COOV:韓國發行區塊鏈疫苗護照

#368

嗨,早!

台灣的每日確診人數逐漸下降,疫苗施打人數則緩步上升。隨著打完疫苗的人越來越多,大家接著關心:什麼時候能出國?

之前區塊勢曾討論1過國際航空運輸協會(IATA)以區塊鏈打造的疫苗護照。現在該 app 已經上架,三大國際航空聯盟也表態支持。未來它很可能與各家航空公司的 app 整合,成為出國旅行的必備文件之一。

即使坐上了飛機,如果入境後仍得隔離,或是無法自由進出公共場所,恐怕也只是換個旅店而已。因此,目前以色列、歐盟相繼推出疫苗護照,曾經接種過疫苗的公民可以自由進出公共場所,甚至不用保持社交距離。

但疫苗護照也引來偽造和隱私的疑慮。韓國疾病控制中心(Korea Disease Control and Prevention Agency,KDCA)選擇另一個方式,與民間企業 Blockchain Labs 聯手打造區塊鏈疫苗護照 COOV,主打難以偽造、去中心化且能全球互通。

韓國疫苗護照

韓國社會對區塊鏈並不陌生。

早在 2020 年 8 月,韓國警察廳就與三大電信商聯手,以區塊鏈發行2數位駕照,在短短一個月內就吸引超過 100 萬民眾換發。此外,韓國的第二大商業銀行 —— 新韓銀行 —— 也在同年以區塊鏈發行3 KYC 證書,成為用戶未來到其他機構註冊的數位憑證。

這次韓國疾控中心則是選擇與區塊鏈新創 Blockchain Labs 合作,將疫苗證書放上區塊鏈。根據《韓國生物醫學評論》報導:

COOV 是擊敗冠狀病毒(Corona Overcome)的縮寫字,也是韓國政府推出的疫苗接種認證服務。人們可以從 Google Play Store 或 Apple App Store 下載該應用程序。

根據韓國疾控中心的說法,COOV 應用區塊鏈和去中心化身份(Decentralize Identity)技術來防止紙本證書可能被偽造或篡改的問題,並在資訊揭露最小化的前提下來證明使用者是否接種疫苗。系統中使用的技術,來自韓國的區塊鏈新創 Blockchain Labs。

用戶以這款 app 出示證明時,可以自行決定是否揭露姓名、出生日期、國籍及護照號碼,而韓國疾控中心僅記錄可驗證數據的真實性資訊,但不包含個人資訊。

目前韓國的疫苗接種人數已經突破千萬,約佔總人口數的 24%。已接種者從 7 月起,在公園、步道等戶外場所就可以不必戴口罩,還可以參加海外旅遊泡泡團。韓國政府以下圖說明 COOV 疫苗護照如何使用。

簡單來說,人們到指定的疫苗接種院所打針後,就會在手機內收到由韓國疾控中心發行的疫苗接種證明。未來人們無論是上餐館、看電影或是聽演唱會,只要在門口打開 app 出示二維碼就行。操作流程非常簡單。

但為什麼選擇採用區塊鏈呢?韓國政府指出三大原因:

  1. 防止偽造

  2. 保護隱私

  3. 全球互通

以下分別討論。

區塊鏈的三大理由

韓國政府指出

首先,傳統的疫苗驗證機制容易偽造或被竄改,事後也很難驗證接種的真實性。其次,疫苗系統通常由政府管理且包含大量的個人資料以及健康資訊。這可能會讓非必要(用途以外)的人,也能存取這些敏感資料。最後,如果疫苗系統沒能與國際標準接軌,這些資料就難以與其他國家互通。

這三點都有真實事件佐證。

以色列資安公司 CheckPoint 近期就揭露,暗網上充斥假疫苗以及偽造的接種證書,並指定以比特幣支付。其中偽造的俄羅斯疫苗接種證書要價約 135 美金,而假的美國疫苗接種證書則要價 150 美金。

CheckPoint 的研究人員偽裝成買家,向賣家探詢要如何交易、是否會被識破等問題。沒想到賣家拍胸脯保證,已經很多人用同樣的方法闖關成功且沒有任何問題。只要提供姓名、想要的接種日期並支付款項,幾天之後就可以收到一張以假亂真的接種證書。

容易偽造是紙本作業的老問題,而隱私疑慮則是數位作業的陰影。

2021 年 1 月,新加坡政府就承認將 TraceTogether 這款原本僅用於疫調、追蹤人與人之間接觸歷程的 app 資料,分享給警方用來調查刑事案件。事件曝光之後隨即引發公眾反彈,甚至有人號召刪除這款監控人民生活的變態 app。

但新加坡政府事後不但沒有道歉,甚至乾脆修改隱私規範,將刑事調查也納入 TraceTogether 資料的「正當」用途之一。台灣人或許還沒什麼感覺,但看在香港人眼裡肯定感到毛骨悚然。

相對之下,韓國的 COOV 雖然功能略有不同,但在設計之初就已經杜絕這種情況發生。疾控中心發放數位憑證至疫苗接種者的手機,並將數位憑證轉為一組雜湊值(hash)記錄到 InfraBlockchain 這個公共區塊鏈上,這筆接種資料就完成登錄了。

首先,雜湊值無法回推原始資料,因此沒有洩漏個資的疑慮。其次,二維碼的用途是讓驗證者到區塊鏈查詢該筆資料是否是由韓國疾控中心寫入。區塊鏈難以竄改,自然沒有造假的餘地。最後,區塊鏈上的資料都是公開可查詢。完全沒有經手韓國政府,也就難以監控人民行蹤。

只不過,這套做法還稱不上完美。紙本疫苗接種卡會有冒名頂替的問題,數位的疫苗證書雖然難以偽造,仍難以杜絕冒用。還得透過生物特徵輔助(例如指紋、臉部解鎖),或是出示其他證件補足缺口。總體來說,已經比紙本作業安全得多,同時又能兼顧隱私。

雖然韓國的疫苗接種率才剛超過兩成,這款 app 也還稱不上普及,但韓國政府已經在研擬如何接軌國際。

去中心化身份

各國政府的資料不互通是常態,疫苗接種紀錄的原始資料更是敏感。像美國聯邦政府老早就宣布不會建立聯邦的疫苗接種資料庫。但這可說是為了隱私,而犧牲便利性。

沒有公認的疫苗接種紀錄,人們就只能按照標準程序來 —— 先隔離再說。

相對之下,韓國政府則是看好去中心化身份(Decentralized Identity,DID)的長期發展,選擇依循全球資訊網協會(W3C)制定的格式,將疫苗接種紀錄變成一張全球都能互通的數位憑證。如下圖。

其實它就像是一張由政府發行的 NFT 卡牌。

最理想的情況是,韓國遊客入境他國的時候,出示這張卡牌背後的二維碼讓海關人員掃描,系統會透過區塊鏈驗證發行者,再搭配護照上的資料,海關就能確認是否為本人持有。也因為疫苗接種資料都已經變成雜湊值記錄在區塊鏈上,即便兩國政府的資料庫不互通,也還是可以緊密協作。

未來韓國政府還打算以同樣方式,發行其他疫苗的接種文件給民眾。這可說是區塊鏈應用在公共服務上的經典案例,但韓國政府恐怕還是會卡關。

韓國政府這次採用的 InfraBlockchain 為本土廠商自行開發的公共區塊鏈。雖然使用成本低廉、處理速度快,但最大的障礙恐怕還是如何說服其他國家一起加入。

雖然韓國政府、國際航空運輸協會(IATA)、紐約州政府都把資料上鏈了,只可惜他們都沒有選擇大家耳熟能詳的區塊鏈(例如以太坊),而是各自開發的區塊鏈。當區塊鏈彼此互不相容,最終還是回到了資料不互通的原點。或是即將掀起另一場標準之爭。

Share

如果你喜歡這篇文章,歡迎週六午後到 OURSONG 購買 NFT 收藏。若想查閱區塊勢過往的出刊內容,可以參考文章列表。此外,也請大家推薦區塊勢給身邊的親朋好友。