Muitos passaportes de vacina têm falhas de segurança – veja como torná-los mais seguros
Certificado digital de vacinação COVID em papel da União Europeia. Crédito:Nataliya Vaitkevich / Pexels, CC BY-SA 4.0
Os passaportes de vacinação contra COVID provaram ser extremamente divisivos durante a pandemia de coronavírus, devido a questões relacionadas às liberdades civis ou seu potencial para discriminar os grupos mais hesitantes em vacinas da sociedade.
Mas, à medida que muitos governos em todo o mundo avançam em sua implementação na tentativa de conter a disseminação do COVID-19, a segurança de nossos dados se tornou um grande motivo de preocupação.
Muitos passes COVID funcionam produzindo um código QR ou código de barras 2D para cada usuário que pode ser digitalizado como prova de vacinação. Os códigos de barras usados em alguns desses passaportes não são tão seguros porque não são gerados com dados criptografados. No entanto, eles podem se tornar seguros se governos nacionais, organizações internacionais e empresas globais de tecnologia trabalharem juntos para aproveitar ao máximo as possibilidades interessantes que essa tecnologia apresenta.
Embutida no código de barras está uma credencial verificável que comprova o status de vacinação e vários dados pessoais, dependendo do formato do código de barras. É provável que incluam o nome completo do usuário e a data de nascimento. Para garantir a autenticidade e evitar fraudes, o código de barras também contém uma assinatura digital exclusiva que é gerada com base em seu conteúdo.
Vários programas de passaporte de vacina já foram criticados por falta de segurança, incluindo os de Nova York e Quebec, que foram criticados por permitir que as pessoas obtenham códigos de barras de outras pessoas inserindo seus dados. Para mitigar algumas preocupações, a UE estabeleceu seu próprio padrão aberto para passaportes de vacinas - o Certificado COVID Digital da UE (EUDCC). Foi adotado pelos 27 estados da UE e 18 outros países.
No entanto, isso não resolveu o fato de que o conteúdo do certificado não é criptografado, então qualquer pessoa com acesso ao código de barras (e as habilidades necessárias) pode decodificá-lo e recuperar as informações pessoais contidas nele. Isso se aplica a passaportes COVID na UE, Canadá, Reino Unido, Califórnia e Nova Zelândia. Há apenas pequenas diferenças na forma como os dados são codificados, mas em todos esses casos eles não são criptografados.
Para criptografar o conteúdo do certificado COVID, deve haver o que é conhecido como chave de criptografia associada ao certificado e à identidade digital do proprietário. Atualmente, a maioria dos códigos de barras COVID não criptografa seu conteúdo devido à falta de infraestrutura de identidade digital, bem como à necessidade de operar offline. Isso coloca as informações pessoais de um usuário em risco.
Há também outro problema com os atuais certificados COVID. Eles são assinados pelo emissor (por exemplo, o NHS) usando uma chave ou código específico da região ou do país. Se alguém obtiver a chave, poderá criar um certificado falso. As autoridades teriam que responder aos passaportes COVID fraudulentos revogando a chave comprometida, o que significaria que todos os certificados COVID preexistentes se tornariam inválidos.
Por que usar códigos de barras Até recentemente, o gerenciamento de identidade digital para um usuário de computador consistia em uma credencial simples de nome de usuário e senha. É um sistema que funciona, no essencial, há mais de 60 anos. Mas a atual explosão de conteúdo online, os desafios de segurança cibernética e as preocupações com a privacidade estão impulsionando a necessidade de um usuário ter mais controle de sua própria identidade digital.
Nossa identidade é essencialmente composta de milhões de pequenas verdades sobre nós mesmos. Credenciais verificáveis em um código de barras podem nos permitir compartilhar apenas uma única verdade em vez de toda a nossa identidade, para se adequar à situação específica se os dados forem criptografados adequadamente.
Para seu crédito, o certificado COVID faz exatamente isso. É uma simples prova de uma verdade individual, em teoria, permitindo que você demonstre que foi vacinado sem revelar outros detalhes. O fato de o certificado não ser totalmente seguro indica a ausência de uma infraestrutura de identidade digital mais robusta.
Riscos potenciais A ausência dessa peça do quebra-cabeça da identidade digital deve ser corrigida em algum momento no futuro. Até então, os atuais passaportes COVID podem estar abertos a abusos.
As informações pessoais envolvidas no certificado de vacinação não são particularmente sensíveis ao valor de face, porque muitas vezes são facilmente encontradas em outros lugares, como carteira de motorista, registros escolares ou passaporte. Mas no futuro, quando essa tecnologia estiver mais difundida, provavelmente usaremos certificados semelhantes que contêm credenciais verificáveis em praticamente todos os aspectos de nossas vidas - como acessar um prédio ou serviços ou aprovar compras (tanto em lojas quanto on-line ).
Isso tem consequências positivas e negativas para os usuários. No lado positivo, só precisaremos fornecer a quantidade mínima de informações pessoais de uma maneira muito amigável. Por exemplo, seremos capazes de se inscrever em sites sem sequer digitar um nome.
Mas se apresentarmos códigos de barras não seguros em muitos lugares, cada um contendo pequenas verdades sobre nós mesmos, então, eventualmente, eles podem ser combinados e a identidade do indivíduo com quem eles se relacionam pode ser comprometida.
É assim que muitos cibercriminosos trabalham atualmente, combinando dados de diferentes fontes de informação, o que permite que a identidade digital de uma pessoa seja construída ao longo do tempo. Isso pode aumentar o risco de roubo de identidade e pode ser usado como base para vários crimes cibernéticos.
No entanto, para todas essas preocupações sobre passaportes digitais, devemos lembrar que, se puder ser protegido em escala internacional, esse tipo de tecnologia de identidade digital tem um potencial significativo para os cidadãos – e não apenas para certificados de vacinação.