Решения должны позволять серверам государств-членов взаимодействовать и получать соответствующие ключи между собой, используя надежный и безопасный механизм.
Пользователи, находящиеся в роуминге, должны загрузить свою информацию о близких встречах в серверную часть своей страны. Другие государства-члены должны быть проинформированы о возможных зараженных или подверженных риску пользователях *.
*Для пользователей в роуминге вопрос о том, на какие серверы должны быть отправлены соответствующие контактные данные, будет дополнительно изучен в ходе технических обсуждений., Вопросы совместимости также будут рассмотрены в отношении того, как пользовательское приложение должно вести себя после того, как будет подтверждено наличие COVID-19, и возможной необходимости подтверждения отсутствия инфекции.
И наоборот, 19 ученых, стоящих за предложением о функциональной совместимости различных децентрализованных протоколов отслеживания контактов, в конце документа содержат раздел, в котором обсуждается, как, теоретически, такие системы могут включаться в «альтернативы»: так называемые централизованные системы.
Но это густо с предостережениями конфиденциальности.
Риски конфиденциальности при пересечении системных потоков
Ученые предупреждают, что, хотя функциональная совместимость между децентрализованными и централизованными системами «в принципе возможна, это создает существенные проблемы с конфиденциальностью», отмечая, что, с одной стороны, децентрализованные системы были разработаны специально для того, чтобы избежать возможности восстановления центральной властью личность пользователей; и «следовательно, централизованный расчет риска не может быть использован без серьезного ослабления конфиденциальности пользователей децентрализованной системы».
В то же время, с другой стороны, если вычисление децентрализованного риска используется в качестве «моста» для обеспечения взаимодействия между двумя философски противоположными подходами – с помощью централизованных систем «опубликовать список всех децентрализованных эфемерных идентификаторов, которые, по его мнению, подвержены риску заражения из-за Тесная близость с положительными пользователями централизованной системы »- тогда злоумышленникам будет легче ориентироваться на централизованные системы с помощью повторных идентификационных атак любых пользователей с положительным тестированием. Таким образом, вы снова получаете дополнительные риски для конфиденциальности.
«В частности, каждый пользователь децентрализованной системы сможет восстановить точное время и место, в которое он был подвергнут индивидууму с положительным тестированием, сравнив свой список зарегистрированных эфемерных идентификаторов, которые они выпустили, со списком эфемерных идентификаторов, опубликованным сервером. «Они пишут, уточняя, что атака покажет, в какой« 15-минутный »пользователь приложения был подвержен воздействию COVID-позитивного человека.
И хотя они признают, что существует аналогичный риск повторных идентификационных атак против всех форм децентрализованных систем, они утверждают, что это более ограниченно – учитывая, что децентрализованный дизайн протокола используется для снижения этого риска «путем записи только приблизительной информации о времени», такой как часовые интервалы.
Таким образом, в основном, аргумент заключается в том, что есть большая вероятность, что вы можете встретить только одного человека через 15-минутный интервал (и, следовательно, легко догадаться, кто мог дать вам COVID) по сравнению с шестичасовым окном. Несмотря на то, что в обозримом будущем население, вероятно, будет по-прежнему поощряться к тому, чтобы оставаться дома как можно дольше, все еще существует вероятность того, что пользователь децентрализованной системы может пропустить только одного человека в течение более длительного промежутка времени.
Поскольку компромиссы идут, аргументы, выдвигаемые сторонниками децентрализованных систем, заключаются в том, что они по своей сути сосредоточены на рисках повторной идентификации – и активно работают над способами снижения и ограничения этих рисков путем проектирования системы – тогда как централизованные системы полностью скрывают этот риск, предполагая, что доверять центральному органу для правильной обработки и обработки персональных данных, связанных с устройством. Что, конечно, очень большое предположение.
Хотя такие мелкие детали могут показаться невероятно техническими для обычного пользователя, которые необходимо переварить, основная проблема связана с приложениями COVID-19 в целом – и совместимость конкретно – заключается в том, что пользователи должны иметь возможность доверять приложениям, чтобы использовать их.
Поэтому, даже если человек доверяет собственному правительству обрабатывать свои конфиденциальные медицинские данные, он может быть менее склонен доверять правительству другой страны. Это означает, что может существовать некоторый риск того, что централизованные системы, работающие в регионе разных стран, таких как Европа, могут в конечном итоге загрязнить «доверие к» для этих приложений в более общем плане – в зависимости от того, как именно они созданы для взаимодействия с децентрализованными системами.
Последние разработаны таким образом, чтобы пользователям не приходилось доверять органам надзора за своими личными данными. Первые абсолютно нет. Так что это действительно мел и сыр.
Ce n’est pas un problème?
На данный момент импульс среди стран ЕС в значительной степени сместился за децентрализованные протоколы для приложений отслеживания контактов COVID-19. Как сообщалось ранее, между различными группами ЕС произошла серьезная битва за поддержку противоположных подходов. И – в ключевом сдвиге – озабоченность по поводу конфиденциальности в связи с тем, что централизованные системы связаны с правительственным “мурлыканьем” и / или отсутствием доверия со стороны граждан, побудила Германию перейти к децентрализованной модели.
Apple и решение Google о поддержке децентрализованных систем для API отслеживания контактов, которые они совместно разрабатывают, и которое должно быть выпущено позднее в этом месяце (образец кода уже вышел), также, несомненно, взвесило дискуссию в пользу децентрализованных протоколов.
Однако на этом этапе не все страны ЕС выровнены. В частности, Франция по-прежнему полна решимости создать централизованную систему отслеживания контактов с коронавирусом.
Как отмечалось выше, Великобритания также создает приложение, предназначенное для загрузки данных на центральный сервер. Хотя, как сообщается, он изучает возможность перехода на децентрализованную модель, чтобы иметь возможность подключиться к Apple и гугл API – учитывая технические проблемы на iOS, связанные с фоновым доступом Bluetooth.
Еще одна особенность – Норвегия, которая уже запустила централизованное приложение (которое также собирает данные GPS) вопреки собственным рекомендациям Комиссии и государств-членов о том, что приложения трассировки не должны собирать данные о местоположении).
Давление высокого уровня явно применяется за кулисами и на публике, чтобы государства-члены ЕС договорились о едином подходе к приложениям для отслеживания контактов COVID-19. Комиссия настаивает на этом в течение нескольких недель. Даже несмотря на то, что министры французского правительства предпочитают публично говорить о проблеме как о технологическом суверенитете – утверждая, что национальные правительства не должны диктовать свои решения в области политики здравоохранения американскими технологическими гигантами.
«Государства сами выбирают свою архитектуру, и были Apple чтобы включить оба [centralized and decentralized systems]», – сказал нам представитель правительства Франции в конце прошлого месяца.
Хотя в Европе эта точка зрения вполне может быть сочувствующей, в ней также проявляется много прагматизма. И, конечно, некоторая ирония – учитывая тот факт, что регион позиционирует себя на региональном и глобальном уровнях в качестве лидера стандартов конфиденциальности. (В последние недели не было нехватки статей о странном представлении технологических гигантов, которые, по-видимому, приучают правительства ЕС к конфиденциальности; в то время как сторонники защиты конфиденциальности в ЕС нервно смеялись, оказавшись в том же лагере, что и гигант по добыче данных Google. )
Комиссия EVP Маргрет Вестагер на этой неделе можно было также услышать по радио BBC о том, что она лично не будет использовать приложение для отслеживания контактов с коронавирусом, которое не было построено на основе децентрализованной архитектуры приложений. Хотя правительство Великобритании, ориентированное на Brexit, вряд ли будет открыто прислушиваться к мнению должностных лиц Комиссии, даже транслируемое через новостные радиоканалы.
Однако Великобритания может быть вынуждена прислушаться к технологической реальности, если это обходной путь для фонового доступа по Bluetooth через iOS окажется слишком ненадежным, как показывает анализ. И это говорит о том, что NHSX финансирует параллельную работу над приложением, которое может подключиться к Apple-Google API, согласно отчетам в FT, что означало бы отказ от централизованной архитектуры.
Что оставляет Францию в качестве самого сильного противника.
В последние недели команда в правительственном исследовательском агентстве Inria, работающем над централизованным протоколом отслеживания контактов COVID-19 ROBERT, предложила третий способ уведомления о воздействии – DESIRE – который был объявлен как эволюция подхода, «использующего лучшее из централизованного». и децентрализованные системы ».
Новая идея состоит в том, чтобы добавить новый секретный криптографически сгенерированный ключ к протоколу, называемый Private Encounter Tokens (PET), который будет кодировать встречи между пользователями – как способ предоставить пользователям больший контроль над тем, какие идентификаторы они раскрывают на центральном сервере, и, таким образом, избежать системы сбора данных социального графа.
«Роль сервера состоит в том, чтобы просто сопоставить PET, сгенерированные диагностированными пользователями, с PET, предоставленными запрашивающими пользователями. Он хранит минимальные псевдонимные данные. Наконец, все данные, которые хранятся на сервере, шифруются с использованием ключей, хранящихся на мобильных устройствах, что защищает их от взлома на сервере. Все эти модификации улучшают конфиденциальность схемы от злонамеренных пользователей и авторитетов. Однако, как и в первой версии ROBERT, оценки рисков и уведомления по-прежнему управляются и контролируются сервером органа здравоохранения, что обеспечивает высокую надежность, гибкость и эффективность », – пишет группа Inria в предложении.
Консорциум DP-3T, поддерживающий одноименный децентрализованный протокол, получивший широкую поддержку со стороны правительств в Европе, в том числе Германии, после «практической оценки» предложения Инрии, в котором они предлагают концепцию «очень интересного академического предложения». но не практическое решение »; учитывая ограничения в современных мобильных радиомодулях Bluetooth и, в более общем плане, вопросы масштабируемости и выполнимости. (Для такой реализации может потребоваться годы, и кризис с коронавирусами вряд ли включает в себя роскошь времени.)
Анализ DP-3T также сильно скептически относится к тому, что DESIRE можно было бы взаимодействовать с или существующие централизованные или децентрализованные предложения – предполагающие своего рода сценарий «наихудшего из обоих слов» в области трансграничной функциональности. Итак …
Один человек, знакомый с дискуссиями в государствах-членах ЕС о приложениях для отслеживания коронавирусов и их совместимости, который проинформировал TechCrunch при условии анонимности, также предположил, что предложение DESIRE не будет реализовано из-за его относительной сложности (против насущной необходимости запуска приложений в ближайшее время, если они быть полезным в нынешней эпидемии). Этот человек также указал на вопросительные знаки относительно требуемой пропускной способности и влияния на срок службы батареи устройства. Чтобы ЖЕЛАНИЕ работало, они полагали, что все европейские правительства должны будут принять всеобщее одобрение, и каждая страна ЕС, согласившаяся принять французское предложение, вряд ли будет нести факел за суверенитет национального государства.
Что Франция делает со своим приложением для отслеживания, остается ключевым вопросом без ответа. (Ранее запланированные дебаты по этому вопросу в его парламенте были отложены.) Это крупная экономика ЕС, и, если говорить о совместимости, простая география делает ее жизненно важной частью западноевропейской цифровой головоломки, поскольку она имеет сухопутные границы (и ссылки в) большое количество других стран.
Мы обратились к французскому правительству с вопросами о том, как оно предлагает сделать свое национальное приложение для отслеживания контактов с коронавирусом совместимым с децентрализованными приложениями, которые разрабатываются в других странах ЕС – но на момент написания этого документа мы не ответили на нашу электронную почту.
На этой неделе в видеоинтервью BFM Business президент Inria Бруно Спортиссе был сообщается выразить надежду, что приложение сможет взаимодействовать к июню – но также сказал в интервью, что если проект окажется неудачным, «мы остановим его».
«Мы работаем над тем, чтобы сделать эти протоколы совместимыми. Так что это не то, что будет сделано через неделю или две », – сказал Sportisse BFM (перевод с французского от TechCrunch Romain Dillet). «Во-первых, каждая страна должна разработать свое собственное приложение. Это то, что каждая страна делает со своим собственным набором задач, которые необходимо решить. Но в то же время мы работаем над этим, и, в частности, в рамках инициативы, координируемой Европейской комиссией, по обеспечению взаимодействия этих протоколов или определения новых ».
Ясно одно: добавление большей сложности еще больше повышает планку взаимодействия. И сроки разработки обязательно жесткие.
Актуальные императивы пандемического кризиса также заставляют говорить о технологическом суверенитете что-то вроде буржуазной снисходительности. Таким образом, амбиции Франции в одиночку определить целый новый протокол для каждой нации в Европе кажутся одновременно глухими и тупыми – возможно, особенно в свете, если Германия быстро развернется в другую сторону.
В крайнем случае, европейские правительства соглашаются объединиться вокруг общего подхода – и принимают быстрый, универсальный API Исправление, доступное на уровне платформы смартфонов, также предложило бы гражданам более ясное сообщение. Что, вероятно, поможет заручиться доверием граждан и принятию национальных приложений, что, в свою очередь, даст приложениям больше шансов на полезность. Общий подход общеевропейского уровня может также обеспечить полезность приложений для отслеживания за счет уменьшения пробелов в данных. Преимущества могут быть большими.
Однако пока что европейский цифровой ответ на кризис с коронавирусами выглядит более запутанным – с постоянными морщинами и вопросами о том, как гладко разные национальные приложения смогут работать вместе, когда страны решат идти своим путем.
