Das mit dem Rückziehen einzelner Zertifikate ist leider gar nicht so einfach. Ein bisschen Historie…
Am 27.10. begann das Thema u.a. mit einem Issue im Github zur Koordination der Entwicklung des digital covid certificate (DCC). Darauf bezogen sich dann auch einige Presseberichte. Am besten fasst dieser Artikel das Geschehene zusammen:
According to the latest information from European Commission representatives, the incident wasn’t caused by a cryptographic issue with the generation of the certificates, or with the storage of the signing keys. Most likely, “persons with valid credentials to access the national IT systems, or a person misusing such valid credentials,” created the fake certificates.
Die CWA ist schon etwas weiter als CovPassCheck, dort wurde eine Blocklist integriert und es werden Zertifikate als ungültig angezeigt, wenn sie widerrufen wurden (wie z.B. kürzlich geschehen mit allen Zertifikaten dieser Münchner Apotheke). In der CWA sieht das dann so aus wie in diesen Screenshots gezeigt. Dafür lädt die CWA vermutlich regelmäßig eine Liste von gehashten UVCI* herunter, die mit den UVCI der lokalen Zertifikate abgeglichen werden. Im Fall der Münchner Apotheke war nicht eingrenzbar, welche Zertifikate legitim und welche gefälscht waren, weshalb alle ungültig gemacht wurden (vermutlich nicht über die UVCIs sondern den Signing Key). Das System wird aber aktuell nicht bei Einzel-Zertifikaten angewendet.
Sidenote: Damit nicht täglich größere Mengen neuer UVCI-Hashes geladen werden müssen, arbeitet man auf EU-Ebene wohl bereits an einer Lösung, die vor allem auch auf älteren Geräten die Performance nicht beeinträchtigt: Update mapping of app config (EXPOSUREAPP-10446) by jurajkusnier · Pull Request #4336 · corona-warn-app/cwa-app-android · GitHub
Wie die Lösung aussieht ist mir nicht bekannt.
Im bereits oben verlinkten Github-Issue gibt es auch einen Comment eines Maintainers, dass aktuell kein revoken einzelner Zertifikate vorgesehen ist:
There are plenty of DCCs published on the Internet and there is nothing in the design that tried to prevent that. A DCC is useless without a ID document with matching name and birth date - otherwise anyone can just grab a screenshot.
Zusammengefasst also: warum einzelne Zertifikate ungültig machen, ohne gleichnamigen Perso sind sie eh wertlos. Ob ihm mal jemand die (nicht vorhandenen) Kontrollen von Zertifikaten hierzulande zeigen sollte? Anyway…Immerhin ist die Userbase dahinter, dass da mehr passiert und erneut kommt der Hinweis der Maintainer, dass auch solche Fälle demnächst verhindert werden könnten.
Ich hoffe, das hilft etwas, den aktuellen Stand einzuschätzen und was bisher passiert ist bzw. vielleicht bald passieren wird.
*„Unique Vaccination Certificate/Assertion Identifier“ siehe Seite 6 in diesem Dokument: https://ec.europa.eu/health/sites/default/files/ehealth/docs/vaccination-proof_interoperability-guidelines_en.pdf
