 Herzlich willkommen zur EO Digital COVID-Zertifikat, keine schwarze Magie. Lyra hat sich ein bisschen darüber geärgert, dass nirgendwo wirklich sinnvoll erklärt wurde, wie das ja auch überhaupt funktioniert. Und deswegen wird Lyra uns da jetzt ein bisschen durchführen und lasst uns durchsteigen. Dankeschön. Schönen Nachmittag. Freut mich, dass trotz des ausgezeichneten Wetters doch so viele Menschen in den Saal gefunden haben. Danke dafür. Bevor wir uns mit dem Thema des EO Digital COVID-Zertifikats oder des EO Digital COVID-Zertifikats, wie soll ich da nicht den deutschen Titel hingeschrieben, beschäftigen, nochmal meinen Aufruf in eigener Sache. Ich möchte nicht noch eine GPN erleben, wo ich 4 Talks und einen Workshop halten muss. Das ist wirklich anstrengend. Ich freue mich wahnsinnig drüber und ich bedanke mich 20-mal bei den GPN-Organisatoren und Organisatoren. Einen tollen Event wieder hergestellt, aber bitte, bitte helft mir. Reicht selber Talks ein, reicht selber Workshops ein. Wenn ihr dabei Hilfe braucht, wenn ihr dabei Unterstützung gerne habt. Ich weiß nicht, wie ich ein CFP formulieren soll. Ist das Thema überhaupt relevant? Wie baue ich eine Präsentation? Kann ich dir mal meine Präsentation vorführen? Ich hätte gern Feedback oder sonst irgendwas. Kontaktiert mich, kontaktiert einen der anderen Sprecherinnen und Sprecher auf dem Event. Kontaktiert die Hexen, wenn ihr lieber ein diverseres Feedback haben wollt, als diesen alten weißen Mann, mit der ich bin. Wenn ihr plaudern wollt, geht bitte hinaus. Dankeschön. Aber ansonsten seid doch so freundlich und reicht Talks ein und rettet mich davon, dass ich nächstes Jahr wieder 5 Talks halten muss. Wie gesagt, wir befinden uns auf der GPN 20. Das wäre der Hersteller dazu, wenn ihr Masterton oder Twitter was dazu kommentieren wollt. Ich bin der Lyra, sowohl auf Twitter als auch auf Masterton in der Chaos Social Domain. Die Slides gibt es dann im Anschluss auf meiner Homepage, als auch im Fahrplan dieses Events. Und das heißt, ihr braucht jetzt nicht taktisch die Slides abfotografieren, gibt es nachher auch noch. Wie gesagt, wir wollen über das EU-Digital Covid-Zertifikat sprechen, dass das Ganze keine schwarze Magie ist. Und ich habe diesen Talk jetzt wirklich ausgelegt auf Personen, die ein technisches Grundverständnis haben, sagen wir es mal so, aber kein tieftechnisches Wissen. Das heißt, wenn ihr jetzt hier herinnen sitzt und als N1 ist für euch kein Fremdwort und eine PKI ist etwas, mit dem ihr tagtäglich umgeht, dann werdet ihr euch auf der technischen Ebene vermutlich langweilen. Es wird auch kein Call Hour Talk sein wie gestern, also es ist ein bisschen entspannt, aber ich versuche es unterhaltsam zu machen. Prinzipiell, ich bin ein großer Freund des EU-Digital Covid-Zertifikets oder wie es kurz heißt, das DCCs, also das DCCs, digital Covid-Zertifikets. Weil da haben sich ein paar schlaue Leute in kurzer Zeit wirklich ein recht brauchbares System überlegt, sowohl wie man Zertifikate ausstellen kann, als auch wie man sie zu den, also eigentlich Impf- und Testnachweise, um sie einmal zu verkürzen, wie man Impf- und Testnachweise zu Personen hinaus ins Feld bekommt und das Ganze in einer recht vernünftigen und sicheren Art und Weise. Dass das auch anders funktioniert hat, die österreichische IT-SV gezeigt, das habe ich gestern auch schon erzählt, es passt nur so kurz wunderbar rein, dass ich es hier noch einmal mitverwendet habe. Wir haben in Österreich die sogenannte E-Card. Das ist unsere Gesundheitskarte, mit der wir Zugriff zu unseren medizinischen Diensten bekommen. Quasi alle Personen in Österreich haben so eine E-Card. Das war früher auch die sogenannte Bürgerkarte, mit der wir Dokumente signieren konnten. Und diese Bürgerkarte hat auf der Rückseite eine europäische Versicherungskarte auch noch mit drauf und zu dieser Karte gehört auf der Rückseite auch eine 20-stellige Nummer, wobei die ersten zehn Zeichen fix vergeben sind. Und die Idee war jetzt in der österreichischen IT-SV, also die IT-Abteilung der Sozialversicherungen, zu sagen, wir brauchen doch dieses ganze QR-Codezeug und so weiter nicht. Wir können das viel einfacher machen. Wir bauen eine Applikation, die die Rückseite der E-Card abskennt, diese Nummer über OCR, also über Texterkennung liest und zusammen mit den anderen personenbezogenen Daten, also Geburtsdatum und Sozialversicherungsnummer und dieser Nummer können wir ja online im epidemiologischen Meldesystem nachschauen, ob diese Person gerade aktuell getestet oder geimpft ist. Also das, was wir jetzt auch die letzten Jahre immer mit diesem QR-Code gemacht haben vom DCC. Das Problem ist, dass diese Nummer eben nur zehn Stellen hat und nicht geheim ist und überhaupt. Und ja, die Epicenter-Works hat dann eben gesagt, gut, das kann man schon so machen, ist aber keine gute Idee, weil in einem Monat hat man dann die Daten von allen Sozialversicherten in Österreich heruntergeladen. Und das ist irgendwie keine gute Idee. Vor allem, man hätte dann, wenn das wirklich implementiert hätte, damit man jetzt diesen automatischen Datenabzug nicht machen müsste, hätte man jetzt Captures einführen müssen. Also es hätte dann irgendwie ein Google Recapture oder sonst was sein müssen, was wieder dazu geführt hat, stellt sich vorher ein Kellner, denn ein Kellner kommt zu einem Tisch, zückt die Applikationsscan, er kennt eure E-Card und muss dann noch ein Capture lösen, bevor dann die Anzeige kommt, geht oder geht nicht. Da werden sie sich wahnsinnig darüber freuen. Das war schon irgendwie so, das ist keine gute Idee. Und die ITSV hat aber sogar noch weiter gedacht, wenn wir die Lösung schon haben, dann können wir die doch auch benutzen, um den Zertifikatsimport in die App zu machen und um das sicherer zu machen, fragen wir nicht nur die Kartennummer ab, sondern auch die Postleitzahl von der Person, wo sie wohnt. Weil das macht das dann gleich viel, viel sicherer. Und beziehungsweise sie haben sich dann auch noch überlegt, das Ganze als Zugang zu weiteren e-Health-Applikationen zu etablieren. Das Ganze wurde dann eben wie gesagt von Epic Centerworks in einer Zeit im Bild, also quasi unserer Tagesschau präsentiert und die Probleme damit präsentiert und am nächsten Tag wurde das ganze Programm dann gestrichen. Und auch wir in Österreich haben uns eben dann mit dem grünen Pass oder dem EU-Digital-Zertifikat beschäftigt. Das nächste Thema, das mich, also deswegen, diese österreichischen Lösungen oder diese Bastel-Lösungen, diese lokalen, haben alle immer irgendwelche Probleme gehabt. Und wenn man sich die Dokumentation dazu anschaut, weil das komplette Digital-Covid-Zertifikat ist eigentlich öffentlich dokumentiert, man kann alles nachlesen. Da waren schon ein paar gescheite Köpfe dabei, auch bei Kompromisse getroffen worden, weil es musste natürlich in allen EU-Staaten funktionieren und es wurde dann auch noch ausgeweitet auf Nicht-EU-Staaten, die halt unterschiedliche Digitalisierungszustände haben. Also wir in Österreich konnten da schon einen relativ guten digitalen Online-Workflow bauen. Ich glaube, für Deutschland gibt es noch eine Fax-Lösung irgendwie hinten dran. Daher gab es da einfach Kompromisse, man hätte das Ganze noch ein bisschen privacy-schöner bauen können oder ein bisschen privacy-schonender bauen können, aber im Prinzip eigentlich eine recht schöne Lösung. Das erste Problem, was wir damit hatten, war so, ist es jetzt ein Grüner Pass oder es ist ein Digital-Covid-Zertifikat oder worüber reden wir jetzt eigentlich. Und ich habe dann glücklicherweise jemanden aus dem Design-Team über Twitter erwischt, der bei dem DCC Design-Team dabei war und von dem habe ich die Info. Der Name kommt eigentlich aus der israelischen Lösung, die man quasi die Ersten sich so ein QR-Code-Zertifikat angedacht haben mit eben auch einer rot-grünen Anzeige. Und aus dieser grünen Anzeige für alles ist in Ordnung, die Person ist geimpft oder getestet, hat sich dann dieser Name Grüner Pass entwickelt, weil auch die Politikerinnen und Politiker sich halt leichter getan haben, den Begriff Pass zu verstehen. So ja, mit einem Pass komme ich irgendwo hinein, dann komme ich in ein Land hinein, dann komme ich in einen Zugangspass, in einen Club hinein oder sonst irgendwas. Aber mit Zertifikat haben die relativ wenig anfangen können. Hat dann natürlich auch dazu geführt, dass in der gesamten Dokumentation und auch in der Kommunikation zu dem grünen Pass oder zu dem DCC dann jedes Mal irgendwo ein Pass aus dem Stand der grüne Pass, das europäische Digital-Code-Zertifikat ist kein Reise-Dokument, ist berechtigt nicht für einen Zug, einen Reise in einen anderen Staat etc. Man braucht noch immer einen Reisepass oder einen Personalausweis mit. War immer recht mühsam, weil eben Begrifflichkeiten. Ich bevorzuge den Begriff DCC, also Digital-Code-Zertifikat. Definiert wurde der, bis ihm verabschiedet wurde der am 30.06.2021, ist eine Arbeit des e-Health-Networks, ein freiwilliges Netzwerk mehr oder weniger, dass unter Artikel 14 der Direktive 20.11.2024 gegründet wurde. Und im Prinzip sind hier alle Gesundheitsdienste der jeweiligen Länder der EU, also Gesundheitsamt bzw. Gesundheitsministerium vertreten und entsenden hier Personen in die entsprechenden Gremien, um was zu definieren. Umgesetzt, bzw. definiert wurde das DCC dann in der Implementing Decision 20.21.1073, die mittlerweile im Laufe der Zeit auch einige Anhänge bekommen hat. Das kann man alles nachlesen. Dieser Implementing Decision oder auf Deutsch dieser Durchführungsbeschluss hat einige interessante und ist eigentlich für ein legistisches Dokument sehr technisch und steht. Und das ist ein bisschen die Crux an dem Ganzen, auch natürlich in allen EU-Sprachen zur Verfügung. So steht zum Beispiel in diesem Durchführungsbeschluss, es soll ein Transportverschlüsselungsmechanismus in einem maschinenlesbaren optischen Format, gleich mal auf QR festgelegt werden, das auf dem Bildschirm eines mobilen Geräts angezeigt oder auf Papier ausgedruckt werden kann. Also ich habe das schon nochmal super gefunden, da hat sich jemand was überlegt, was machen wir mit Personen, die kein Smartphone haben, oder einfach kein Smartphone mitfinden wollen. Maschinenlesbares optisches Format, ich kann das mit einer Kamera und ein bisschen Code interpretieren. Schaut dann eben so aus, haben wir alle mittlerweile schon öfter gesehen, aber das ist doch keine Transportverschlüsselung, oder ist das Transportverschlüsselung? Hat mich irgendwie irritiert, weil ich bin immer mit diesem Bildschirm transportverschlüsseling, das ist doch noch nicht TLS, das sind doch da jetzt nicht im Web und so. Bitte? Nein, auch wenn man es zusammenfaltet, ist es noch keine Verschlüsselung, das ist Security through Obscurity, da haben wir gestern schon darüber gesprochen, das ist keine gute Idee, also der Vorschlag war das, zusammenzufalten. Wärst du so freundlich, das war ein halbwegs konstruktiver Zwischenruf, dafür gibt es eine Mannerschnitte. Well played, Sir, well played. Gut, also dieses Thema Transportverschlüsselung hat mich dann so lange irritiert in der Vorbereitung dieses Talks, dass ich dann irgendwann gesagt habe, okay, jetzt will ich es genau wissen und habe mir mal die englische Version angesehen und in der englischen Version steht nichts von einer Transportencryption, sondern das steht von einem Transportencoding. Und auf einmal macht die ganze Sache viel mehr Sinn, ergibt viel mehr Sinn machen und so weiter. Das heißt, wir sprechen hier von einer Encodierung und nicht von einer Verschlüsselung, das sind zwei, es ist ein bisschen eine I-Tüpfelreiterei natürlich, aber es geht um eine Encodierung für die Übertragung. Das heißt, wie verpacke ich die Informationen so, dass ich sie über diesen QR-Code und hinterliegenden Mechanismen dann ohne Verluste und gut lesbar hinüberbekomme. Bei Encodierung, das wissen wir auch, also für alle, die schon lange in der IT tätig sind, dann schaut das einen dann immer gleich. Encodieren heißt, ich weise einem Zahlenwert, einen Zeichen aus einem beliebigen Zeichensatz zu. Also zum Beispiel im Zeichensatz ISO 88591 ist das große Ü der decimalwert 220 oder BINÄR 1100 11100. Wenn ich jetzt statt dem ISO 8891 den EPDIC-Zeichensatz aus der Großrechnerwelt ziehe, dann ist das der decimalwert 220 die geschlossene, geschwungene Klammer. Und wenn ich im ASCII-CP 437, also sprich ASCII, der Standard-USS-Code, annehme, dann ist decimal 220 ein halb gefülltes Casterl, also die untere Hälfte eines Rechtecks gefüllt quasi. Das muss ich ja auch zeigen. Ich bin immer noch überrascht, dass der Font alles anzeigen konnte, alles auf einer Slide. Dieses Encoding ist nämlich, warum ich jetzt auf diesem Encoding so herumreite, ist, dass das begegnet uns jetzt noch ein paar Mal. Also diese Encodierung, eigentlich wollte ich überall den deutschen Begriff haben, ich weiß nicht, warum ich, was mit dem Gag einfach als daran enggegelt ist, mit einem scheißen Encoding. Diese Encodierung wird uns jetzt in der ersten Hälfte dieses Talks noch öfter begegnen und daher sollte es jetzt zumindest ein bisschen Grundverständnis haben, warum es geht. Das heißt, wir haben hier einen Zahlenwert in einem Buchstaben oder einer Ziffer oder einem Satzzeichen. Das, was die meisten in der IT kennen, ist 7-Bit Eski, das ist das, worauf wir uns mit dem wir leben müssen. Das wurde 1967 spezifiziert, die ganze US, die ganze Computertechnologie kam gerade in der Zeit alles aus den USA und die haben sich halt gesagt, okay, was haben wir denn eigentlich? Wir haben noch diese 5-Bit Telegraphikhots vom Emil Bodot, mit dem wird das Ganze, die ganze Morse-Kommunikation automatisiert haben. Also in dem Moment, wo nicht mehr Menschen gemorst haben, sondern das Maschine übernommen, hat man gesagt, das kann man eleganter machen und die Information komprimieren. Wir führen da so Telegraphikhots ein und auf Basis derer wurde dann der Eski-Zeichensatz entwickelt und die Amerikaner damals natürlich so, pff, interessiert ja auch so uns eh niemanden. Mit 128 Zeichen finden wir mit dem US-Englischen eigentlich das Auslangen, da bringen wir Zett in groß klein unter, da bringen wir Ziffernzahlen unter, Satzzeichen, mehr brauchen wir nicht. Wir brauchen ja auch nicht mehr als 640 Mbit Ram oder Kilobit Ram in einem Computer. Das heißt, wir haben uns ein Bit gespart, was damals natürlich noch ganz, ganz viel war, gerade wenn es um Übertragung, über Transcontinental ging, macht ein Bit in Summe bei mehreren Bites dann schon vieler aus. So, dekodieren. Was encodiert ist, kann man noch dekodieren. Das heißt, wir beschäftigen uns jetzt bei dieser QR-Code, der ist jetzt quasi encodiert, das haben wir ja gelesen in der Spezifikation, das ist encodiert für den Transport. Wie dekodieren wir das? Was steht da jetzt eigentlich drinnen und wie kommen wir zu der Information? Fangen wir an, was ist der QR-Code? Der QR-Code ist eine Darstellung und keine Verschlüsselung eben. Wurde 1994 in Japan definiert, steht eigentlich als Quick Response, also QR steht für Quick Response, wenn ihr mal eine trivial pursuit Antwort braucht, integriert, hat eine automatische Fehlerkorrektur integriert, ist eben optoelektronisch lesbar und ist mittlerweile auch ein ISO beziehungsweise IEC Standard. Und im Gegensatz, es ist ein zweidimensionaler Code, also die eindimensionalen Codes kennt sich, das sind die Barcodes, die immer dann durchgestrichen sind für die Menschen, die die Barcodes nicht verstehen und das Ganze eben zweidimensional, weil es immer in einer Fläche ist und nicht ... Wir bringen in so einen QR-Code, wir bringen in so einen QR-Code ungefähr 4.000 Zeichen hinein, also in diese schwarzen und weißen Punkte, die dann zu Quadraten kombiniert werden, kann ich in Summe maximal 4.000 Zeichen hineinbringen. Wie habt ihr das vorhin gesehen? Ich habe für links und so weiter auch immer ein Barcode drin und das sind immer unterschiedlich groß, je nachdem, wie lang der Link ist. Brauche ich halt mehr oder weniger schwarze Punkte. Und dieser QR-Code ist ein Binärformat, werden wir gleich noch einmal mehr genauer sehen und besteht aus 45 unterschiedlichen Zeichen. Also diese schwarzen und weißen Punkte kann ich auf 45 unterschiedliche Zeichen mapen, ein Coding, und kann eben Beschädigungen von 7 bis zu 30 % reparieren, je kürzer der Code ist, umso mehr reparierende Information kann ich hineinbringen. Diesen QR-Dekotierer, das muss man jetzt, muss jetzt keiner von uns irgendwie händisch machen, dafür gibt es zum Glück Dekotierer. Ein Bekannter davon ist der Zebra-Crossing, oder Z-Zing, fliegen wir schon fast dezentral, wenn ich das aussprechen muss, Zebra-Crossing, eine Java-Library, die im Maintenance-Mond ist, das heißt, die funktioniert und wird kaum geändert. Davon gibt es auch eine Online-Version, unter der URL kann ich einfach hinten beliebigen Barcode hineinwerfen, und da gibt mir dann eine Textrepräsentation zurück. Und auch unter Linux für die Kommando-Zeile, ich habe morgen noch einen Talk zu Linux-Commando-Zeilen, falls wer interessiert ist, gibt es eine Lösung mit der Z-Bar. Wie schaut es dieses Dekotieren aus? Wenn ich das jetzt in so einen Zing oder Zebra-Crossing hineinwerfe, der macht mir dann aus den QR-Codes, die übrigens auch eine Orientierung haben, die erkennt man in den Quadrateln in drei Ecken, der macht mir dann aus diesen schwarzen und weißen Punkten eine Folge von Zahlen. Und wie ich vorhin gesagt habe, eine Zahl kann ich auf Buchstaben und Zahlen weppen, also kann ich Eng-Koden, die Koden, das heißt, nach diesem ersten Schritt der Dekotierung der schwarzen und weißen Punkte in Zahlen, kann ich aus diesen Zahlen Buchstaben machen. Das ist halbwegs lesbar, ja, das ist halbwegs lesbar, wunderbar. Und ich sehe jetzt hier, also auf der linken Seite habe ich noch mal die Zahlen und auf der rechten Seite dann die Buchstabenrepräsentation. Und hier setze ich also 48, map auf NH, das kann ich jetzt hier nicht lesen, 43, 43 auf C und 31 auf den 1R. Das geht man dann durch das Ganze durch und da kommt halt eine Textzuppe wieder raus. Dieses, wie gesagt, das kann man eben mit diesen Tools machen, kann man aber eben auch und da gibt es für die für die Handy-Applikationen dann schon praktische Lösungen. Es ist, ich scann einen Barcode und die Scannerab fürs Handy zeigt mir dann gleich den Text an. Also ich kann diesen einen Zwischenschritt mit der Zahlen-Suppe schon überspringen und kriege schon einen Klartext, der noch kein Klartext ist. Dieser Klartext, das ist jetzt der komplette Inhalt des Barcodes, ist auch noch mal weiter encodiert. Das HC1 hier zu Beginn, also HC1-Doppelpunkt, steht für Health Certificate Version 1, das ist eben aus dem Standard heraus. Das heißt, wir wissen, okay, das ist ein Health Certificate Version 1, die Info haben wir, die können wir schon mal nicht weggeschneiden, die brauchen wir. Jetzt habe ich vorhin gesagt, okay, der QR-Code ist eigentlich ein Bemäher-Format, aber wir sehen hier Eskidaten. Was ist denn jetzt schon wieder kaputt? Das ist ja Text hier. Das liegt daran, dass die Nutzdaten noch mal encodiert sind, und zwar mit BS45. Eine BSX-Encodierung, also das X ist jetzt ein Platzhalter für eine beliebige Zahl, übersetzt eben acht Bit-Benehrdaten in sieben bedruckbare S-Gezeichen. Wir bauen ja unsere gesamte IT auf den Scherben der vorhergenigen IT-Generation auf. Das heißt, wir verwenden noch immer Kohleprodukte und Lösungen, die nur mit sieben Bit S-Gezeichen, danke USA 1967, umgehen können und müssen daher acht Bit-Benehrdaten meistens immer in sieben bedruckbare S-Gezeichen konvertieren. BSX definiert eben den Zahlenraum des Zils. Es gibt bis 16, bis 32, bis 64, das sind die Gängigen, werden in einer RFC, das ist ein Request verkommen, das ist so das Standardisierungs-Dokumentation im Internet definiert und mebt mir im Prinzip eine lange Suppe an Zahlen in druckbare S-Gezeichen aus. Bis 54, nein bis 45, der Legas-Tenniger in mir schlägt wieder zu, bis 45 ist eben der QR-Code, der aus 45 unterschiedlichen Zeichen besteht und wenn man die Regeln für bis 45 korrekt anwendet, die enthalte ich euch jetzt vor, die könnt ihr nachlesen, es gibt ein Wikipedia-Artikel dazu, das ist im Prinzip Bit hin und her geschubse, dann wird aus Hello eben %69 VDL2, ja, schlecht lesbar, aber es geht. Das Schöne ist, auch für dieses BS45, das müssen wir nicht handisch machen, gibt es Online-Dekotiere, es gibt Code für Pfeifen und fertige Module dafür, Hurra! So, wenn wir jetzt diese BS45-Dekotierung anwenden, dann schaut das schon ein bisschen freundlich aus, das schaut schon mehr nach Binär-Daten aus, weil so eine Hex-Anzeige, also wo ich links die Binär-Daten habe, also in Hexadezimale angezeigt habe und rechts die druckbaren Zeichen, ein Punkt ist immer so ein Zeichen so, das sind acht Bittings, das kann ich nicht vernünftig anzeigen, das heißt, das schaut schon mehr nach Binär aus. Wer sich jetzt ein bisschen mit IT beschäftigt, erkennt gleich links oben in der Ecke wieder die 78, also Hex-7-8, das ist ein Zeichen für Zlib-Komprimierung, das heißt, diese ganze Information wurde auch noch einmal komprimiert, das heißt, wir haben einen weiteren Dekotierungsschritt, wir lassen ein Anzip drüber laufen, kennt ihr alle, jeder irgendwo zu Hause, und dann schaut das Ganze so aus. Das Dokument, das File, das wir da bearbeiten, ist durch die Dekomprimierung kleiner geworden, also die Komprimierung hat das File größer gemacht, gleich der Designflow passiert, aber manchmal bei der Komprimierung soll so sein. Und wenn wir uns das jetzt anschauen, dann schaut, wenn ihr jetzt schaut, genau schaut sich, ich habe es in Orange ein bisschen markiert, ich hoffe, das ist von Kontraste halbwegs okay, dann erkennt man hier schon, oh, da steht ja schon ein bisschen was Lesbares drin an, es wird ja langsam, wir nähern uns dem Ziel, wir können langsam aus dem QR-Code auch Informationen rausholen. Ja, noch nicht ganz, weil jetzt wird es ganz, ganz grauslich, ich habe hier auch wieder das D2 vorne markiert, dieses Dota2 signalisiert uns, das ist ein sogenanntes Conceased Binary Object, ein Conceased Binary Object Representation Teil, also ein Seabor, nennt heißt so, das Bild ist ein Seabor, also ein Seeaber, das ist aus einem IETF-Dokument raus, also das ist quasi offizielle Doku, ist in der RFC 8949 definiert, ist jetzt dafür gedacht, diese ganzen Informationen, die in dem Zertifikat drinnen stehen sollen, mittlerweile wissen wir, wie man die Input-Statum, welcher Impfstoff etc. in einem möglichst platzsparenden, komprimierten Minervomat zu verpacken. Und gewählt wurde hier eben Seabor, das ist ein aktueller Nachfolger von ASen1, ASN1, also wer damit schon mal gearbeitet hat, damit wird es deutlich netter als mit ASen1, man will ASen1s nicht verwenden. Eben für Datenaustausch zwischen Anwendungen ist zwar kompakt und super und knackig, aber keine Klartextlesbarkeit. Aus diesen zwei Dora schließe ich eben, okay, das ist ein, es ist ein Seabor, und wenn ich das D2 aufschlüssel, dann sagt mir das, okay, ich habe hier noch ein 0x12 drinnen stehen, also wenn ich dieses Dora2 entsprechend aufsplitte, und dieses 0x2 zeigt dann wieder darauf, dass das ein, Consist binary object representation, tag registry, andersrum. Wenn ich jetzt diese 0x12 nehme und in der Seabor tag registration der IANA Nachschau, also der Internet Assigned Numbers Authority, dann bekomme ich raus, dass die Daten, die hier drinnen sind, eigentlich ein Seabor object signing in den encryption Objekt sind. Das heißt, das ist ein Seabor, das noch erweitert wurde, um die Möglichkeit, digitale Signaturen, Message Authentication Codes in das Ding hinein zu packen. Und die tatsächlichen Informationen, wenn man dann weiter schaut, stehen eigentlich in einem Seabor Web Token drinnen, das ist CVT, haben wir Entwicklerinnen und Entwickler hier bei uns im Haus jetzt? Traut sich, wir aufzeigen, nein. Also falls Entwickler hier da werden, die können das vielleicht von JWT, also dem JSON Web Token so ähnlich, aber statt JSON wird eben dieses Seabor Format verwendet. Und wenn ich, dafür gibt es auch eine Library, das ist dieses Seabor, was war das, Seabor Codes und CVT Anwände und das ganze Dekotiere, halleluja, haben wir endlich Lesband Text. Zu diesem Lesband Text, also damit kann man jetzt eigentlich schon arbeiten, könnte man jetzt schon arbeiten, aber sieht man, FNT, GN, GNT sind nochmal Abkürzungen. Also die ganze Payload, das was hier eigentlich dünn steht, ist alles dann in JSON verpackt, wäre das ganze vor 20 Jahren gewesen, hätten wir es in XML, also kann man darüber streiten. Aber diese Abkürzungen sind jetzt auch nochmal definiert und zwar im DCC JSON Schema, dass mir dann, dass mir einerseits definiert, was in diesen Feldern drinnen stehen soll und wie das in die Felder hineingeschrieben werden soll und wenn man jetzt diese JSON Schema Informationen auch noch anwendet, dann sind wir endlich soweit, dass wir hier Klartext haben. Das heißt, wir haben hier die Musterfrau Gösinger, Vorname Gabriele, dann auch der Name, so wie er im Pass drinnen steht, mit ihm der Flugbehördentransliteration Geburtsdatum und womit sie geimpft wurde. Ja, das ganze schaut dann, wenn man sich das anschaut so aus, das heißt, wir haben ja so eine russische Puppe, wir haben Puppe in der Puppe, wir haben den QR-Code, das eigentlich bis 45 encoded ist mit dem HCI Break Fix, das ganze dann nochmal ZIP gepackt, das ganze in einem SIBO eingepackt, das ganze in einem CVT eingepackt und in dem CVT in dem Conceased Web-Token steht eben hinten dann auch noch das Code Single Signature drinnen. So, das ist ein Zertifik, das ist eigentlich das DCC, so schaut das technisch aus. Also wenn man mal sich durch diese ganzen encodes im Prinzip ganz viel verpackt, ganz viel Verpackungsmaterial für eigentlich sehr wenig dann tatsächliche Daten. Das kann man alles auspacken, nachdem ich Commander-Zeilen-Tools mag, wie sagt man, gibt es einen Talk zu, zwei sogar noch. Ich kann das, was ich euch da gezeigt habe, das könnte alles auf der Linux-Commando-Zeile sein, es gibt einen QR-Rider-Dicoder, es gibt den BES-54 BES-45-Dicoder und es gibt auch den SIBO Analyse, der euch das alles auspacken kann. Wer gerne Python-Code schreibt, gibt es auch eine fertige Lösung, wie gesagt, das hat sie alle und die Links gibt es auch dazu. Und was sehr praktisch ist, es gibt einen DCC Online-Dicoder, der euch da auch nochmal durchführt und euch die einzelnen Schritte zeigt und wo ihr auch eigene Zertifikate hineinladen könnt und der die ganzen dann alle zerlegt und zerteilt und erklärt, warum das wie, wann, wo ist. An dem habe ich mich sehr angehalten, wie ich das Ganze gebaut habe. Das Ganze müssen wir jetzt natürlich auch nicht reverse-engineeren, ich habe halt gesagt, es wäre eigentlich lustig vom QR-Code zurückzugehen. Das ist natürlich in diesem Durchführungsbeschluss auch dokumentiert, sogar mit Grafiken das ist eigentlich relativ logisch, das heißt, das DC-Schema ist definiert. Es kommen dann von wo auch immer, bei uns in Österreich ist es eben das Epidemiologische Meldezentrum, bei euch sind es vielleicht die Apotheker oder eine Landesregiste oder sonst irgendetwas, kommen diese Health-Data, also das ist das die tatsächliche Info, die in das Zertifikat hinein gehört, das wird dann in ein Chasen-Dokument gepackt, das wird Sibor umgewandelt in ein Sibor-Binary-Dokument, das wird dann mit COSA signiert, komprimiert bis 45 encoded und dann habe ich schlussendlich meinen QR-Code, den ich hier in Duan zeigen kann. Ja, eigentlich ganz trivial. Es ist viel bitter umgeschaufelt, aber im Prinzip ist es ziemlich trivial, wenn man bis sich gewohnt ist, mit diesem Zeug umzugehen, ist es trivial. Was man dekodieren kann, kann man natürlich auch encodieren und die wunderbare Person, die diesen Dekodierer geschrieben hat, hat auch einen encodierer geschrieben, das heißt, das ist eine Website, da kann ich einen Namen angeben, einen Geburtsdatum angeben, ich kann einen Impfstoff angeben oder eine Testung angeben, die ich möchte und das Ding generiert mir einen QR-Code, dieser QR-Code wird aber in jeder Verifikationsapplikation abgelehnt. Warum? Wegen dem einen Teil, über das ich bis jetzt noch nicht gesprochen habe, nämlich diese Kosesignatur, weil, wie gesagt, das zu bauen, so eine Struktur zu bauen und die dann durch diese ganzen Inkodierungs- und Konvertierungs- und sonstigen Dinge durchzujagen, ist relativ trivial. Aber wie stelle ich denn jetzt sicher, dass dieses Zertifikat eigentlich von einer Stelle ausgestellt wurde, die das auch darf? Das ist ja eigentlich der Knackpunkt, nicht so, eine Chasenstruktur zu schrauben, das kann ich unter Windows mit Notepad. Ja, geht, solange es nicht so groß wird. Aber jetzt könntest du euch noch an diese Dinger nehmen, so die gelben Impfpässe, so in Papier von der WHO oder noch älter. Oder roter von der DDR. Oder roter von der DDR. Danke, du darfst dir auch eine Mannerschnitte nehmen. Ja, ich bin Österreicher, ich kenne halt mal das österreichische. Wie ist denn das da? Ich habe einen gelben Zettel. Da geht, wenn ich den jemanden zeige und jemand möchte wissen, bin ich pockengeimpft oder nicht. Dann schaut sich die Person, die das verifizieren will, den Zettel an und sagt, okay, da ist ein Stempel, eine Unterschrift vom Arzt oder von der Ärztin drauf. Das ist in dem Fall, das ist ein Arzt. Das heißt, ich vertraue mal, dass dieser Stempel nicht gefälscht wurde und gehe mal davon aus, dass der Arzt vor der Impfung überprüft hat, ob die Person, für die das hier eingetragen wurde, auch die Person ist. Das heißt, der Arzt bei der pockenimpfung zeigt mir mal deinen Ausweis, ja, das Foto passt, du bist, du sagst, dass du bist, ich trage dir das jetzt ein und die Person, die in dem Fall pockenimpfung verifiziert, okay, da steht, ich vertraue jetzt, dass der Stempel und die Unterschrift korrekt ist, weil verifizieren kann ich es in dem Fall nicht. Ich kann verifizieren, der ist für eine bestimmte, ich kann die Schrift nicht lesen, aber die Person, die mir das jetzt zeigt, behauptet, das zu sein, hast du einen Ausweis dazu, ja, passt, okay, du bist pockenimpft, Dankeschön. Und im Prinzip genau das, was wir mit so einem Papierausweis machen wollen, müssen wir natürlich auch mit diesem DCC, mit diesem Digitalzertifikat machen. Das heißt, ich muss, ich brauche, ich habe hier ein, wir haben lang diskutiert, ob man das jetzt Vertrauen nennen soll, weil vertraue ich einem staatlichen Behörde, das ist ein sehr belastendes Thema für manche und da gibt es Personen, die ganz, ganz viel Meinung haben, aber ich habe hier eine Vertrauenssituation, ich muss als verifizierender dem Aussteller vertrauen, ich muss als Besitzer des Zertifikats vertrauen, dass der Verifizierer das richtig macht. Es ist, es ist alles immer ähnlich und alles doch anders. Im Falle des digitalen Impfzertifikat, nicht das digital COVID-Zertifikats, DCCs, habe ich auch hier wieder, die impfende Person oder die testende Person muss überprüfen, ob ich als der, als die zu testende Person, die Ausweiskontrolle. Die Person, die mich impft oder testet, wurde verifiziert von DCC Becken, also sprich im Normalfall von einer Gesundheitsbehörde, das kann jetzt buntlang gemeint sein, dass sie vertrauenswürdig ist, solche Zertifikate auszustellen. Also der Arzt, die Ärztin ist vertrauenswürdig genug dieses Zertifikat auszustellen und bekommt dafür dann auch die Möglichkeit, das in eine Applikation einzutragen. Die Applikation durch diesen Zugriff auf die Applikation hat sie dann die Möglichkeit das Zertifikat auszustellen und ich habe das dann in der Hand. Technisch passiert, die Zauberworte sind Private Key Encryption, Hash Werte und ganz viele technische Begriffe, ich versuche es hier einfach zu halten, das ist ein fürchterlich komplexes Thema, dass man aber hoffentlich, ich versuche zumindest auch einfach erklären kann. Das heißt, ich brauche die Möglichkeit diese Daten, die in dieser Chasing Struktur dann schlussendlich drinnen stehen, die muss ich irgendwie signieren. Dafür gibt es Mathematik. Ich kann sagen, ich habe eine sogenannte Hash Funktion, der schiebe ich diesen Text hinein, da werden mathematische Operationen darauf angewendet, die sogenannte Falltürfunktionen sind. Das heißt, die funktionieren in eine Richtung, aber die Zahl, die da hinten rauskommt, ich zeige euch dann gleich eine, von der Zahl kann ich nicht auf den ursprünglichen Text zurücksteigen. Das heißt, ich kann einen Hash Werte von dem Text 20. Gulasch Programmiernacht bilden und wenn ich das fünfmal mache, kommt immer dieselbe Zahl hinten raus, aber ich komme von dieser Zahl nie wieder zurück auf den Text 20. Gulasch Programmiernacht. Das ist ein Hash, ganz primitiv und einfach. Dieser Hash wird dann digital verschlüsselt, damit habe ich jetzt quasi eine digitale Signatur, digital signiertes Dokument und auf der Gegenseite kann ich dann das Dokument entschlüsseln in Public Private Key Verschlüsselung, kann dann auf den gleichen Text, der kommt ja auch mit, der Text, den ich da von dem ich den Hash Wert gebildet habe, der kommt ja mit. Durch die Verschlüsselung habe ich die Sicherheit, dass der Hash Wert, der übermittelt wurde, korrekt ist und wenn jetzt der Hash Weg den ich rechne, mit dem der übermittelt wurde, übereinstimmt, dann weiß ich, dass die Daten während der Übertragung nicht modifiziert wurden. Klingt kompliziert, ist aber eigentlich, wenn man die Mathematik ausblende relativ einfach vom Flow. Die Mathematik dahinter, da bin ich der ganz falsche zum Erklären. Im Falle des DCCs kommt bei uns Schaar 256 zum Einsatz, das ist ein Standard, der geprüft wurde und derzeit als sicher angesehen wird. Und wenn ich hier mit Schaar 256 den Hash von dem Text 20. Kulisch Programmiernacht generiere, dann kommt diese Zahl aus. Und das kann ich immer wieder wiederholen, es kommt immer die gleiche Zahl aus, aber von diesem String, der da unten steht, komme ich nie wieder zurück in die andere Richtung. Und der hier unten der wird jetzt mit dem sogenannten privaten Schlüssel verschlüsselt. Gehen wir gleich ans Weiter. Das heißt, ich habe einen privaten Schlüssel mit dem ich verschlüsse und das Schöne an dieser Public Private Key Geschichte ist, dass ich mit alles, was ich verschlüsselt, dass ich ein Keypärchen habe, mit dem ich Pferde und Endschlüsseln kann was hier geheim bleiben muss, ist der private Schlüssel. Das ist einfach super praktisch. So, diese Schlüssel sind zwar super, aber ich weiß bei diesem Schlüssel noch immer nicht welcher Schlüssel gehört denn jetzt wem? Weil das ist das zweite Problem. Okay, da ist jetzt was mit einem Schlüssel und da kann ich was endschlüsseln, aber wem gehört denn das, wer ist und das vertraue ich dieser Person überhaupt, ist dieser Person überhaupt autorisiert. Und dazu haben wir dann jetzt eine Zertifikate noch eingeführt. Ein Zertifikat beglaubigt quasi die von einer ausgebenden Stelle, dass die Person oder die Identität auch die ist behauptet zu sein. Das heißt im Falle unseres DCCs. Die ausstellende Stelle, sprich der Arzt, der Apotheker oder der Apothekerin, ist auch die, die sie ist. Und das Ganze steht in einem sogenannten X5009-Zertifikat, da braucht es, könnt ihr auch gleich wieder alles vergessen, das was hier relevant ist, ich habe hier einerseits die Information, wer hat dieses Zertifikat beglaubigt, das heißt wer ist die überordnete Stelle, die mir bestätigt, dass die Ärztin, die Ärztin ist, dies ist und wie lange gilt dieses Zertifikat. Und es steht auch eben genau dieser Public Key drin an, den ich brauche, um zu verschlüsseln. Das Schöne an diesen Zertifikaten ist, die kann ich verketten, das heißt ich kann eine sogenannte Zertifikatskette bauen, das heißt die Ärztin wird zertifiziert, wird quasi als vertrauenswürdig eingestuft von einer Landesorganisation, die wird von der Bundesorganisation beglaubigt und so weiter und so fort und irgendwann bin ich dann an der Wurzel, an der Wurzel des Vertrauens angelangt. Und die Frage ist dann immer, wo mache ich dieses Vertrauenssetz oder wo ist mein Vertrauensanker, mein Anker, also jetzt nicht im Sinne von Gewicht zum Intensee, sondern wo ist meine Wurzel. Und auch hier wieder, auch hier haben die Leute, die das designt haben, auf bestehende Technologien, wir haben das alles schon seit Jahrzehnten diese ganzen Technologien, X509 ist nichts Neues, ihr benutzt das alle täglich und zwar in euren Browser. Jeder Browser hat einen sogenannten Zertifikat Store, der Zertifikat Manager, wo diese Rot-Zertifikate Kommunikation im Web, alles was Vertrauen betrifft, wem vertraue ich, steht da drinnen. Wenn da das Rot-Rot drinnen steht, dann ist alles gut und ich vertraue der ganzen Kette. Ja, und da reichen wir dann ins Philosophische ab. Vertraue ich dem, vertraue ich dem nicht, aber das ist mein Trustanker. Wie ist das jetzt bei dem, im Browser? Wie ist das jetzt beim Zertifikat, also beim DCC, weil das läuft ja jetzt per se nicht im Browser ab. Hier gibt es ein Digital COVID certificate Gateway, das heißt, das Konzept, die Idee dahinter ist, jedes Land hat seine eigene Certificate Chain, seine eigene Zertifikatskette, die im Land erzeugt und verwaltet wird. Österreich, Deutschland, Italien etc. haben alle eine eigene Route und über dieses Digital COVID certificate Gateway werden diese Rot-Zertifikate ausgetauscht. Auf dieses Certificate Gateway haben auch nur akkreditierte Gesundheitsbehörden Zugriff. Das heißt, wer auf dieses Gateway Zugriff haben will, muss einen Akkreditierungsprozess durchlaufen und damit wird zum Beispiel verhindert, dass einfach 20.000 Zertifikatsprüfapplikationen gebaut werden, weil nur mit diesem Zugriff auf die Zertifikatskette, kann ich dann schlussendlich in einer App sagen, ja, dieses Zertifikat ist gültig oder nicht. Und wer nicht Zugriff auf diese Zertifikatskette hat, kann diese Überprüfung nicht machen, korrekt. Das heißt, wir können leider nicht hergehen und sagen, wir bauen uns jetzt unsere eigene Überprüfung ab, weil wir hier keinen Zugriff auf das Gateway und die Zertifikate haben. Ja, den Workflow, wie gesagt, das ist alles ganz viel mit Vertrauen und Autorisierung und wer darf sein. Prinzipiell, und wir haben es jetzt vorhin schon beim gelben Ausweis gemacht, wie läuft der Verlauf ab? Das heißt, es wird der QR-Code dikotiert, es wird der Hash-Wert mit den Zertifikaten, die in der Zertifikats- Chain drinnen hängen, verglichen, sind die Daten, die in dem QR-Code drinnen stehen, unverändert vom Aussteller von der Ausstellerin zur Zertifikation gekommen und wurden diese nicht verändert. Das kann ich mit dem Zertifikat überprüfen. Das heißt, ich kann hier überprüfen das, was wir auf dem gelben Zettel, die Unterschrift des Arztes war. Das kann ich durch das Zertifikat überprüfen. Ob die Person, die mir jetzt den QR-Code hinhält, die Person ist, die in dem QR-Code drinnen steht, muss ich als überprüfen der Person immer noch mit einem Ausweisdokument oder sonst irgendwas gegengleichen. Das war das, was das Zertifikats nicht funktioniert hat. Das Schöne daran ist, dass die Applikationen diese Zertifikats-Kette eigentlich auch noch vorhalten können und also lokal vorhalten können und nur regelmäßig sich die Zertifikate aktualisieren müssen. Das heißt, es funktioniert auch im Club, irgendwo unten im fünften Keller brauche ich keine Internetverbindungen, sondern kann diese Zertifikats-Kette auch offline verifizieren. Vorgeschrieben ist aber, das muss sich zumindest einmal alle 24 Stunden neue Zertifikate holen. Warum? Da gab es diesen schönen Fall, dass hier Zertifikate für imaginäre Personen erstellt wurden und das, was hier auch wieder viele in der Presse nicht verstanden haben ist, das hat genau so funktioniert, wie es funktionieren soll. Wir haben hier eine X500 neuen Zertifikats-Kette gehabt. Das einzige, was hier geheim bleiben muss, das einzige, was hier geschützt werden muss, ist der private Schlüssel. Und das, was hier passiert ist, dass der private Schlüssel eines Arztes, eines Zertifikatsausstellers verloren gegangen wurde. Ich glaube, Pfeffi sagt dann immer, Daten reicht um dazu. Und nichts anderes ist hier passiert. Hier ist einfach ein Zertifikat freigesetzt worden und Menschen haben damit angefangen, eigene Zertifikate zu bauen, Zertifikat selber, also dieser QR-Code ist total leicht zu bauen, wenn man das Tool hat. Und wenn man dann noch den privaten Schlüssel hat, dann kann man gültige Zertifikate bauen. In dem Fall war es dann so, wie geht man damit um, dass das freigesetzt wurde? Da gibt es den Mechanismus der Revocation und den haben dann auch die entsprechenden Zerz und so weiter angewendet. Das heißt, das ausstellende Zertifikat nicht mehr gültig erklärt von der ausstellenden Behörde quasi zurückgezogen und das mussten halt alle Verifikationsapplikationen das erst mal mitbekommen, dass dieses Zertifikat nicht mehr gültig ist. Das Problem damals, das war 2021 im Oktober, war, dass in dieser Implementing-Deschichte, also in dieser Umsetzungstirektive, in der klassischen IT-RFC-Sprache it can be revoked dass DCC-System should provide certificate revocation lists. Also sollten und könnten aber nicht müssen. Wenn man sich diese RFCs durchlegt, das ist immer ein ganz, ganz wichtiger Unterschied. Muss und soll und können ist in dem Fall ganz wichtig und es war damals so, dass nicht alle Länder und alle Applikationen diese Technologie unterstützt haben oder diese revocation unterstützt haben. Es wurde jetzt dann Ende März dann auch noch eine e-Help Network Guideline zu dem Thema Revocation nochmal explizit nachgeschossen, wo nochmal nachträglich dokumentiert wird oder dokumentiert wurde wie das alles zugeschägen hat. Das ist es eigentlich. Ihr habt es gesehen, es ist nicht sonderlich schwer, wenn man ein paar Basis wissen hat, wer zum Thema X509 und Zertifikate und Public Private Key die Fragen hat, das können wir gerne bei einem Junk lernen. Ich habe dann auch noch wissendere Personen an der Seite für Zwischenfragen oder sonst was. So funktioniert es mehr oder weniger. Und sage ich jetzt einmal, danke schön, und falls es Fragen gibt, habe ich jetzt ganz wunderbare Menschen, die mit dem Mikro rumlaufen. Danke schön. Gibt es Fragen? Ja. Da hinten ist schon eine Frage. Die App empfiehlt ja immer, zeigt den Leuten nicht die Daten, zeigt ihnen den QR-Code. Und die Leute sollen, wenn ich in die Bar gehe, sollen die mit der App den QR-Code lesen. Aber das ist doch eigentlich auch eine Augenwischerei, weil der QR-Code enthält alle Daten, die die App kennt und ob der andere jetzt einen offiziellen Verifizierungstut anschaut, wo nur Grün wird oder laden die Daten der sich in der nächsten Bar mit einladen kann. Nein, der Punkt ist ja, der Schwachpunkt bei dem Punkt, was du ansprichst, ist die Verifizierung ab. Wenn du die offizielle Verifizierung abhast, dann liest du den QR-Code aus und überprüft, ob die Daten, die in dem QR-Code stehen, auch quasi der digitalen Signatur entsprechend, ob sie unverändert sind. Und mehr macht das nicht. Die Verifizierung, die wird Name, Geburtstatum etc. ist das, was im Zertifikat steht. Aber das Kennen des QR-Codes mit der Verifikationsab gewährleistet dem überprüfenden, dass die Daten nicht modifiziert wurden, anderes Geburtstatum, Name oder sonst was hineingeschrieben wurde. Ob die Person, die das zeigt, auch die Person ist, die sie vorgibt zu sein, musst du mit einem Personpass etc. abkehren. Wenn du eine Website schreibst, wo ein grünes Hackal ist und ein Name steht, das sagt genau nichts aus. Der Knackpunkt ist, du musst eine gültige Verifikationsabnehmern, ob es die österreichische Schweizer Deutsch ist, ist egal, die überprüft die digitale Signatur und gewährleistet dem überprüfenden, dass die Daten zumindest mal korrekt sind. Ob das dann die Person ist, ist dann der zweite Schritt. Richtig, aber das ist wichtig, dass man das nicht einfach mit dem, was man machen will. Ich meine es aus Sicht von dem, der seine Daten zeigen muss. Die App tut so, finde ich, habe ich einen Eindruck, als ob meine Privatsphäre besser geschützt wäre, wenn ich den QR-Code zeige, als wenn ich hier öffne und scroll runter. Das ist Augenauswischerei. Das ist auch der Punkt, da gab es Diskussionen, das besser zu machen, das ist auf den sich alle, es ist immer ein Kompromiss, aber in dem Fall... Ja, es ist mit dem QR-Code ein bisschen leicht. Wenn du jetzt nicht die offizielle Verifikationsabverwendest, sondern die quasi die Daten aus dem QR-Code rauslisten und in der CSV-File schreibst, ja. Aber die österreichische Datenschutzbehörde hat zum Beispiel entschieden, dass das Geburtsdatum kein schützenswertiges Datum ist. Und damit... Ja, nächstes Thema. Bevor ich über den DSB-Rounds beginne. Gibt es noch weitere Fragen? Nicht zur Schüchterung. Das kann es doch nicht sein. Doch, da kann es sein. Vielleicht sollte ich einfach eine Mannerschnitte mitnehmen. Ich brauche noch ein paar für morgen. Ich habe morgen noch zwei Talks. Genau, vielleicht keine Frage, sondern ein kurzer Kommentar, weil sich das Gerücht so ein bisschen hält, dass signieren eigentlich nur das Verschlüssel mit einem Secret hier ist, das ist quasi nur höchstens für Standard-Textbook-ARSR der Fall, aber sonst allgemein geht es nicht und wir können die normalen Sicherheitsbegriffe, die wir haben, wollen nicht erfüllen, wenn wir genau das so versuchen, sondern muss man extra noch mal was anderes machen. Wie gesagt, ich wollte auch auf das ganze... Wenn ich das auch noch eingepackt hätte, wäre es ein drei-Stunden-Talk geworden und ich wollte es eigentlich wirklich möglichst... Ja. Also auch hier noch eine zusätzliche Person, wenn es Fragen zu dem ganzen Thema gibt. Noch weitere Fragen? Ja. Ich renne ja schon, ich renne schon. Nein, nein, man schaut immer... als Harold schaut man immer in die falsche Richtung. In dem Beispiel waren tatsächlich bei dem Namen Umlaute drin, was für ein Coding-Württender innen drin, wenn er bei dem SIBO war, das glaube ich. Du wirst es nicht glauben, ich bin fast vom... Okay. Ja, aber damit ist es... Der Chasen-Text ist UTF 16 sogar. Wow. Ja, in Österreich habe ich mit Äptic und 7 Bittingen zu tun. Das ist dann lustig, das zu metten, wenn du dann für die Abrechnung die Daten aus dem Zertifikat auf einer Eis für 100 schießen musst. Jetzt ganz... Ja, bei Namen mit Umlauten, auf Städte wie einen wunderbaren Talk, Your Name is in Village, schaut den euch an, gibt es auf media.cccd. Ganz super Talk zum Thema Umlaute und encodings und... Noch Fragen? Ja, aber wie gesagt, ich habe gesagt, es waren da wirklich gute Menschen, die sich was überlegt haben und gedacht haben bei dem Thema und zum Teil auch zeitgemäß umgesetzt haben. Auch ganz überrascht. Ach du, oh je. Wir müssen auf die erste Frage noch ein bisschen ein Element eingehen. Was die App einem bietet gegen das, wenn man nur die einfachen Daten nehmen müsste, dass in dem Fall sich der verifizierende tendenziell nur noch an wenigen dieser Daten-Elemente aufhängt und nicht alles wirklich durchgehen und überprüfen muss. Weil im Endeffekt nachher nur noch die Personen überprüft werden muss, aber zum Beispiel nicht mal wann die Impfung war und was die Impfung war und ähnliches. Und die Impfung, die wir fast alles haben. Aber ein bisschen, was kann man dann schon sagen, dass weniger Daten konkret angeschaut werden, weil das schon in der Prozessarbeit abdeckt. Aber die Frage war ja eher auf eine Rogue, auf eine Rogue verifizierung ab und so weiter. Aber ja, sonst noch Fragen. Ich glaube, die wollen alle auf die Wiese raus. Das könnte gut sein. Ich kann noch als Herr als selbst, ich musste nämlich schon mal diese Zertifikate ausstellen. Es ist ganz schön ein Bullshit, teilweise, wie das dann umgesetzt wird, um es zu verwalten. Bei uns im Impfzentrum war das dann damals so, dass eine bestimmte IT-Firma ankam und jedes Mal das Passwort eingeben musste, wenn jemand gerade in Pause war, um dann den Secret Crib wieder zu haben. War sehr Spaß nicht. Ja, nein. Das ist operatives Problem. Das prinzipielle Design ist, und Sie haben als auch, Sie haben das Design auch kein Feature Crib gehabt, Sie haben es sehr kompakt gehalten. Es hätte besser sein können, es hätte auch viel, viel schlechter sein können. Ich gebe es dir vor. Gut, letzter Aufruf. Was sonst würde ich sagen, dann danke vielen herzlichen Dank und ich wünsche euch noch eine schöne GBN. Danke schön. Danke dir, Lara.