Toimitamme sinulle nopeasti yksityisen koronatodistuksen sekä suomeksi että englanniksi!

Tietoturva – näin todistuksemme on rakennettu

Tietoturva – näin todistuksemme on rakennettu

Miten tietoturva kasvaa käyttämällä Validorin todistusta?

Tietoturva on yksi tärkeimmistä tekijöistä Internetin välityksellä myytävissä terveyspalveluissa. COVID-19:ään liittyvien todistuksien väärentämisellä on selkeästi kysyntää, kuten uutisista on voinut lukea. Henkilö, joka pyrkii käyttämään väärennettyä todistusta pyrkii oletettavasti saavuttamaan tästä hyötyä itselleen tai lähipiirilleen toiminnallaan. Hän on mahdollisesti rokottamaton, voi olla koronapositiivinen, ei ole käynyt lainkaan koronatestissä tai voi myös olla koronanegatiivinen. Henkilö, joka on rokotettu tai joka on juuri testattu negatiiviseksi, ei tarvitse väärennettyä todistusta.

Jos yksikin henkilö väärentää todistuksensa, hän voi sairastuneena altistaa suuren määrän ihmisiä. Näin koronavirus leviää, karanteeneja määrätään ja yhteiskunnallisesti tuntuvia taloudellisia tappioita koetaan. Sekä väärennettyjen todistusten hyväksyminen että välinpitämättömyys todistusten aitoudesta syö kansalaisten luottamusta osallistua koronasta vapaisiin tapahtumiin. Väärennetyt todistukset siirtävät koronapandemiasta eroon pääsemistä aina vain pidemmälle. Pahimillaan virukselle ilmaantuu otollisia mahdollisuuksia mutatoitua rokotetussa populaatiossa ja pandemian kierre jatkuu.

Ainoa tapa estää väärennösten mahdollisuus ja siitä aiheutuvat riskit terveydelle on luoda tietoturvallinen todistus, jota ei voi väärentää ja joka voidaan yhdistää luotettavasti tiettyyn henkilöön. Todistuksen oikeaksi todentamisen pitää olla helppoa, nopeaa ja yksinkertaista, jotta se ei aiheuta elinkeinoelämän tai yksilön toiminnalle pullonkauloja.

Validorin koronatodistus on tällainen!


Kuinka Validorin todistus toimii?

Tietoturva on meille tärkeää ja siksi Validor Oy:n todistus perustuu PGP-salaukseen.

Ensin luodaan vahva avainpari: luodaan julkinen avain ja salainen avain. Salaisella avaimella pystyy luomaan allekirjoituksia ja niiden oikeellisuus voidaan varmentaa julkisella avaimella. Julkisella avaimella ei voida luoda uusia allekirjoituksia eikä julkisesta avaimesta voi johtaa salaista avainta.

Validorin todistuksen QR-koodi sisältää seuraavat tiedot:

  • tilauslomakkeeseen täytetyt henkilötiedot ja terveysinformaatiota (esim. rokotusten ajankohdat)
  • informaatiota Validorin salaisella avaimella lasketusta allekirjoituksesta
  • avainparin sormenjäljen

Validor julkaisee julkisen avaimensa, mutta pitää salaisen avaimen salassa muilta. QR-koodin lukuvaiheessa julkisella avaimella tarkistetaan, onko QR-koodissa oleva informaatio allekirjoitettu Validorin toimesta Validorin salaisella avaimella. Validorin QR-koodilukija ei lähetä terveystietoa internetiin ja sitä voi myös käyttää offline-tilassa, kunhan sivu on ladattu.

Jos QR-koodissa olevaa terveystietoa yritetään muuttaa, annettu informaatio ja allekirjoitus eivät enää täsmää ja koodia tarkastettaessa nähdään virheilmoitus. Jos terveystietoa yritetään allekirjoitetaan muulla kuin Validorin avaimella, tämän sormenjälki ei täsmää Validorin avaimeen – nähdään jälleen virheilmoitus. Jos taas Validorin allekirjoittama QR-koodi siirretään hyväksytystä, alkuperäisestä todistuksesta johonkin muuhun todistukseen ja muut lomakkeen tiedot väärennetään, QR-koodin terveystiedot eivät enää täsmää lomakkeessa ilmoitettuihin muihin tietoihin.

Näiden ominaisuuksien vuoksi Validorin koronatodistus on lähes mahdoton väärentää. Väärennys onnistuu vain jos yritetään laskea PGP-avaimen kaikki kombinaatiot ja kokeillaan niitä (tähän menee miljoonia vuosia nykyisillä tietokoneiden laskentatehoilla) tai varastamalla Validorin salainen avain ja tämän jälkeen allekirjoittamalla todistuksia sillä (tätä vasten on tehty tarvittavat toimenpiteet).

Validorin todistukset ovat virallisia lääkärin kirjoittamia todistuksia. Todistuksen allekirjoittanut asiantuntijalääkärimme on omakohtaisesti vastuussa siitä, että todistuksessa olevat tiedot ovat paikkansapitäviä. Todistuksen kirjoittamisesta jää myös merkintä todistuksen tilanneen henkilön omiin terveystietoihin Kanta-arkistoon. Kaikilla asiantuntijoillamme on Valviran myöntämä oikeus toimia lääkärinä Suomessa. Heidän tietonsa voi tarkastaa Julkiterhikin haun avulla. Validor Oy:llä on myös Valviran myöntämä oikeus harjoittaa terveydenhuollon alan liiketoimintaa ja tiedot voi tarkastaa Kanta-arkiston koodistopalvelusta.


Miksi terveystietoa ei lähetetä Validorin QR-koodissa?

Puhelimet osaavat nykyään lukea QR-koodeja ja surffata näiden avulla nettisivuille lukemansa tiedon kera. Miksi samaa menetelmää ei käytetä Validorin QR-koodissa? Kun puhelin lukee kamerallaan QR-koodin, se etsii koodista automaattisesti internetosoitetta ja mikäli tällainen löytyy, voi puhelin ehdottaa osoitteeseen surffaamista.

Internetosoitteeseen voidaan upottaa informaatiota erilaisilla ns. GET-parametreillä. Tietojen lähettäminen osoitteeseen upotettuna ei ole kuitenkaan ole terveystiedon kannalta täysin ongelmatonta. Vaikka yhteys olisi salattu käyttäen HTTPS-protokollaa, linkki itsessään saattaa sisältää informaatiota, joka paljastaa terveystietoja. Tiedot voivat olla luettavissa linkin itsensä kautta tai palvelimen käsitellessä linkkiä palauttaen siihen liittyvät terveystiedot.

Jos tällainen linkki päätyy vääriin käsiin, osa terveystiedoista (esimerksi tieto käydystä koronatestistä, testituloksesta tai koronarokotuksesta) voi paljastua tahoille, joille sen ei haluta paljastuvan. Linkki voi päätyä vääriin käsiin monella tapaa: ihmisen manuaalinen virhe, vakoilevan selainlisäosan käyttö, tietokoneen haittaohjelma tai vastaanottavan palvelimen konfiguraatiovirhe ovat muutamia tapoja, joilla terveystieto voi karata vääriin käsiin.

Esimerkki 1: Tiedon lähettäminen suoraan linkissä

Tietosisältö: “Villellä ei ole koronaa”
Internet-osoite: https://linkki-joka-on-esimerkki-ja-ei-toimi.fi/?varmennusavain=123tieto=%E2%80%9CVillell%C3%A4%20ei%20ole%20koronaa%E2%80%9D

Osoitteeseen surffatessa sivu palauttaa tiedon siitä, onko linkissä annettu annettu tieto “Villellä ei ole koronaa” paikkansapitävä. Tämä varmistetaan linkissä olevan varmennusavaimen avulla. Lukemalla linkin nimi paljastaa tässä esimerkissä jo terveystietoa, ja tämä on ongelmallista. Palvelin palauttaa lisäksi linkin välityksellä terveystietoja, mikä on yhtä lailla ongelmallista. Jos linkki palauttaa ainoastaan tiedon, että linkin sisältämä tieto on totta, ei ole keinoa varmentaa, kehen yksilöön tuo linkki on kohdennettu. Tämä mahdollistaa väärennökset linkkiä tallentamalla. Tämä on yksilönturvan kannalta erittäin huono asia.

Esimerkki 2: Linkki avaa sivun, joka kertoo terveystietoja

Internet-osoite: https://linkki-joka-on-esimerkki-ja-ei-toimi.fi/?varmennusavain=123

Verrattuna esimerkkiin numero yksi, linkin nimessä itsessään ei ole tällä kertaa mitään, mikä paljastaisi terveystietoa käyttäjästään. Mikäli linkki avaa sivun, joka paljastaa terveystietoja kenelle tahansa, ollaan jälleen ongelman äärellä. Tällöin kuka tahansa, jolla on varmennusavain, voi päästä linkin sisältämään tietoon käsiksi. Avain on edelleen luettavissa salaamattomana kuten esimerkissä numero yksi. Lisäksi kaikkiin avaimiin liittyvä tieto pitää tallentaa palvelimelle, joka muodostaa keskitetyn rekisterin terveystiedoista ja siten tietoturvariskit kasvavat. Linkkien vuotamisen lisäksi myös palvelin, jolle terveystiedot talletetaan, voidaan aina teoriassa murtaa. Tämä valitettava tapahtuma nähtiin Psykoterapiakeskus Vastaamon tapauksessa.

Lopputulos: ainoastaan linkkiin perustuva tapa varmistaa tietoa on aina enemmän tai vähemmän tietoturvaongelma. Todistusten tietoturva ja sen ymmärtäminen on tärkeää, siksi selitämme tässä kaiken juurta jaksain. Validor Oy:n tuottama koronatodistus ei perustu kumpaankaan ylläolevaan esimerkkiin ja siten todistuksemme kautta ei ole mahdollista vuotaa terveystietoa vääriin käsiin. Käyttämämme protokolla tekee todistusten väärentämisestä äärimmäisen vaikeaa, jopa käytännössä mahdotonta.


Miksi Validorin palvelu on tietoturvallinen?

Tietoturva on prioriteetti numero yksi Validorille. Todistuksemme on turvallinen ensinnä sen vuoksi, että terveystietoja ei säilytetä Validorin palvelimilla vaan ainoastaan Kanta-arkistossa. Tämä estää terveystietojen päätymisen vääriin käsiin, mikäli Validorin palvelimet murretaan. Ostamme tarvitsemiamme palveluita ainoastaan luotetuilta toimittajilta: Mediconsult tuottaa potilastietojärjestelmämme, vahvasta tunnistautuminen ja tilauslomakkeet on toteutettu Visman palveluilla ja sähköiset dokumentit perille toimittaa Suomen Turvapostin salattu sähköposti.