verificar los pases de vacunas: en línea  Para su solución piloto, que se aplicó en dos condados alemanes, UBIRCH utilizó la tecnología blockchain para hacer que los pases de vacunas fueran verificables en cuanto a autenticidad e integridad de manera descentralizada.  Las personas en el centro de vacunación completan un formulario web con sus datos: nombre, fecha de nacimiento, fecha de vacunación, qué tipo, todos los datos que la UE quiere recopilar.  Al enviar, esta información se codifica junto con una sal, lo que la hace anónima.  El hash se envía al backend donde se ancla en la cadena de bloques.  Se genera una URL que contiene todos los datos proporcionados en el formulario web  También se crea un QR que, al escanearlo, mostrará los datos capturados por el formulario web.  Si alguien solo quiere validar la URL, puede ir a la URL, se decodifica y se envía un hash al servidor y se envía una respuesta si es válida con una firma.  UBIRCH todavía usa la tecnología blockchain en otros casos de uso. Sin embargo, en estrecha colaboración con el cliente y de acuerdo con los requisitos finales de la UE, se eligió otro enfoque para la implementación del certificado digital COVID en Alemania.   Este artículo se basó en un episodio de podcast de alphalist. El podcast alphalist presenta entrevistas de CTO y otras figuras de liderazgo técnico y los temas van desde la tecnología hasta la gestión.   Los invitados de las principales empresas tecnológicas comparten sus mejores prácticas y conocimientos.                 El objetivo es apoyar a otros CTO en su viaje a través de la tecnología y la ingeniería, inspirar y permitir un adelanto de otras empresas exitosas para comprender cómo piensan y actúan. Obtenga información asombrosa sobre las principales empresas tecnológicas, personalidades y tendencias del mundo escuchándolas hoy en Apple , Spotify , Google , Deezer y más.  Si usted es un CTO de una empresa de productos tecnológicos, tal vez le interese unirse a   , ¿una red exclusiva de CTO? Comuníquese con nosotros para obtener más información. alphalist

Chain

Abroad

Apple

Google

2022 - HackerNoon Contributor of the Year - Fintech

2022 - HackerNoon Contributor of the Year - Php

Nominated for 2022 - HackerNoon Contributor of the Year - Php

Nominated for 2022 - HackerNoon Contributor of the Year - Fintech

Founder, CTO and Podcast Host

Este audio es producido en el idioma original de la historia!

Demasiado Largo; Para Leer

CTA: Download the FREE AI Productivity Shift report

Cómo decodificar su propio pase verde de vacunación de la UE con unas pocas líneas de Python

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

Creación de productos criptográficos centrados en el usuario: la importancia de los comentarios de los clientes

Las capas invisibles: por qué las entrevistas con los usuarios son un activo irremplazable

Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Creación de productos criptográficos centrados en el usuario: la importancia de los comentarios de los clientes

Las capas invisibles: por qué las entrevistas con los usuarios son un activo irremplazable

Aumente su productividad con estas 18 herramientas para desarrolladores 🚀🔥

¿Quieres ganar un concurso de redacción de HackerNoon? Esto es lo que recomiendan los ganadores del concurso #crypto-api

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps