On 07/08/2020, Stefano Quintarelli <stefano@quintarelli.it> wrote:
> non conosco i dettagli
>
> per andare in certi luoghi occorre la vaccinazione contro la febbre
> gialla attestata da un libretto di vaccinazione. (cartaceo)

Anzitutto bisogna vedere cosa viene certificato, indipendentemente dal mezzo di trasmissione della certificazione.

Ha senso certificare una vaccinazione perché è un evento osservabile che lascia tracce ed ha effetti verificabili di lungo periodo: il titolo anticorpale nel sangue del soggetto vaccinato.

Certificare invece lo stato di buona salute è ridicolo.
Ancor di più, certificare un tampone negativo.

Ed è quello che sostiene EFF:

> A person’s COVID-19 status may change from day to day,
> and tests are often hard to come by. This system could
> unfairly punish those who can’t afford to be tested nearly
> constantly. Second, while verifiable credentials might make
> sense for reporting a binary fact (such as whether or
> not a person is 21), medical tests come with strong caveats
> and significant margins of error.
> For example, some COVID-19 diagnostic tests have a false
> negative rate as high as 20 or 30%. The science behind testing
> for COVID-19 immunity is even less settled. According to the
> CDC, “we do not know how much protection [COVID-19]
> antibodies may provide or how long this protection may
> last.” This nuance is lost when a test result is turned
> into a credential.

Il punto comunque è che nell'introdurre un qualsiasi componente in un sistema cibernetico, bisogna sempre considerare gli effetti su tutto il sistema, inclusi i diversi singoli nodi (umani o meno), la loro cardinalità e le loro relazioni.


> perche' non digitalizzarlo, se digitalizzato bene ?

Purtroppo una delle tragiche ironie del nostro tempo è che nonostante il continuo ricorso alla tecnocrazia, i tecnocrati sono profondamente incompetenti.

Dunque è estremamente improbabile che venga "digitalizzato bene".

Naturalmente non sono contrario alla digitalizzazione di un certificato.
Tuttavia la digitalizzazione (mamma che parola lunga!) non è sempre vantaggiosa rispetto alla carta. E' probabile che in tutta una serie di casi sia saggio accostare ad una rappresentazione elettrica del certificato, una rappresentazione più tangibile e duratura.


Detto questo, è importante osservare che la presenza della blockchain garantisce oltre ogni ragionevole dubbio che tale digitalizzazione NON sia "fatta bene".


> questo mi sembra un buon use case di SSI
> https://www.covidcreds.com/


Anzitutto la SSI non richiede la blockchain ed anzi, si tratterebbe di una implementazione inefficiente ed subottimale da un punto di vista di sicurezza contro diversi attaccanti.

E poi la certificazione non necessita di SSI.

Questa è già una mail lunga e non vorrei annoiare nessuno con i dettagli di come implementare un sistema di certificazione digitale sicura più distribuito e resiliente di una blockchain.

Ma non è difficile da immaginare: basta una chiave pubblica per il vaccinatore, una chiave pubblica dedicata allo specifico vaccino per il Ministero della Salute e una per il vaccinato.
Il vaccinatore firma la chiave pubblica del vaccinato e la invia (con la firma) al ministero, che la firma a sua volta e la restituisce al vaccinatore che la consegna al vaccinato.

Bonus point: potenzialmente, nessuno sa CHI sia il vaccinato, ma il vaccinato può dimostrare di essere stato vaccinato.

Vi sono, naturalmente, dei possibili attacchi a questo sistema, ma sono del tutto analoghi a quelli che è possibile effettuare contro una blockchain e che questa non risolve.

D'altronde la blockchain non risolve alcun problema noto all'uomo.
(eccetto forse l'identificazione di alcuni creduloni, di alcuni truffatori ed alcuni incompetenti, ma purtroppo non tutti)

In compenso ne crea a bizzeffe.

A presto!


Giacomo
_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa