Giải pháp cho mã QR hộ chiếu vắc xin “Covid-19”

Một thiết kế mã QR cho “Thẻ Covid-19” tạm ổn sẽ cần đáp ứng một số yêu cầu sau:

• Không chứa quá nhiều thông tin cá nhân
• Khó làm giả
• Hạn chế việc ai đó dùng mã QR của người khác (do chia sẻ trên mạng, thu thập lén, ..)
• Có thể kiểm tra tính đúng đắn của thông tin dễ dàng, nhanh chóng (không bị quá tải)

Để đáp ứng được 4 yêu cầu trên, có thể tham khảo cách các nước khác đã làm Vaccine Passport. Theo tôi VN nên xây dựng mã QR cho “Thẻ Covid-19” với các nhóm thông tin như sau:

• Nhóm thông tin cá nhân cơ bản, bao gồm:
  - Tên
  - Năm sinh
  - 1 phần số CMND/CCCD (che 4 số cuối)
  - Số UID ngẫu nhiên định danh duy nhất

** Nhóm thông tin cá nhân cơ bản giúp cho việc kiểm tra đối chiếu thủ công thông tin trên giấy tờ (ví dụ CMND/CCCD/Hộ chiếu) với thông tin từ mã QR khi cần thiết.

• Nhóm thông tin liên quan đến Covid-19, bao gồm:
  - Thông tin Tiêm chủng (tổng số mũi tiêm chủng, thời gian chích lần cuối)
  - Thông tin dịch tễ cá nhân (ví dụ xanh/an toàn/đi lại tự do; vàng/có nguy cơ/cá nhân bị hạn chế đi lại; đỏ/không an toàn/cá nhân tự cách ly).

** Đánh giá nguy cơ xanh/vàng/đỏ của mỗi cá nhân có thể dựa trên các thông tin như kết quả XN Covid-19, khai báo y tế, lịch sử tiếp xúc F0, F1, nơi cư trú là vùng đỏ/vùng xanh… của cá nhân.

• Thời gian mã QR có hiệu lực: để hạn chế mã QR bị người khác sử dụng (do chia sẻ trên mạng, thu thập lén, ..), mã QR bao gồm thông tin thời điểm hết hiệu lực của mã tính từ thời điểm sinh mã.

** Thông tin thời điểm hết hiệu lực của mã QR cho phép linh động trong việc cấp mã QR cho các mục đích khác nhau với thời hạn hiệu lực khác nhau; ví dụ mã QR đi lại hàng ngày trên app (hiệu lực 1 ngày), mã QR in ra trên thẻ giấy (hiệu lực 5 ngày), hay mã QR đi du lịch/công tác (hiệu lực 10 ngày) …

• Chữ ký số của tất cả thông tin ở trên dùng hệ mật mã hóa khóa công khai (Public-key cryptography).

** Mật mã khoá công khai cho phép bất kỳ ai cũng có thể kiểm tra ‘offline’ tính đúng đắn của mã QR “Thẻ Covid-19” thông qua chữ ký số với khoá công khai mà không cần phải kết nối tới API của Cổng thông tin tiêm chủng Covid-19. Việc làm giả mạo mã QR là rất khó có thể xảy ra nếu không bị lộ khoá bí mật (và khoá đủ dài).

Nếu “Thẻ Covid-19” được thực hiện như đề nghị ở trên, việc phát hành và kiểm tra mã QR sẽ trở nên đơn giản, nhanh, hiệu quả và an toàn hơn. Đồng thời, do mã QR có thể được kiểm tra tính đúng đắn ‘offline’ thông qua chữ ký số, hệ thống backend API của Cổng thông tin tiêm chủng Covid-19 sẽ giảm nguy cơ quá tải do lượng truy vấn rất lớn để kiểm tra các mã QR. Các doanh nghiệp cũng sẽ dễ dàng hơn trong việc triển khai, tích hợp việc kiểm tra mã QR vào các giải pháp, hệ thống sẵn có đang sử dụng.