在大流行期间,欧洲委员会向我提出了一项建议,以开发一个受隐私保护的社交联系人跟踪令牌,您可以在Simmel项目页面上阅读该令牌。不久,新加坡宣布开发TraceTogether令牌。作为此活动的一部分,我受邀参加了对他们的解决方案的评论... COVID-19情势的紧迫性和建立供应链的巨大复杂性导致了这样一个事实,我们发现自己处于一种飞机起落架触及跑道的情况。考虑到许多隐私和技术问题,这种情况非常棘手,无法通过一系列推文捕获。因此,我将以短文的形式描述我的印象。由于我仅使用了一个小时的TraceTogether,因此在大多数情况下,我将讨论评估该令牌的上下文。
追踪社交联系
这个想法很简单:如果您生病了,那么您需要确定与您有密切联系的人,并检查他们是否生病。如果做得足够快,则可以抑制COVID-19的传播,并且大多数社会将继续正常运转。
但是我尝试消化实现中的一些细微之处。 Vivian Balakrishnan博士,代理Smart Nation Initiative部长在会议上简短地告诉我们,Apple和Google开发的Exposure Notification系统没有显示“图表”。为了了解流行病学家建立联系图的重要性,我绘制了一些图表来说明联系追踪情况。
让我们从最简单的场景开始。
该图显示了两个人。在第一天,人1已被感染,但症状较轻。在一天的中间,他与人2联系。经过短暂的潜伏期,人2在第二天结束时就具有传染性。在此期间,他可能没有症状。将来,他可能会再感染两次。该示例显示,如果足够早地隔离Person 2,则可以防止两次新的感染。
现在,让我们看一个没有联系人跟踪的更复杂的情况。我们将继续将人1视为携带者出现轻度或无症状,但同时具有传染性:这就是所谓的“超级携带者”。
此图显示了八个人的时间表。第1个人完全负责在几天的时间内感染多个人。请注意,每个人感染一个人之前的潜伏期都不同。而且,传染性可能不伴有症状。
现在,让我们添加联系人跟踪。
方案是相同的,但是具有联系跟踪和隔离的“理想理想”。第4个人在第四天出现症状,测试和测试呈阳性。与他的所有联系都是孤立的,他的许多同事和朋友将来避免感染。重要的是,联系图分析还允许识别人员4和人员2之间的常见联系人,从而识别人员1,该人是原始无症状携带者。
“联系人跟踪”和“联系人通知”之间略有不同。 Apple和Google的“暴露通知系统”仅通知感染者的直接联系。这种微妙的意义在于它最初被称为“使用隐私协议的联系人跟踪”这一事实,但它在四月更名。
为了更好地了解通知受感染的联系人的局限性,让我们看另一种情况。它与前一个相似,只是我们不会通知整个图表,而只会通知第一个有症状的人(即人4)的直接联系人。
如果仅限于通知,则症状轻微或无症状的承运人(例如第1个人)将收到有关他们与阳性人接触的误导性通知,而实际上是第1个人感染了第4个人的病毒。 1号人-感觉良好但具有感染力-将继续照常生活,除了对整个环境都被该病毒感染感到惊讶之外。因此,某些感染是无法避免的。而且,人2是相对于人4的隐藏节点,因为人2不包含在人4的直接联系通知列表中。
简而言之,暴露通知系统本身不允许确定感染的因果关系。完整的联系图有助于识别轻度或无症状的载体。而且,已经知道相当大部分的载体是无症状的。这些人具有传染性,但感觉良好,并参观拥挤的地铁站,在公共场所吃饭。在新加坡的情况下,无症状携带者可以在几天甚至几十小时内创建数十个新的感染人群,而人口稠密的国家(例如美国)白天只能与几个人接触,而在几天之内(甚至不是几个小时)。
无法快速识别和隔离具有轻度症状的超级载体,促使了TraceTogether设备的发展,该设备可通过构建完整的图形来跟踪社交联系。
关于隐私和联系人跟踪
当然,完整的联系人跟踪具有非常严重的隐私含义。而且,如果没有这种跟踪,则可能会严重危害健康和生命。有一种行之有效的解决方案,不会损害隐私:高级联锁,如自动断路器。当然,这需要额外的费用。
在三个要素(隐私,健康和经济)中,我们只能选择两个。关于此主题的辩论很活跃,但这超出了本文的范围。从讨论的角度来看,我们假设正在实现联系人跟踪。在这种情况下,像我们这样的技术人员有责任设法在减少隐私和促进公共政策之间找到折衷方案。
四月初,我和肖恩·克罗斯欧盟委员会NGI计划的代表与NLnet取得联系,并提议开发一种硬件令牌,以在保持隐私的同时跟踪社交联系。这就是“ Simmel ”的诞生方式。该解决方案并不完美,但是Simmel仍然具有重要的隐私功能:
- 强烈隔离用户数据。通过禁用智能手机传感器的收集和归纳,我们摆脱了GPS数据或其他地理位置信息泄漏的风险。这也使得基于元数据的隐私攻击变得非常困难。
- . . , , . , .
- . , . ( ).
- . , , (, ).
为什么要使用硬件解决方案?
软件解决方案是否没有众多优势?
TraceTogether团队表示,新加坡需要硬件令牌才能更好地为低收入公民和iPhone用户服务。前者买不起智能手机,而后者只能使用苹果认可的协议,例如“曝光通知”(不允许进行完整的联系人跟踪)。
Simmel的解决方案表明我是硬件令牌的粉丝,但仅从隐私角度而言。应用和智能手机通常会损害人们的隐私。如果她真的打扰您,请把智能手机放在家里。以下是说明表。红叉表示在某些使用情况下已知的潜在隐私侵犯行为。
跟踪令牌(如新加坡建议)将帮助当局识别您的位置和身份。从技术上讲,当您向医疗机构上交令牌时,会发生这种情况。但是,当局可能会在岛上部署数以万计的接收器,以实时记录令牌的移动。这是一个问题,但是与您的智能手机(通常会传输一系列唯一且未加密的标识符)(从IMEI到Wi-Fi MAC地址)相比,这是一个问题。由于默认情况下不会对所有这些标识符进行匿名处理,因此任何人(不仅是权威机构)都可以使用它们来标识您并找到您。但是,就对个人隐私的“大型基础结构”攻击而言,TraceTogether的构建不会显着影响现状。
令牌必须使用匿名方案来传输ID,这一点很重要,因此它不能将您的身份或位置数据透露给第三方,该信息仅对当局有用。当您必须将ID交给SafeEntry信息亭的工作人员时,可以将其与SafeEntry身份证扫描仪进行比较。这是一种不太安全的解决方案,因为员工可以通过扫描卡来读取您的数据(包括您的家庭住址),因此“位置”和“标识”列中会有红叉。
回到智能手机,通常以大多数分辨率安装“常规应用程序”,例如Facebook,Pokemon Go,Grab,TikTok,地图。这样的智能手机会主动并持续向众多公司披露您的位置,照片和视频,电话,麦克风和通讯录中的数据以及NFC数据(用于非接触式支付或信息传输)。尽管每个公司都保证会“匿名化”您的数据,但是传输的数据太多,足以按几乎一个按钮来取消匿名...此外,得益于世界各国政府从法律上从本地服务提供商处获取数据的广泛权力,全世界的情报机构都可以跟踪您的数据。更不用说面对旨在说服,诱骗或胁迫您泄露数据的入侵者,漏洞利用或伪造界面的持续风险。
假设您相当偏执,并且大部分时间都在iPhone上合理地开启了飞行模式。您认为没有什么可担心的吗?你错了。例如,在此模式下,iPhone仍使用GPS接收器和NFC。我还发现,iPhone的Wi-Fi活动出现随机且无法解释的峰值。
总的来说,我可以给出以下主要论点来支持硬件令牌比应用程序更好地保护隐私:
没有收集和归纳来自不同传感器的数据
由于令牌无法像智能手机一样汇总来自不同传感器的信息,因此令牌收集的数据受到严重限制。尽管我仅使用设备工作了一个小时,但我可以充满信心地说,TraceTogether除所需的蓝牙低功耗(BLE)发射器外几乎没有其他功能。我在哪里买的?全部与物理学和经济学有关:
- : , . , , ? , , BLE.
- : , . , , . .
跟踪一起提供1000 mAh电池。您的智能手机电池容量大约是其三倍,需要每天充电。
财务论据比实际论据要弱,因为当局总是可以准备有限数量的任何价值的“特殊”代币,以追踪个别选定的人。但是,在这种情况下,物理学起着作用:当局在发展中投入的任何资金都不能破坏物理学定律。如果新加坡能够开发出这种形状的大型电池,那么它将在数月内为智能手机传感器供电-可以说,世界将完全不同。
公民对社会交往统计的霸权
如果我们假设TraceTogether的最终版本不允许使用BLE读取数据(我希望我们能在以后的黑客马拉松中对此进行确认),那么公民便拥有其联系方式的绝对所有权,至少直到将其转移给他人为止。
因此,当局可能无意间促使人们抵制TraceTogether系统:一个人可以随时中断其令牌并“注销”(但请先拔出电池,否则您可以烧毁公寓)。您可以更谨慎地采取行动,“在家中忘记徽章”,或者将其戴在金属化的信封中以阻挡信号。令牌的物理实施例还意味着,在大流行控制之下,与应用程序不同,令牌的破坏也将意味着令牌上数据的破坏。确实,当您卸载软件时,图标通常从屏幕上消失,并且某些数据文件保留在设备的肠道中。
换句话说,令牌的物理实现意味着对隐私的认真讨论可以与有关社交联系人的数据收集一起进行。即使今天您不确定TraceTogether的优点,佩戴令牌可以使您推迟是否信任授权机构的最终决定,直到要求您交出令牌进行数据提取为止。
如果事实证明当局在岛上使用BLE接收器,或者发现了一个奇怪的可疑设备令牌,则政府冒着失去人们信任的风险,而且也失去了访问完整联系人跟踪图的权限,因为人们开始大量放弃令牌。这样可以恢复一定的权力平衡,即使我们都收集了联系追踪数据,政府也可以并且将对其社会契约负责。
下一步
当要求我对TraceTogether令牌进行独立审查时,我回答我不会隐藏任何东西-令我惊讶的是,他们仍然邀请我参加会议。
本文介绍了我将在其中评估令牌的上下文。暴露通知功能不足以隔离病毒的无症状携带者,完整的联系跟踪图可以帮助解决此问题。
好消息是,硬件令牌代表着一个更安全的机会,可以继续进行隐私讨论,同时改善数据收集。最终,硬件令牌系统的部署取决于公民本身,因此,当局必须维护或赢得我们的信任,以便在大流行期间维护国家利益。