Das Impfzertifikat ist bei der tagesschau recht kurz und gut beschrieben
https://www.tagesschau.de/inland/corona ... s-101.html
https://www.tagesschau.de/inland/impfna ... p-101.html
Soweit ich das mitbekommen habe, geht ein mit dem Zettel oder dem Impfpass mit den zwei (bzw 1 bei J&J) Einträgen zu einer Apotheke oder Praxis, die das machen. Die geben die Daten in eine spezielle Webseite des Gesundheitsministeriums ein und bekommen einen QR-Code zurück.
Dieser Code ist alles, was gebraucht wird. Er kann auch einfach als Papier, Kopie, Foto oder in der Corona-Warn-App oder der neuen Impf-App des RKI mitgenommen werden. So jedenfalls der Plan.
Beim Check irgendwo wird der Code und der Perso gezeigt, denn im Code stecken Name, Vorname und Geburtsdatum. Die werden mit dem Perso abgeglichen. (Was wohl heisst, dass ich angesichts meines Fotos von 2015 auch meinen dgti-EA werde zeigen müssen...)
Warum QR-Code? Weil die Informationen darin "signiert" sind. Dadurch ist er theoretisch fälschungsicher, obwohl er beliebig kopiert werden kann. Theoretisch kann kein Mensch ausser der Stelle beim Ministerium einen gültigen Code erzeugen.
Allerdings wird es noch eine reichlich verzwickte Diskussionen über das System geben. Hauptsächlich weil die Umsetzung in der Praxis ein paar Lücken aufweist. Die Signierung selbst ist ziemlich wasserdicht. Ein gültiger _deutscher_ Code kommt mit ziemlicher Sicherheit aus dem Gesundheitsministerium.
Aber da sehr viele Apotheken und Praxen die Dinger einfach mit den Papierimpfnachweisen eingeben und erzeugen dürfen, könnten zB Impfgegnys mit Zugang dazu echte Zertifikate für Menschen erzeugen, die gar nicht geimpft sind. Oder Menschen gehen mit einem gefälschten gelben Impfpass/Zettel - käuflich im Internet - zu einer Apotheke/Praxis und lassen den dort quasi digital "vergolden".
Die Möglichkeiten für Angriff und Missbrauch sind also eher nicht technisch, sondern logistisch. Die technische Lücke ist, dass einzelne Zertifikate nicht nachträglich ungültig gemacht werden können. Gefälschte Codes können nicht aus dem Verkehr gezogen werden.
Ich denke, dies wurde zum Teil als bewusster Schwund zugunsten der schnellen und sehr effizienten Umsetzung einkalkuliert. Der Check ist nämlich dezentral und offline möglich. Ohne Internet und potenziell ausfallende Server.
Erledigen wird sich das möglicherweise mit der Zeit, wenn Auffrischungen nachgewiesen werden müssen und der neue Code direkt bei der Impfung erzeugt wird. Dann fallen jetzt erzeugte Fälschungen raus und die Missbrauchslücke wird etwas kleiner.
.
