Buscar
  • CertiNet

Certificados de Vacunación Inteligentes de la OMS con PKI

Por Liaquat Khan Ascertia


Se ha vuelto cada vez más evidente que para abrir las economías, a la vez que se garantiza que la tasa de infección por Covid-19 se mantenga bajo control, se requiere de un mecanismo mediante el cual una persona pueda presentar un documento que demuestre que ha recibido una vacuna.


El documento debe garantizar que el "verificador" pueda saber con certeza y seguridad:

  • Que toda la información contenida en el certificado de vacunación es auténtica y no ha sido alterada (por ejemplo, la identidad del titular, detalles de la vacuna, dosis, fecha de aplicación, etc.)

  • Quién es la entidad que emitió el certificado de vacunación

  • Que el emisor del certificado es una entidad reconocida y confiable, designada por la Autoridad de Salud Pública (ASP) de ese país. La identidad digital de la propia ASP debe ser conocida y confiada como una raíz final de confianza para los países extranjeros.


El documento puede ser utilizado por un verificador nacional (p. Ej., Entrada a eventos deportivos, de entretenimiento o educativos) o un verificador extranjero (p. Ej., Sistema de control fronterizo en el puerto de entrada para viajes internacionales).


Los certificados en papel pueden obtenerse de forma fraudulenta, manipularse, perderse o dañarse, por lo que los "certificados de vacunación inteligentes (CVI)" protegidos criptográficamente son el enfoque preferido. Las PKI de tipo pasaporte electrónico son ideales para proporcionar estos servicios de seguridad, que incluyen, integridad de datos, autenticación de origen y un marco de confianza transfronterizo escalable.

La Organización Mundial de la Salud ha tomado la iniciativa y ha desarrollado directrices para implementar Certificados de Vacunación Inteligentes basados en tecnología PKI y un marco de confianza transfronterizo que sea reflejo de los pasaportes electrónicos de la ICAO. Los pasaportes electrónicos son documentos que hacen ciertas "afirmaciones" que deben ser autenticadas transfronterizamente por diferentes verificadores para que los viajes internacionales funcionen.

Este texto proporciona detalles de la guía del Certificado de vacunación inteligente de la OMS y cómo se puede utilizar Ascertia ADSS Server para implementarlo. Contáctenos para obtener más información sobre este enfoque o para solicitar una implementación piloto.

Tenga en cuenta que la orientación de la OMS aún se está finalizando, por lo que los detalles pueden cambiar.

¿Qué es un certificado de vacunación inteligente?


Un certificado de vacunación inteligente (CVI) es un documento médico digital que registra información sobre las vacunas que ha recibido una persona. Se puede almacenar en un teléfono inteligente o en un servidor basado en la nube. Puede presentarse como un formulario en papel, donde el registro en papel se vincula con su "gemelo digital" mediante códigos de barras 2D. También se puede distribuir en forma de PDF que también contiene el código de barras:

La OMS ya proporciona un certificado de vacunación en papel denominado "Libro amarillo" y el mismo concepto es reutilizado pero reforzado por la OMS con firmas digitales emitidas a través de un marco de confianza global de PKI. Esto se puede considerar como un "Libro amarillo" de confianza.

¿Qué es el marco de confianza de la OMS?


PKI puede proporcionar servicios de confianza digitales, pero requiere un conjunto de reglas conocidas como marco de confianza para garantizar la interoperabilidad técnica y un mecanismo de gobierno que garantice la confianza en el mundo real.


El marco de confianza de la OMS es un mecanismo que permite a cualquier Estado Miembro verificar que los documentos médicos emitidos por otro Estado Miembro sean auténticos y no hayan sido manipulados. Esto se logra al tener un conjunto consistente de reglas para que todos las sigan.


El marco de confianza de la OMS aprovecha la PKI para establecer un marco de confianza protegido criptográficamente para los Certificados de Vacuna Inteligentes (CVI). Requiere que las Autoridades de Salud Pública (ASP) de los Estados Miembros establezcan y mantengan un sistema PKI nacional con las autoridades, aplicaciones, personas y procesos apropiados para respaldar la emisión y verificación de CVI.


El marco de confianza de la OMS se basa en una cadena de confianza PKI que comienza con la CA firmante del país (CSCA), a los emisores del certificado de vacunación y, finalmente, al certificado de vacunación real que posee la persona. El nivel superior de interoperabilidad transfronteriza y la confianza en certificados raíz CSCA de extranjeros se logra a través de un directorio de claves públicas (PKD) centralizado administrado por la OMS.

La OMS desempeña el papel de agente de confianza que identifica la CA raíz de cada Estado miembro, en la que otros Estados miembros pueden confiar. También es posible el intercambio bilateral de claves de CA raíz entre estados, aunque obviamente este enfoque no es tan escalable.

Proceso de Emisión de los Certificados de Vacunación Inteligente


El siguiente diagrama explica el proceso de emisión de CVI:


Hay algunos requisitos previos. Cada país debe establecer una PKI de acuerdo con el marco de confianza de la OMS. Esto requiere la creación de una CA de firma de país (CSCA) y la publicación de sus certificados en el Directorio de claves públicas global de la OMS para que todos los verificadores extranjeros tengan acceso a una copia confiable del punto de confianza final del país al verificar las cadenas de firmas de los CVI.


La CSCA normalmente será responsabilidad de la Autoridad de Salud Pública dentro del país y también debe establecer un componente técnico de "Firmante de Documentos" cuya función es firmar cada Certificado de Vacunación Inteligente que se emite. Podría haber varios firmantes de documentos (emisores de CVI) dentro del país, dependiendo de cómo estén organizados los servicios de salud pública dentro del país.

El proceso es como sigue:

  • Una persona visita un centro de atención médica y recibe una vacuna. El sistema de salud envía los detalles de la persona, la información de vacunación y los parámetros relacionados al firmante del documento para que lo firme.

  • El firmante del documento devuelve un CVI firmado digitalmente utilizando su clave PKI segura que se encuentra dentro de un módulo de seguridad de hardware (HSM) para máxima seguridad. La firma digital está disponible como código de barras 2D.

  • El sistema de salud hace que el código de barras firmado digitalmente esté disponible para el usuario a través de su aplicación de teléfono inteligente de la Autoridad de Seguridad Pública, un PDF (enviado a la dirección de correo electrónico del usuario o descargado del portal ASP) o impreso como un certificado en papel.


Proceso de Verificación de CVI


El siguiente diagrama explica el proceso de verificación de CVI:


El proceso es como sigue:

  1. El verificador (su sistema TI) obtiene el certificado CSCA de nivel superior del Directorio Nacional de Claves Públicas (PKD), que a su vez lo obtiene del directorio público mundial de la OMS, la fuente última de todos los certificados CSCA de los Estados Miembros. El certificado CSCA contiene la clave pública confiable de la PHA de ese país.

  2. El verificador utiliza esta clave pública confiable para verificar el certificado del Firmante del Documento del país emisor y así obtiene su clave pública confiable.

  3. El certificado de clave pública del firmante del documento se utiliza para verificar la firma en el CVI. Esto produce un resultado inmediato confiable o no confiable para el certificado de vacunación.

El proceso de verificación real es más sofisticado que lo explicado anteriormente (por ejemplo, se verifica el estado de revocación de cada certificado para asegurarse de que aún sean válidos en el momento de la verificación). Esto se logra mediante el uso de listas de revocación de certificados (CRL), un enfoque estándar de PKI

Vinculación de la identidad del individuo al CVI


El Certificado de vacunación inteligente es básicamente un certificado de "atributo" que contiene la identidad de un usuario (por ejemplo, nombre completo, identificación nacional, identificación de salud, identificación del sistema de información de inmunización, identificación de registro médico) junto con sus detalles de vacunación. El enfoque de la OMS no introduce un nuevo método de identidad digital, sino que se basa en:


  1. El sistema de salud verifica la identidad del usuario antes de administrar la dosis (por ejemplo, a través de su tarjeta de identificación, tarjeta de salud, pasaporte u otra identificación emitida por el gobierno).

  2. En el momento de la verificación, el verificador verificará la identidad de la persona tal como se documenta en el CVI firmado digitalmente y lo comparará con el documento de identificación que presenta el usuario (por ejemplo, pasaporte, tarjeta de identificación, tarjeta de salud u otra identificación emitida por el gobierno). Si el documento emitido por el gobierno también contiene información biométrica (por ejemplo, una imagen facial), esto también se compara con la persona que presenta el documento.

Beneficios clave del enfoque del certificado de vacunación inteligente de la OMS


Los beneficios son:

  • Interoperabilidad transfronteriza: tanto a nivel técnico como de gobernanza, todos los Estados miembros siguen las mismas normas.

  • Accesibilidad: utiliza un modelo existente y probado para la firma de documentos, es decir, pasaportes electrónicos. También utiliza tecnología PKI estándar que proporciona los niveles más sólidos de seguridad criptográfica y es ampliamente aceptada para los servicios de confianza digital a nivel mundial. Esto asegura que los CVI sean accesibles para todos.

  • Equidad: asegura que las CVI no fomenten las desigualdades preexistentes ni creen otras nuevas.

  • Protege la privacidad: garantiza que se respeten y protejan los derechos de privacidad individuales

  • Escalabilidad, flexibilidad y sostenibilidad: garantiza que los CVI puedan alcanzar una escala global (un CVI de cualquier Estado miembro puede ser verificado por cualquier otro Estado miembro sin requerir acuerdos bilaterales entre países), sean sostenibles más allá de la pandemia Covid-19 para futuros tipos de vacunación, sean adaptables a otros contextos y usos, y tengan en cuenta la sostenibilidad ambiental de las distintas soluciones implementadas.


Implementación del marco de confianza nacional para CVI con Ascertia


Ascertia puede ayudar a las autoridades de salud pública en cualquier Estado Miembro de la OMS durante los pasos de emisión y verificación del flujo de trabajo de SVC como se ilustra:



Ascertia puede proveer:

  • Los componentes necesarios de PKI y de firma digital que forman parte de su producto ADSS Server estándar, que incluyen:

  • CA de firma de país (CSCA)

  • Firmante de documentos (DS)

  • Firmante de la lista maestra (MLS)

  • Directorio de claves públicas nacionales (NPKD)

Los componentes del servidor ADSS descritos están disponibles en sistemas Windows y Linux, incluidos Azure y AWS, y funcionan con una variedad de bases de datos (por ejemplo, SQL Server, Oracle, Postgres, MySQL, etc.) y HSM de Thales, Utimaco y Entrust.

  • Pasarelas de verificación en línea para la verificación de CVIs de cualquier Estado Miembro de la OMS. Estas puertas de enlace pueden proporcionar una interfaz simple basada en REST para simplificar el trabajo de los sistemas TI del verificador.

  • SDK (en Java y .NET) para simplificar la emisión y verificación de CVI para los integradores de sistemas

  • Servicios profesionales integrales para ayudar a establecer la PKI y los servicios de firma, incluido el establecimiento de un marco de gobierno, documentación de PKI y servicios técnicos para la implementación y las operaciones seguras de la PKI.


El servidor ADSS de Ascertia presenta un enfoque comercial off-the-shelf que sigue los estándares de pasaportes electrónicos de la ICAO, lo que garantiza la interoperabilidad con los más de 100 Estados que actualmente emiten pasaportes electrónicos y más de 490 millones de pasaportes electrónicos en circulación. Esto permite que las soluciones CVI se implementen de forma rápida y rentable utilizando enfoques de seguridad probados. Ascertia cuenta con una eficaz red global de partners que pueden asesorar sobre nuestras soluciones.

Otras iniciativas de certificados de vacunación


Hay una serie de otros enfoques para los certificados de vacunación inteligentes, a menudo también denominados pasaportes de vacunas, pasaportes Covid, certificados Covid, etc. Las dos principales alternativas al enfoque de la OMS son:


  • Certificado digital verde europeo (DGC): la iniciativa DGC de la Comisión Europea refleja de cerca el trabajo que está realizando la OMS en el sentido de que también se basa en el mismo enfoque basado en la PKI de pasaportes electrónicos. La principal limitación del modelo europeo es que inicialmente solo está destinado a viajar dentro de Europa, aunque se espera que se integre con el marco de la OMS en una fecha posterior. Curiosamente, DGC no es solo para certificados de vacunación, sino que también se puede utilizar para proporcionar información firmada de los resultados de la prueba de Covid de un individuo o prueba de que el individuo se ha recuperado de Covid. Se pueden encontrar más detalles en el sitio web de la Comisión Europea.


  • IATA Travel Pass: IATA ha definido un enfoque para los certificados de vacunación basado en la tecnología blockchain, identificaciones descentralizadas y credenciales verificables basadas en la identidad auto soberana (SSI) en lugar de un enfoque PKI puro. Aunque varias aerolíneas respaldan esta iniciativa, está dirigida únicamente a viajes internacionales y no para otros fines generales en el país (por ejemplo, asistir a eventos deportivos). Además, debido a que se basa en blockchain, introduce un conjunto de nuevas tecnologías y estándares que aún no están completamente maduros, hay una falta de interoperabilidad global y una estructura de gobierno bien definida que pueda asignar la confianza criptográfica a la confianza del mundo real a nivel mundial. Más información está disponible aquí: IATA - Travel Pass Initiative.


Contáctenos para obtener más información sobre cómo se pueden utilizar nuestras soluciones para implementar Certificados de vacunación inteligente de la OMS o para solicitarlos.

Este documento ha sido traducido por CertiNet, quien representa las soluciones de Ascertia para Chile y Latinoamérica. Contáctenos si requiere más información y profundizaremos acerca de sus necesidades.


www.certinet.cl

ventas@certinet.cl

marketing@certinet.cl



105 visualizaciones0 comentarios