Ogólnoeuropejskie śledzenie zbliżeniowe chroniące prywatność

Ogólnoeuropejskie śledzenie zbliżeniowe chroniące prywatność

Opracowany przez	PePP-PT eViGr.
wprowadzony	1 kwietnia 2020 ( 2020-04-01 )
Przemysł	Cyfrowe śledzenie kontaktów
Kompatybilny sprzęt	Smartfony z systemem Android i iOS
Zasięg fizyczny	~ 10 m (33 stopy)
Strona internetowa	www .pepp-pt .org

Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT/PEPP) to otwarty protokół z pełnym stosem zaprojektowany w celu ułatwienia cyfrowego śledzenia kontaktów zainfekowanych uczestników. Protokół został opracowany w kontekście trwającej pandemii COVID-19 . Protokół, podobnie jak konkurencyjny Decentralized Privacy-Preserving Proximity Tracing (DP-3T), wykorzystuje Bluetooth LE wykrywać i lokalnie logować klientów w pobliżu użytkownika. Jednak w przeciwieństwie do DP-3T wykorzystuje scentralizowany serwer raportowania do przetwarzania dzienników kontaktów i indywidualnego powiadamiania klientów o potencjalnym kontakcie z zakażonym pacjentem. Argumentowano, że takie podejście narusza prywatność, ale przynosi korzyści w postaci kontroli człowieka w pętli i weryfikacji organów ds. Zdrowia. Chociaż nie oczekuje się, że użytkownicy będą rejestrować się przy użyciu swojego prawdziwego imienia i nazwiska, serwer zaplecza przetwarza pseudonimizowane dane osobowe, które ostatecznie można by ponownie zidentyfikować. Stwierdzono również, że rozróżnienie między systemami scentralizowanymi/zdecentralizowanymi ma głównie charakter techniczny, a PEPP-PT jest w stanie w równym stopniu chronić prywatność.

Specyfikacja techniczna

Protokół można podzielić na dwa szerokie zadania: lokalne spotkania z urządzeniami i rejestrowanie oraz przesyłanie dzienników kontaktów do centralnego organu ds. zdrowia. Te dwa obszary będą nazywane uzgadnianiem spotkania i zgłaszaniem infekcji . Dodatkowo zdefiniowano uwierzytelnianie, powiadamianie i inne pomniejsze obowiązki protokołu.

Uwierzytelnianie

Uwierzytelnianie podczas rejestracji jest wymagane, aby uniemożliwić złośliwym aktorom tworzenie wielu fałszywych kont użytkowników, wykorzystujących je do ingerowania w system. W celu zachowania anonimowości użytkowników nie można było zastosować tradycyjnych modeli uwierzytelniania wykorzystujących statyczne identyfikatory, takie jak adresy e-mail czy numery telefonów . Zamiast tego protokół wykorzystuje kombinację wyzwania polegającego na sprawdzaniu pracy i CAPTCHA . Sugerowanym algorytmem proof-of-work jest scrypt zdefiniowany w RFC7914, spopularyzowany w różnych systemach blockchain , takich jak Dogecoin i Litecoin . Scrypt został wybrany, ponieważ jest związany z pamięcią, a nie z procesorem. Gdy użytkownik zarejestruje się w aplikacji, otrzyma od serwera unikalny 128-bitowy identyfikator pseudolosowy (PUID). Zostanie oznaczony jako nieaktywny, dopóki aplikacja nie rozwiąże wyzwania PoW z parametrami wejściowymi ${\ displaystyle input=nonce||challenge}$ , współczynnik kosztu równy 2 i rozmiar bloku równy 8. Po zakończeniu klientowi wydawane są poświadczenia OAuth 2 w celu uwierzytelnienia wszystkich przyszłych żądań.

Spotkanie uścisk dłoni

Kiedy spotykają się dwaj klienci, muszą wymieniać się i rejestrować dane identyfikacyjne. Aby zapobiec śledzeniu klientów w czasie za pomocą identyfikatorów statycznych, klienci wymieniają tymczasowe identyfikatory wydawane przez serwer centralny. Aby wygenerować te tymczasowe identyfikatory, serwer centralny generuje globalny tajny klucz $używany$$przedziale$ krótkim . Z tego obliczany jest efemeryczny identyfikator Bluetooth (EBID) dla każdego użytkownika za pomocą algorytmu ${\ Displaystyle EBID_ {t} (PUID) = AES (BK_ {t}, PUID)}$ gdzie ${\ Displaystyle AES}$ to algorytm szyfrowania AES . Te identyfikatory EBID są używane przez klientów jako identyfikatory tymczasowe na giełdzie. EBID są pobierane w partiach z datą do przodu, aby uwzględnić słaby dostęp do Internetu.

Klienci stale rozgłaszają swój EBID pod identyfikatorem usługi Bluetooth PEPP-PT, jednocześnie skanując w poszukiwaniu innych klientów. Jeśli zostanie znaleziony inny klient, obaj wymieniają się i rejestrują EBID wraz z metadanymi dotyczącymi spotkania, takimi jak siła sygnału i znacznik czasu.

Raportowanie infekcji

Gdy użytkownik poza pasmem zostanie potwierdzony jako pozytywny na infekcję, pacjent jest proszony o przesłanie dzienników kontaktów do centralnego serwera raportowania. Jeśli użytkownik wyrazi na to zgodę, organ ds. zdrowia wydaje klucz autoryzujący przesyłanie. Następnie użytkownik przesyła dziennik kontaktów za pośrednictwem HTTPS do serwera raportowania w celu przetworzenia.

Po otrzymaniu dziennika kontaktów przez serwer raportowania każdy wpis przechodzi przez algorytm sprawdzania bliskości, aby zmniejszyć prawdopodobieństwo fałszywych trafień. Powstała lista kontaktów jest ręcznie potwierdzana, a oni wraz z losową próbką innych użytkowników otrzymują wiadomość zawierającą losowy numer i skrót wiadomości. Ta wiadomość służy do obudzenia klienta i sprawdzenia serwera pod kątem nowych raportów. Jeśli klient znajduje się na liście potwierdzonych użytkowników, serwer potwierdzi klientowi potencjalną infekcję, co z kolei ostrzeże użytkownika. Jeśli klient znajdzie się w próbie losowej, otrzyma odpowiedź bez znaczenia. Powodem, dla którego losowa próbka użytkowników otrzymuje wiadomość dla każdego zgłoszenia, jest to, że osoby podsłuchujące nie są w stanie określić, kto jest zagrożony infekcją, słuchając komunikacji między klientem a serwerem.

Spór

Helmholtz Center for Information Security (CISPA) potwierdziło w komunikacie prasowym z 20 kwietnia 2020 r., że wycofuje się z konsorcjum, powołując się na „brak przejrzystości i jasnego zarządzania”, a także obawy dotyczące ochrony danych wokół projektu PEPP-PT. École Polytechnique Fédérale de Lausanne , ETH Zurich , KU Leuven i Institute for Scientific Interchange wycofały się z projektu w tym samym tygodniu. Grupa ta była również odpowiedzialna za rozwój konkurencyjnego zdecentralizowanego śledzenia bliskości z zachowaniem prywatności protokół.

W dniu 20 kwietnia 2020 r. ukazał się list otwarty podpisany przez ponad 300 naukowców zajmujących się bezpieczeństwem i prywatnością z 26 krajów, w którym skrytykowano podejście przyjęte przez PEPP-PT, stwierdzając, że „rozwiązania umożliwiające rekonstrukcję inwazyjnych informacji o populacji należy odrzucić bez dalszej dyskusji”. ^{[ nadmierne cytowania ]}

Zobacz też

• Zdecentralizowane śledzenie zbliżeniowe z zachowaniem prywatności
• Niebieski ślad
• Projekt śledzenia kontaktów Google / Apple
• Protokół TCN

Linki zewnętrzne

• Strona główna PEPP-PT Zarchiwizowane 2020-04-09 w Wayback Machine
• PEPP-PT GitHub