这是纽约的“疫苗护照”应用程序的工作原理。

纽约是第一个发布“疫苗护照”应用程序的州。它是如何工作的?它的安全性如何?

作者:Violet Blue

更新

A hand caryrying a phone with the Empire Pass vaccine app on it
使用应用程序比随身携带卡片要方便得多。IBM

关于数字“疫苗护照”的大规模讨论和辩论已经如火如荼地展开。纽约州最近推出了自己的应用程序,而佛罗里达州、德克萨斯州和蒙大拿州的州长则发布了禁止使用疫苗通行证的命令。

你可以随身携带你的CDC疫苗接种卡或新的检测结果——尽管这对所有人来说都可能不实用也不安全。无论你是决定继续使用纸质版本,还是采用数字化的新常态,这些应用程序很快就会推广开来,用户群也可能会迅速增长。

数字“疫苗护照”应用程序引发了一些棘手的隐私和安全问题。如果你和我们一样,可能只信任一两个应用程序。所以,想到一个随机的应用程序拥有你的医疗信息,以便你能去看音乐会,这让你感到警惕,你不是一个人。这大概就是为什么纽约的Excelsior Pass——运行在IBM的Digital Health Pass平台上——在发布时就因其未解答的隐私和安全问题而受到负面媒体关注。

纽约是第一个推出数字疫苗“护照”供场馆使用的州。它类似于虚拟登机牌的应用程序,但适用于希望顺利参加音乐会、棒球比赛和其他需要疫苗接种证明或“一切正常”的检测结果才能入场的活动的人。

Excelsior Pass吹嘘其隐私和安全功能——但却用“区块链”等流行语掩盖了重要细节。令人担忧的是,一位评论员说,该应用程序“使用起来很复杂,而且很容易被伪造”。鉴于这些应用程序很快将在国内和国际上使用,IBM的Health Pass在赢得我们的信任之前值得仔细审查。

IBM的平台如何运行纽约的Excelsior Pass

A person scanning an Empire Pass vaccine app
该应用程序只共享特定信息。IBM

在评估大多数应用程序的隐私和安全性时,首先要问这两个问题

——我的数据在“静止”状态下是如何安全的?也就是说,它存储在哪里?应用程序从哪里获取你的数据,又将数据发送到哪里?

——我的数据在这些三个位置之间传输时是如何安全的?

你还需要知道**谁**负责保护这些数据保护的痛点。

例如,你的应用程序的安全性部分取决于你。选择一个强密码并保持警惕的安全措施(不共享你的密码等)将始终至关重要。

其余的责任落在应用程序开发者和数据存储者身上。正如我们在过去几年里吸取的惨痛教训,大多数人在保护你的安全和隐私方面都做得非常糟糕,并且会不遗余力地避免对其疏忽负责。

细节决定成败(安全细节)

恕我直言,对于Excelsior Pass存在的善意隐私和安全担忧和批评,似乎存在一些关于该系统确切工作原理的技术误解。**《流行科学》**采访了IBM Watson Health新兴业务网络副总裁Eric Piscini,他向我们介绍了Digital Health Pass和纽约Excelsior Pass所使用的安全流程。

IBM的Digital Health Pass是一个应用程序框架,客户可以对其进行定制。就Excelsior Pass而言,客户是纽约州。用户首先访问纽约州Excelsior Pass网站,点击“开始”,然后阅读并同意**条款**。这些条款很重要,因为它们提醒我们“你提供的信息不是用于健康护理治疗、支付或运营(根据《健康保险流通与责任法案》(HIPAA)定义)的受保护健康信息。”

然后,用户输入他们的姓名、出生日期和邮政编码,以验证他们的身份。

之后,个人数据——疫苗接种记录和/或检测结果——将从州卫生部门检索,并转换为二维码。唯一可查看的信息是姓名、出生日期、任何到期日期(例如,检测结果的到期日期)以及生成该结果的日期。

在创建二维码之前,所有数据加密都在州方面完成,而不是在用户的手机上——也许最重要的是——它不会被保存。它是短暂的。没有账户创建,如果你丢失了这个二维码(或者它过期了),你将不得不重新进行二维码创建过程。

接下来,用户可以通过官方应用程序将二维码导入手机,或者导入到iPhone的钥匙串中,或者打印二维码以显示纸质副本。这个步骤很巧妙,因为在你的数据从网站传输到手机(或打印机)之前,它已经被加密了,所以明文数据不会在传输过程中被(通过薄弱的Wi-Fi安全或其他攻击方法)“看到”。

当你到达你期待已久的棒球比赛、空气吉他比赛或你选择的动漫展时,你将二维码出示给门卫。他们也有应用程序,并使用它来扫描你的结果;他们设备上的结果显示你的姓名、出生日期,以及一个绿色的对勾或一个红色的“X”。屏幕还会提示门卫与你的身份证进行交叉比对。

绿色表示通过

说到链,**“区块链”**是如何做到安全的?事实证明,与“区块链”和IBM的Health Pass合作的不是加密货币、分布式账本或区块链安全术语的伎俩。正如Piscini先生向**《流行科学》**解释的那样,Health Pass使用区块链平台的一小部分来注册数据导入事件,并创建一个独特的加密“**哈希**”以供将来验证身份。

那么,最坏的情况会发生什么?嗯,有人可能会看到你未遮挡的自拍照和你的CDC疫苗接种卡,并利用这些数据生成一个通行证。所以请不要发布那些自拍照,除非你知道如何安全地隐藏你卡片上的出生日期或其他数据。(最安全的方法是在拍照前用拇指盖住敏感信息。)即便如此,身份盗窃者也必须希望他们遇到的检票员不会要求看身份证,或者今天过得很懒散。

目前还不清楚“核对身份证”这一安全链的人工环节能有多牢固。毕竟,人就是人。

最终,有些人会乐于使用数字新冠“护照”,而有些人则不会,这和机场的登机牌应用程序一样。只要确保你所在州或国家选择使用的任何数字疫苗通行证生成器都不是来自某个想要跟踪或出售你数据的可疑新冠创业公司应用程序,或者某个公司让你通过Facebook登录的阴暗公司。

这肯定比随身携带你的CDC疫苗接种卡要好,因为在疫情的这个阶段,丢失它将是一件非常麻烦的事情。

 

更多优惠、评测和购买指南

查看更多装备
 
© .