Генератор qr кода вакцинации github
This is a proof of concept (PoC) for creating a QR code system for proving that one has had a valid vaccination record (FHIR, see https://fhir.org).
Key features to demonstrate are
The cryptographic technologies are based on Camenisch-Lysyanskaya signatures and Zero Knowledge Proofs in general, and those of Idemix / Identiy Mixer (and IRMA.app) in particular.
This PoC is part of a wider piece of work to map, assess and curtail the privacy and security risks associated with the use cases for a citizen being able to prove vaccination or the veracity of a negative test result. This is driven by the anticipated need for a COVID-19 proof of vaccination requirement internationally. Note that there is currently no national requirement for such proof.
In particular, the risks and mitigations are explored for both paper-based and digital versions of possible implementations for a proof of vaccination or negative test.
This document explores the realm of possible technical implementation options and the social and legal requirements that constrain which of the technical implementations may be chosen. As such, this interplay defines the envelope within which realistic solutions are likely to fit.
The aim for this project is to be able to show the whole process of how the proposed system might work. There are three main individuals: issuer, holder, and verifier.
There is already a standard medical message for immunization in HL7 (both v3 CDA and FHIR) which can be re-used also for COVID-19 purposes. We use the work that was done in nl-eHealth-experimental repository to produce a FHIR record that has been encoded as a protobuf. We use a subset of the FHIR record that is in the draft version of the WHO requirements.
The records are signed with a Camenisch-Lysyanskaya signature, which allows the proof to be presented in an unlinkable way by means of a Zero Knowledge Proof.
This project is a work in progress. Below if is high level overview of what has been done and what still is being worked on.
Unlinkability: The holder creates a new QR code to present on every scan. QR codes cannot be linked between usages, to the issuance event or to an individual, by the signature itself.
Fits in a QR, can be done offline for the holder
Can contain FHIR(ish) data
To run this proof of concept code run the following command in the directory:
About
This is a proof of concept (PoC) for creating a QR code system for proving that one has had a valid vaccination record
Генератор qr кода вакцинации github
This library helps you generate QR codes in a jiffy. Makes use of bacon/bacon-qr-code to generate the matrix and khanamiryan/qrcode-detector-decoder for validating generated QR codes. Further extended with Twig extensions, generation routes, a factory and a Symfony bundle for easy installation and configuration. Different writers are provided to generate the QR code as PNG, SVG, EPS or in binary format.
Use Composer to install the library.
Usage: using the builder
Usage: without using the builder
Usage: working with results
If you use a barcode scanner you can have some troubles while reading the generated QR codes. Depending on the encoding you chose you will have an extra amount of data corresponding to the ECI block. Some barcode scanner are not programmed to interpret this block of information. To ensure a maximum compatibility you can use the ISO-8859-1 encoding that is the default encoding used by barcode scanners (if your character set supports it, i.e. no Chinese characters are present).
Round block size mode
By default block sizes are rounded to guarantee sharp images and improve readability. However some other rounding variants are available.
Built-in validation reader
You can enable the built-in validation reader (disabled by default) by calling setValidateResult(true). This validation reader does not guarantee that the QR code will be readable by all readers but it helps you provide a minimum level of quality. Take note that the validator can consume quite amount of additional resources and it should be installed separately only if you use it.
The endroid/qr-code-bundle integrates the QR code library in Symfony for an even better experience.
Read the bundle documentation for more information.
Version numbers follow the MAJOR.MINOR.PATCH scheme. Backwards compatibility breaking changes will be kept to a minimum but be aware that these can occur. Lock your dependencies for production and test your code when upgrading.
This bundle is under the MIT license. For the full copyright and license information please view the LICENSE file that was distributed with this source code.
Реверс-инжиниринг QR-кода для доказательства вакцинации
Когда Квебек объявил, что будет рассылать электронные письма с подтверждением вакцинации всем, кто был вакцинирован с помощью прикрепленного QR-кода, у меня немного подкосились колени. Мне не терпелось разобрать его на части и покачать головой из-за количества частной медицинской информации, которая, несомненно, будет раскрыта в процессе.
Наконец-то пришло мое подтверждение вакцинации, и результат… вообще-то неплохой. Тем не менее, в хаках с нулевым разглашением всегда есть какое-то удовольствие, поэтому я все равно решил написать о своем опыте в блоге.
Мое первое впечатление было: «Боже мой, это излишне большой QR-код». Под QR-кодом перечислено не так много информации, поэтому они наверняка кодируют все виды личной информации без моего ведома. Знаете, как тот штрих-код на обратной стороне ваших водительских прав.
Естественно, первое, что я сделал, — отсканировал код с помощью приложения QRcode.
Интересно. Я думал, что там будет старый добрый JSON в бинарном формате, но все было иначе. Кажется, что кодировать кучу цифр в base64 неэффективно, но им удалось запихнуть все в один QR-код.
Небольшой поиск привел меня к схемам IANA’s Big Book O’ URI Schemes, где shc указан как предварительно зарегистрированный под названием SMART Health Cards Framework. Так что это не просто то, что правительство Квебека придумало на ходу, это на самом деле часть реального проекта! Это обнадеживающе и неожиданно.
Оказывается, у этого формата есть обширная документация и очень разумные цели дизайна, которые я нахожу как облегчением как держателя такого кода, так и немного разочаровывающим, когда кто-то собирается разобрать его целиком. Но не важно! У меня есть код и документ, которому нужно следовать, так что давайте снимем крышку и заглянем внутрь.
Согласно документу, использование числового режима для кодирования данных QR-кода обеспечивает немного более высокую плотность данных, чем использование двоичного режима, что объясняет гигантский URI чисел, а не более разумную строку в кодировке base64. Первая загадка раскрыта.
Из этого можно извлечь несколько вещей. Во-первых, очевидно, что PHP по-прежнему остается моим быстрым языком программирования. Как печально, но мы отложим это личное откровение для дальнейшего самоанализа.
С технической точки зрения, теперь все выглядит как строки в кодировке base64. И, конечно же, документ говорит мне, что я должен смотреть на JWS, то есть на подписанный веб-токен JSON.
Я сделаю паузу и скажу, что на самом деле это отличный вариант использования JWT. По сути, вместо какого-то бессмысленного токена или гигантского блока конфиденциальных данных концепция JWT подразумевает, что я должен ожидать список разрешений, на которые я имею право, завернутый в большой двоичный объект, который криптографически подписан эмитентом (в данном случае, Quebec Santé et Services sociaux).
Эта модель хороша тем, что ее может проверить любой, у кого есть соответствующий открытый ключ, даже без подключения к Интернету. Кроме того, ответ на вопрос «имеет ли это лицо право сесть на борт самолета / посетить концерт / посетить резиденцию для пожилых людей?» должны напрямую отвечать встроенным, а не косвенно подразумеваемым через проприетарный API или кучу тайных полей, связанных с номерами партий вакцины и т. д.
Теперь у меня нет копии соответствующего открытого ключа, но тело должно быть подписано, а не зашифровано, поэтому я все еще могу его прочитать.
Возможно, в духе реверс-инжиниринга мне следует вручную демонтировать JWS, но это довольно хорошо документированная (и, что немаловажно, хорошо реализованная) спецификация. Я собираюсь пойти на ленивый выход и использовать для этого пакет Composer web-token/jwt-framework.
Итак, мы успешно декодируем заголовок, но тело не приходит. Подсказка здесь — это «zip»: «DEF» в заголовке, как также указано в спецификации.
полезная нагрузка сжимается с помощью алгоритма DEFLATE (см. RFC1951) перед подписанием (обратите внимание, это должно быть «сырое» сжатие DEFLATE, без каких-либо заголовков zlib или gz
NB: мы декодируем, а затем перекодируем объект JSON, чтобы добавить пробел для удобства чтения, указав константу JSON_PRETTY_PRINT
Там немного больше личной информации, чем строго необходимо, хотя я полагаю, что сочетание имени и даты рождения с удостоверением личности с фотографией — разумный процесс. Они также предоставляют конкретные сведения о вакцинах, а не конкретные разрешения, как я надеялся. Опять же, это делает все более удобным для использования в разных юрисдикциях и избавляет от необходимости повторно выпускать JWS каждый раз при изменении политики, что в случае Квебека происходит примерно два раза в неделю.
На протяжении всего этого анализа я задавался вопросом, что может помешать кому-то просто предъявить совершенно действительное доказательство вакцинации другого человека. Поскольку все тело подписано криптографической подписью, вы не можете изменить чужое доказательство вакцинации, чтобы добавить свое имя, а это означает, что соединение доказательства вакцинации с удостоверением личности с фотографией — вполне разумный план. Это, безусловно, будет иметь место в аэропортах, но я очень сомневаюсь, что на спортивных объектах и т. Д. Будут просить второе удостоверение личности. Они просто отсканируют QR-код, увидят галочку на своем устройстве и перейдут к следующему.
Одна напутственная мысль: в то время как мой процесс был направлен на выяснение того, какие из моих личных данных кодируются в QR-коде, модель JWT печально известна тем, что ее легко испортить, либо забывая проверить перед анализом данных, либо разрешая токены без подписи. Если реализации не соблюдают центральный белый список авторизованных подписывающих лиц, было бы тривиально легко создать совершенно действительный токен, который вы подписываете своим собственным ключом. Как всегда, безопасность модели действительно зависит от того, насколько строго проверяющая сторона обеспечивает соблюдение стандарта.
Однако оказывается, что единственная личная информация — это именно та информация, которая содержится в полном PDF-документе о вакцинации: имя, дата рождения, пол (по какой-то причине), а также информация о дате и конкретных дозах, которые владелец получил на сегодняшний день. Если вас устраивают последствия для конфиденциальности предъявления водительских прав в баре, вы не должны больше беспокоиться о том, что вас попросят предъявить доказательство вакцинации.
Код представляет собой целую кучу мусора, но если вы хотите увидеть, что находится в вашем собственном QR-коде, вы можете проверить репозиторий GitHub для этого поста.
Черный код: как даркнет подстроился под московские QR‑пропуска
Привет. В Москве и Московской области с 28 июня посещение массовых мероприятий и вход в места общественного питания, а также некоторые музеи, возможен только при наличии специального QR-кода. Как и многие другие технологические инициативы, призванные снизить темпы распространения COVID-19, новая тоже привлекла внимание недобросовестных граждан. Появились продавцы и генераторы QR-кодов, оживились интернет-мошенники и не только. Покопавшись немного в даркнете и Telegram, а также пообщавшись со специалистами по информационной безопасности, я написал небольшую заметку: с кейсами и скриншотами.
Важный дисклеймер: статья не является призывом к действию. Если верить представителю комитета Совета Федерации по конституционному законодательству Андрею Клишасу, за нарушений новых требований к посещению общепита и массовых мероприятий может светить как штраф в размере до 40 тыс. руб., так и лишение свободы до 2 лет. Есть, конечно, юристы, которые готовы поспорить с сильным утверждением чиновника, однако проверять никому не рекомендую.
Изъян системы
Для начала предлагаю разобраться, что вообще представляет собой система выдачи и проверки заветных пропусков. С 28 июня в Москве и Московской области начали действовать новые правила посещения мест общественного питания, массовых мероприятий, некоторых музеев и не только. Для прохода гражданам потребуется предоставить сотруднику заведения или организатору мероприятия QR-код, подтверждающий прохождение вакцинации, перенесённое заболевание или наличие отрицательного ПЦР-теста.
Получить QR-код москвичи могут в электронной медицинской карте, на порталах mos.ru и emias.info, едином портале государственных и муниципальных услуг или в специализированном приложении «Госуслуги. Стоп коронавирус». По старинке, в регистратуре городской поликлиники, тоже можно.
Проверка QR-кода кое-как стандартизирована. Согласно указу мэра Москвы от 22 июня 2021 года № 35-УМ «О внесении изменений в Указ Мэра Москвы от 8 июня 2020 г. N 68-УМ», рестораны и кафе должны обеспечить проверку действительности кодов, предъявляемых посетителями, путём сканирования камерой смартфона, планшета или иного подобного устройства с доступом к сети Интернет. А также сверять полученные данные с паспортными.
При этом указом не предусмотрено обязательное использование конкретных приложений для сканирования QR-кодов. Но рекомендуются такие средства, как Единый портал государственных и муниципальных услуг, специализированное приложения Единого портала государственных и муниципальных услуг «Госуслуги.Стопкоронавирус», приложения «Госуслуги Москвы», «Моя Москва» и «Помощник Москвы».
Судя по всему, пренебрегать этими рекомендациями можно. Во всяком случае, руководитель департамента информационных технологий (ДИТ) Москвы Эдуард Лысенко вскоре после объявления новых требований продемонстрировал журналистам процедуру проверки на примере стандартного приложения «Камера» для iPhone.
Фейки идут
С одной стороны, предоставленная проверяющей стороне свобода выбора – положительный момент. Меньше хлопот. С другой – негативный. Потому что при использовании любого приложения-сканера верификацию зашитой в QR-код ссылки (как правило, на сайт «Госуслуг», где хранятся сертификаты) сотруднику общепита приходится проводить на глаз.
«Не смогла пообедать из-за облака» или как добавить QR-код о вакцинации к карточкам в телефон?
Теперь, чтобы посидеть на вашем любимом летнике или спокойно пофрилансить в кофейне, нужно иметь специальный QR-код.
Думаем, все москвичи и гости столицы уже столкнулись с этим и объяснять ничего не нужно, но на всякий случай оставим ссылку для тех, кто еще не в курсе.
И буквально за несколько дней новых правил с нашим сотрудником и с девушкой из соседнего офиса произошло две истории.
Первая – наш разработчик очень долго искал скриншот с QR-кодом в галерее телефона на входе в Кофеманию, чем создал очередь позади себя и кучу недовольных посетителей. В итоге, пока нашел и зашел внутрь – свободных столиков же не осталось.
Вторая – еще более грустная. Девушка из соседнего офиса просто не смогла пообедать. Не смогла, потому что забыла заплатить за связь, а QR-код, как назло, не загрузился в память телефона из облака. Вайфая, естественно, в центре Москвы в XXI веке, поблизости не оказалось. В итоге психанула и пошла в Пятерочку за булкой.
Конечно, на фоне всего, что происходит вокруг – это мелочи, да. Но это мелочи, которые бесят.
QR-код можно найти в одном из следующих мест – Госуслуги, mos.ru, ЕМАИС.ИНФО и Стопкоронавирус. Староверы могут получить такой QR-код в регистратуре поликлиники по месту жительства/прибывания.
Не забывайте, что вместе с QR-кодом вы обязаны предъявить документ, удостоверяющий вашу личность – только в случае совпадения данных из QR-кода и из вашего паспорта вас посадят за столик.
Самое простое – сделать скриншот. Чтобы каждый раз не заходить в госуслуги. Но, людям, которые делают много скриншотов и фотографий такой вариант не подойдет. Пример можно прочитать выше.
Сохранять в облако тоже не очень удобно. Пока найдешь, пока загрузишь – вы поняли.
Поэтому мы предлагаем вам добавить QR-код в Apple Wallet или Google Pay – там он точно не потеряется среди миллиона фотографии и не выгрузится в облако. К тому же на айфоне это самый быстрый способ открыть его – двойным нажатием по боковой клавише вызвать Apple Pay и смахнуть до карты с QR-кодом.
1. Получите свой QR-код на одной из выше перечисленных платформ – все они в итоге ведут на страницу госуслуг.
2. Отсканируйте этот QR-код любым способом – вам нужно получить ссылку, которая в нем закодирована. Простым языком – скопировать её из адресной строки браузера, когда откроется такая страничка, как на скрине ниже.
3. Перейдите по ссылке и заполните анкету. В поле «Ссылка на QR-код» вставьте ссылку, скопированную в прошлом шаге.
4. Сохраните карту в устройство. Она автоматически добавится в Apple Wallet, если у вас айфон и в Google Pay – если у вас андройд. Ниже – один из уже установленных в Apple Wallet QR-кодов.
На обороте карты, для удобства, мы добавили несколько ссылок – чтобы вы могли поделиться анкетой для получения карт с друзьями, а также с ссылками на mos.ru и ваш сертификат на госуслугах.
Делитесь статьей со своими друзьями, родственниками, коллегами – всеми, кому было бы удобно использовать QR-код в таком формате. Спойлер – это очень удобно, проверили на себе.
Passteam не занимается выдачей новых QR-кодов, мы только предоставляем возможность добавления уже существующего в Apple Wallet и Google Pay.
По правде говоря, на этапе получения карты через анкету вы можете вставить в поле «Ссылка на QR-код» что угодно. Система сгенерирует QR-код для любого содержания.
Мы не подтягиваем данные из госуслуг и не проверяем валидность сертификата – этим занимаются сотрудники организаций на входе.