Před 14 dny, v pondělí 7. června, jsem zde na Lupě poprvé popisoval, jaký je princip (unijních digitálních) covidových certifikátů i jejich QR kódů, co osvědčují (provedené očkování, absolvované testy i prodělané onemocnění) i jak fungují a jak se s nimi bude pracovat. V té době se mi podařilo najít jen jednu mobilní aplikaci (dánský Coronapas), schopnou číst a ověřovat tyto certifikáty.

Od té doby došlo k následujícím změnám:

také v ČR byla vydána mobilní aplikace pro čtení a ověřování QR kódů, s názvem čTečka. Časovou platnost certifikátů o absolvovaných testech ale hodnotí odlišně od doporučení EU

připravuje se (a do konce června by měla být vydána) aplikace pro uchovávání a předkládání certifikátů a jejich QR kódů, s názvem Tečka

PDF verze certifikátů, které si jejich držitelé stahují z očkovacího portálu, ÚZIS přestal opatřovat svou elektronickou pečetí

byla opravena chyba, která způsobovala, že na PDF verzi certifikátů byly nesprávné (a po každém stažení jiné) unikátní identifikátory

Pojďme nyní k jednotlivým změnám podrobněji.

Čtečka už je dostupná

O vydání tuzemské aplikace pro čtení a ověřování QR kódů jste se mohli dočíst i zde na Lupě, v této aktualitě. Jde o mobilní aplikaci s názvem čTečka, která je dostupná ve dvou verzích: pro iOS byla vydána 15. června, a pro Android pak o tři dny později, až 18. června.

Jejím vydáním se pochlubil NAKIT, ale vydavatelem v příslušných appstorech je formálně Ministerstvo zdravotnictví. A mimochodem, třídenní odstup u vydání obou verzí zřejmě umožnil zareagovat na změnu terminologie, přijatou na unijní úrovni již 20. května: zatímco verze čTečky pro iOS se ještě prezentuje jako „Aplikace pro ověřování Digital Green certifikátů“, verze pro Android už o sobě říká, že je „Aplikací pro ověřování Digital Covid certifikátů“.



Autor: Jiří Peterka

Zdůrazněme si ale, že stále jde jen o aplikaci pro (čtení a) ověřování certifikátů, resp. jejich QR kódů. Je tedy určena primárně „kontrolorům“ – těm, kteří potřebují ověřovat splnění určitých požadavků ze strany někoho jiného. Například pořadatelům různých akcí, kterým se účastníci těchto akcí prokazují QR kódy svých certifikátů.

Nejde tedy o aplikaci určenou „prokazujícím se“ osobám. Například oněm účastníkům akcí či lidem cestujícím do zahraničí atd. Pro ně je určen jiný druh aplikace – takové, která jim umožní načíst si jejich certifikáty (resp. jejich QR kódy) a těmi se pak prokazovat přímo ze svého mobilu či tabletu, bez nutnosti tisku na papír. Jak si ale ještě řekneme dále, takováto aplikace (s názvem Tečka) u nás teprve čeká na své vydání.

Pro srovnání: dánská aplikace Coronapas, kterou jsme si popisovali minule, v sobě slučuje obě funkce – jak (čtení a) ověřování ze strany „kontrolorů“, tak i uchovávání certifikátů (resp. jejich QR kódů) jejich držiteli, kteří si je mohou načítat do aplikace přímo z příslušného dánského rejstříku. U nás jsme se tedy rozhodli jít cestou dvou samostatných aplikací (čTečka a Tečka), zatímco v Dánsku zvolili jednu společnou aplikaci pro oba účely. S tím, že čTečka již je k dispozici, zatímco na Tečku si ještě musíme počkat.

Certifikáty o PCR testech: 7 dnů, nebo 72 hodin?

Pojďme nyní již k tomu, jak naše čTečka funguje. Její srovnání s ověřující částí dánského Coronapasu ukazuje určitý rozdíl v koncepci, který je dobře patrný na následujícím obrázku: v jeho levé části je výsledek ověření certifikátu PCR testu dánskou aplikací. Vidíte zde vypsané údaje o testu a době jeho provedení, ale není zde žádné hodnocení toho, zda – v době, kdy je ověřování prováděno – lze certifikát ještě považovat za platný. Nikoli „platný“ z hlediska jeho validity jako elektronického dokumentu (resp. platnosti el. podpisu/pečeti v QR kódu), ale z hlediska toho, o čem certifikát vypovídá. Tedy z hlediska medicínských účinků či „akceptace“ toho, co je prokazováno (očkování, test či prodělaná nemoc).



Autor: Jiří Peterka

Naše čTečka, jejíž hodnocení vidíte v pravé části obrázku, totiž hodnotí stejný certifikát (resp. jeho QR kód) jako již neplatný – z důvodu vypršení jeho časově omezené platnosti. Zde konkrétně, v případě certifikátu o provedeném PCR testu, počítá s jeho platností (ve výše uvedeném smyslu, tedy medicínských účinků) po dobu 7 dnů. Resp. 168 hodin, protože se nepočítají celé kalendářní dny, ale hodiny a minuty.

Obvyklá praxe při cestách z/do zahraničí je přitom taková, že u PCR testů se pracuje pouze se 3 dny, resp. 72 hodinami (když je požadován negativní test ne starší než 72 hodin). S takovouto dobou (72 hodin) přitom pracuje i relevantní doporučení EU. A s dobou 72 hodin počítají i pravidla příjezdu do ČR.

Nicméně naše ministerstvo zdravotnictví již na přelomu dubna a května poprvé zavedlo u PCR testů, pro jejich „tuzemské využití“, platnost právě v délce celých 7 dnů (a následně tuto délku potvrdila i vláda). Aplikace čTečka tak funguje podle těchto „tuzemských“ pravidel – což je asi logické vzhledem k očekávanému využití (v tuzemsku).

Ale pozor na to, když pojedete někam do zahraničí: čTečka může vyhodnotit jako (stále ještě) platný i takový certifikát, který vám v zahraničí již neuznají (jako příliš starý). A nemusí vám být uznán ani při návratu do ČR.

Další drobný rozdíl (mezi naší a dánskou aplikací), kterého si můžeme povšimnout na předchozím obrázku, se týká dvojitého výpisu jména a příjmení držitele. Připomeňme si v této souvislosti, že QR kód identifikuje držitele jen skrze jeho jméno (a příjmení), a pak již jen datem narození. Ale ono jméno (a příjmení) se v QR kódu uvádí jednou s diakritikou (resp. v národní abecedě) a jednou bez diakritiky. A naše čTečka zobrazuje obě varianty jména (a příjmení), zatímco dánský Coronapas jen verzi bez diakritiky.

Certifikáty o antigenních testech: 72, 48 nebo 24 hodin?

Podle následujícího obrázku, který ukazuje obdobné srovnání pro výsledek antigenního testu, pracuje naše čTečka s časovou platností v délce 3 dnů. Přesněji: 72 hodin. Což je opět hodnota, kterou si nastavilo naše ministerstvo zdravotnictví, a následně potvrdila vláda – pro „tuzemské využití“.



Autor: Jiří Peterka

I zde je poměrně významný rozdíl oproti praxi v zahraničí, která u antigenních (nebo: tzv. „rychlých“ testů) pracuje s dobou jen 24 hodin. Ale aby to nebylo až tak jednoduché, na unijní úrovni se doporučuje 48 hodin. A pravidla příjezdu do ČR hovoří u antigenních testů také o 48 hodinách.

Pokud jde o platnost očkování, konkrétně vakcínou Comirnaty od společností Pfizer a Biontech, zde naše čTečka pracuje s platností 9 měsíců.



Autor: Jiří Peterka

Pro úplnost si ještě ukažme, jak to vypadá v případě certifikátu, osvědčujícího prodělané onemocnění: zde čTečka pracuje s platností 6 měsíců.



Autor: Jiří Peterka

K čemu jsou aktualizace čTečky?

Připomeňme si také, že celý princip práce s QR kódy certifikátů (který jsme si popisovali minule) předpokládá offline ověřování, tedy i zařízením bez momentálního přístupu k internetu. Velmi stručně je to tak, že aplikace si stahují k sobě vše potřebné pro ověření podpisu (pečeti) na QR kódu (především jde o certifikáty oprávněných vydavatelů, používané k vytváření podpisů, resp. pečetí). Konkrétně u aplikace čTečka se to odráží v nabídce „Aktualizovat parametry“, kterou můžete využít.



Autor: Jiří Peterka

Moje praktická zkušenost je ale taková, že aplikace vás sama upozorní, pokud jsou parametry „starší“ než 24 hodin, a v případě dostupného připojení si aktualizaci provede sama.

Kvitovat lze i to, že k aplikaci je dostupná nápověda, resp. uživatelská příručka.



Autor: Jiří Peterka

K dispozici (na webu ÚZISu) je i popis samotných certifikátů a jejich podstaty. Škoda jen, že jsou zde stále prezentovány pomocí svého původně uvažovaného názvu (jako digitální zelené certifikáty), a nikoli v souladu s finální terminologií (jako Digitální COVID certifikáty EU).

A ještě jedna zajímavost naší čTečky, kterou zcela jistě nenajdeme u žádné obdobné zahraniční aplikace: umí načíst i QR kódy (fakticky: URL odkazy) z původních tuzemských (očkovacích) certifikátů, vydávaných ještě před 1. červnem, které nejsou vůbec kompatibilní s unijními technickými specifikacemi (podrobněji v minulém článku). Vyhodnotí je jako neplatné a upozorní, že se jedná o původní (starý) druh očkovacího certifikátu.



Autor: Jiří Peterka

Co dělat, když ještě není Tečka?

Pojďme nyní již k tomu, co a jak by měla umět aplikace Tečka, až se (zřejmě koncem června) stane dostupnou. Připomeňme si, že právě toto je (resp. bude) aplikace pro ty, kteří se potřebují svými certifikáty prokazovat.

Podle dostupných informací by Tečka měla umět načítat certifikáty (nejméně) dvěma různými způsoby:

skenováním QR kódu, nebo

přímým načtením certifikátu z očkovacího portálu, po řádném přihlášení

Druhá možnost možná vypadá na první pohled komplikovaně a zbytečně. Ale vychází vstříc všem, kteří se nechtějí zatěžovat tiskem na papír, případně nějak snímat QR kód z jednoho zařízení na druhé. A může být k nezaplacení třeba na cestách, kde nemáte právě k dispozici tiskárnu či další mobil nebo tablet. Nebo když už jste přímo na letišti a čekáte, zda se potřebná verze vašeho certifikátu alespoň na poslední chvíli přeci jen objeví na očkovacím portále a vy kvůli tomu nezmeškáte svou vytouženou dovolenou.

Ale s hodnocením aplikace Tečka si musíme počkat až do doby, kdy bude skutečně dostupná. Mezitím se můžeme zastavit u toho, jaké jsou již dnes dostupné alternativy. A to vedle „klasického papíru“, na kterém můžeme mít svůj certifikát vytištěný.

Chcete-li vše řešit „elektronicky“, jde asi použít v zásadě jakékoli řešení pro práci s obrázky na vašem zařízení – protože QR kód vlastně není nic jiného než obrázek. Takže si ho můžete nasnímat a jako obrázek pak také zobrazovat, jakmile to bude potřeba. Stejně tak může fungovat i zobrazování samotného obsahu PDFka s certifikátem.

Je to ale spíše jen nouzové řešení, které vás může obdařit mnoha praktickými problémy. Od nedostatečného rozlišení či jasu až po ztlumení či úplné vypnutí displeje v tu nejnevhodnější chvíli.

Dnes ale již existují volně dostupné aplikace umožňující načíst (optickou cestou) QR kód jednoho či několika certifikátů a ty pak na požádání zobrazovat. Příkladem může být tato italská aplikace, která umí přečíst i základní údaje o držiteli certifikátu (abyste dokázali rozlišit mezi certifikáty různých osob, pokud je máte načtené na stejném zařízení). Ale určitě existují i další obdobné aplikace a jistě jich bude přibývat.



Autor: Jiří Peterka

PDFka s certifikáty už bez pečetí

V minulém článku zde na Lupě jsem kritizoval způsob pečetění PDF souborů s certifikáty, které se stahují z očkovacího portálu – že nejde o kvalifikované elektronické pečeti (ale jen o „zaručené elektronické pečeti, založené na kvalifikovaném certifikátu“), že nejsou opatřeny kvalifikovaným časovým razítkem, že k jejich vytvoření byla využita zastaralá a již příliš slabá hashovací funkce SHA1 a že nejsou v tzv. referenčním formátu.

I v této oblasti došlo k určitému „vývoji“ – od jistého data už tyto PDF soubory (s certifikáty) nejsou opatřovány žádnými autentizačními prvky. Tedy ani elektronickými podpisy, ani elektronickými pečetěmi (ani elektronickými časovými razítky).



Autor: Jiří Peterka

Jak jsem v předchozím článku podrobněji rozebíral, „funkčnosti“ samotného certifikátu to neubírá, protože ta je dána QR kódem a elektronickým podpisem (pečetí) přímo v tomto QR kódu. Ale nadále to (alespoň podle mého názoru) zůstává v rozporu s požadavkem § 8 zákona č. 297/2016 Sb., o službách vytvářejících důvěru. Ten v zásadě říká, že cokoli, co nějaký orgán veřejné moci vydává a co si lze stáhnout (zde jako soubor PDF), musí být opatřeno buď (kvalifikovaným) elektronickým podpisem, nebo (kvalifikovanou) elektronickou pečetí. A podle § 11 ještě také (kvalifikovaným) elektronickým časovým razítkem.

Problém s unikátními identifikátory

V diskusi pod minulým článkem si čtenáři všimli, že s unikátními identifikátory certifikátů není vše v pořádku – že když si opakovaně stáhli stejný certifikát, jeho identifikátory byly různé. Jeden ze čtenářů se podělil i o odpověď, kterou k tomu získal:

Dobrý den, ano, kód se v pdf při každém stažení mění. QR kód bude plně funkční v druhé polovině června. Zatím nemáme podrobnější informace.

Podle mých empirických zjištění se tento problém vyskytoval u všech druhů certifikátů (očkovacích, o testech i o prodělaném onemocnění), ale týkal se jen hodnoty vypisované v těle PDF dokumentů. Jinými slovy: v QR kódu to bylo správně a chyba byla jen v tom, co se zobrazovalo v lidsky čitelné podobě v PDFku. Viz i následující obrázek.



Autor: Jiří Peterka

Dnes už by tento problém měl být odstraněn.