Inria и Фраунгофера являются членами общеевропейской конфиденциальность-сохранение трассировки близости (Пер-ПТ проекта). В пятницу, ПЕПП-ПТ сказала, что семь европейских стран были заинтересованы в разработке национальных приложений на основе стандартизированного подхода. Так что Роберт может стать важным источником вдохновения для различных контактов-отслеживание приложений в Европе.
Французские и немецкие исследовательские группы решили поделиться технические характеристики на GitHub с различными документами, поясняющими их работу до сих пор. В дополнение к полноценным документом, спецификация, группа написала краткий обзор на наиболее часто задаваемые вопросы, иллюстрирует и интересно-им документ: “близость приложений трассировки: сообщают дискуссии о централизованной и децентрализованной подходы”.
Генеральный директор анрия Бруно Sportisse также написал статью на сайт Анрия, описывающих мышление за Анрия работы (и Фраунгофера). Кроме того, чтобы объяснить концепцию отслеживания контактов, он говорит, что нет такого понятия как децентрализованная контакт-трассировка протокола или централизованный контакт-трассировка протокола.
“Ни один из проектов направлен на реализацию одноранговой сети, в которой все будет опираться на якобы "независимые" сообщества [...] устройств/смартфонов, что обмен информацией между ними. Главная причина, почему это не дело в том, что уязвимости безопасности может иметь последствия с таким подходом,” Sportisse писал.
“Все системы в работы включают в себя общий компонент (сервер) и децентрализованный компонент (группа смартфонов, которые могут общаться между собой с помощью Bluetooth): все системы в настоящее время в работах, следовательно, централизованное [...] и децентрализации”, - продолжил он.
И еще, централизации и децентрализации были в центре дискуссии между исследователями конфиденциальности в Европе, сторонники ДП-3Т инициатива иногда взывает Пер-ПТ подхода. ДП-3Т-это другой коалиции экспертов, которые утверждают, что больше заботятся о конфиденциальности, чем Пер-ПТ.
Так давайте погрузимся в Роберта и узнайте, что Inria и Фраунгофера имею в виду централизованную-децентрализованную контакт-трассировка протокола.
В документе спецификации, Inria и Фраунгофера определить принципы позади Роберта.
n“Наша программа предусматривает следующие цели, как описано в [2]:
Это все справедливо указывает, но судя по остальной части документа, анонимность-это не 100% гарантия для всех участников (правительство, другие пользователи приложения, злоумышленников).. сам документ описывает, почему там могут быть некоторые лазейки в протоколе.
nВласть работает система, в свою очередь, - это “честные, но любопытные”. В частности, не будет развертывать подглядывающие устройства или не будет изменять протоколов и сообщений. Однако, он может использовать собранную информацию для других целей, например для повторной идентификации пользователей или вывести их контактные графики. Мы предполагаем, что система является безопасной, и регулярно проверяется и контролируется внешними надежных и нейтральных органов (например, органов по защите данных и национальными учреждениями в области кибербезопасности).n
Это большое "если".
В принципе, данная методика разработана таким образом, что он защищает вашу частную жизнь, как долго, как Вы доверяете правительство/Министерство Здравоохранения/кто занимается управлением центрального сервера. Основываясь на том, что только заявление, кажется, что власть может войти огромное количество информации о пользователях приложения.
По своей сути, отслеживания контактов приложение использует Bluetooth для того чтобы построить полный список других пользователей приложения, которые вы уже взаимодействовали с более чем на несколько секунд. Роберта на основе отслеживания контактов приложение сделает из этих игр на вашем устройстве.
Роберт использует эфемерные идентификаторы Bluetooth, которые меняются каждые 15 минут. Например, если вы разговариваете с кем-то на 10 минут, вы будете регулярно отправлять свой эфемерный ИД Bluetooth для другого человека, и вы собираетесь получать эфемерные другого человека, удостоверение личности с поддержкой Bluetooth. Если никто не заражается COVID-19, эти коды остаются на вашем устройстве (и, возможно, даже продуваться через некоторое время).
Приложение также собирает дополнительную информацию, связанную с эфемерными идентификаторы блютуз. Например, он собирает силы сигнала Bluetooth, чтобы оценить расстояние между двумя людьми.
Все это является довольно стандартным.
Подходы отличаются друг от друга, если кто-то подтвержденной инфекцией COVID-19. Под Роберт осуществления, если пользователь диагностируется COVID-положительные и дает свое согласие, чтобы помочь сообществу других пользователей приложения, приложение будет загружать список эфемерный блютуз идентификаторы других пользователей, что они взаимодействуют с за последние 14 дней.
Опять же, приложение не отправляет собственного эфемерного пользователя идентификаторы Bluetooth — он передает информацию о кругу людей, которые вращаются вокруг зараженных пользователей.
Затем сервер имеет список потенциально подвержены пользователи. Это не обязательно означает, что они будут заражены с COVID-19.
Итак, что же делать сервер с этот список потенциально подвержены пользователи?
Когда вы скачать Роберт основе отслеживания контактов приложение (например, остановка Франции приложение Covid, что находится в работе) и запустить его в первый раз, то сервер будет. Сервер генерирует и отправляет постоянных и временных идентификаторов блютуз. Сервер также хранит список всех временные идентификаторы, связанные с постоянными идентификаторами.
Иными словами, власть имеет гигантскую базу данных всех постоянных и временных идентификаторов, связанных со всеми пользователями приложения. Хотя технические характеристики говорят, “хранимой информации "аноним" и не имею в виду, связанные с конкретным пользователем,” это не анонимно. Это псевдонимом.
Когда пользователь диагностируется COVID-положительный и можно поделиться список временных идентификаторов Bluetooth на людей, они взаимодействовали с, сервер регистрирует всю информацию и увеличивает риск людей они взаимодействовали.
С течением времени, нескольких пользователей, подтвержденной инфекцией COVID-19 помечает различными Bluetooth эфемерные идентификаторы, которые относятся к одному пользователю. Сервер собирается увеличить счет риск постоянный идентификатор, связанный с этим пользователем.
По сути, власть будет иметь базу постоянных идентификаторов с каждого идентификатора, представляющего один человек. Там будет оценка риска, связанного с каждым человеком. Когда оценка риска достигает определенного порога, пользователь получает уведомление.
Как вы можете видеть в моем описание Роберт протокола, проект пытается минимизировать атаки централизация большинство вычислений на сервере. Он предназначен, чтобы быть устойчивым против злоумышленников как можно больше — вам необходимо “зарегистрироваться” на ваш счет путем получения постоянного удостоверения личности с центрального сервера.
Но это централизованное управление означает, что вы должны доверять своему правительству. В частности, вы должны верить, что:
Например, что если Роберт-приложение загружает ваш IP-адрес, если ваше приложение проверяет оценку рисков, связанных с постоянным кодом? Что если правительство хочет немного больше данных для анализа социальных графов псевдонимов? Это могут быть огромные риски конфиденциальности и конечный пользователь даже не будет осознавать уязвимость. Это в основном противоположность “приватностью”.
Вместо этого, Inria и Фраунгофера бросить ДП-3Т реализация под автобус:
n"Другие, которые квалифицируются как ‘децентрализации’, вещательных схемы для каждого приложения статистической информации, содержащей псевдонимами всех зараженных пользователей. Эта информация позволит каждому приложение для расшифровки идентификаторов зараженных пользователей и проверить, если любой из них являются частью своего списка контактов. Наша схема не следовать этому принципу, потому что мы считаем, что отправка информации обо всех зараженных пользователей раскрывает слишком много информации. На самом деле, было показано, что эта информация может быть легко использованы злоумышленниками для идентификации зараженных пользователей. Мы утверждаем, что заражен повторной идентификации пользователей необходимо избегать, поскольку это может привести к стигматизации. Вместо этого, мы выбрали безопасное хранение этой информации на центральный сервер”.n
Увольнение децентрализованных протоколов, таким образом, является совершенно безответственным. В обоих случаях, это зависит от реализации. Вот почему так важно позволить разработчикам аудит кода, который работает как на смартфоне, так и на сервере — будут ли сервера только сервера ретрансляции или центральной базы данных. В противном случае, люди не будут доверять контакт-розыск приложений и они будут бесполезны.
Данных на устройстве может быть зашифрован и недоступен для других приложений и пользователей-злоумышленников. Правительство могло бы даже управлять ключ дешифрования с использованием мульти-подписи. Таким образом, злоумышленники не смогут расшифровать данные без взаимодействия с центральным сервером, и центральный сервер не сможет получить доступ к пользовательским данным.