Панъевропейское отслеживание сближений с сохранением конфиденциальности - Pan-European Privacy-Preserving Proximity Tracing

Панъевропейское отслеживание близости с сохранением конфиденциальности
PEPP-PT Logo.png
РазработанPePP-PT e.V. i.Gr.[1]
Введено1 апреля 2020 г. (2020-04-01)
ПромышленностьЦифровое отслеживание контактов
Совместимое оборудованиеСмартфоны Android и iOS
Физический диапазон~ 10 м (33 футов)[2]

Панъевропейское отслеживание сближений с сохранением конфиденциальности (PEPP-PT / PEPP) является полный стек открытый протокол[3] разработан для облегчения цифровое отслеживание контактов зараженных участников.[4] Протокол был разработан в контексте продолжающейся COVID-19 пандемия. Протокол, как и у конкурирующих Децентрализованное отслеживание с сохранением конфиденциальности (DP-3T) протокол,[5] использует Bluetooth LE для обнаружения и локального журнала клиентов рядом с пользователем. Однако, в отличие от DP-3T, он использует централизованный сервер отчетов для обработки журналов контактов и индивидуального уведомления клиентов о потенциальном контакте с инфицированным пациентом.[6]:раздел. 3.2[7] Утверждалось, что этот подход ставит под угрозу конфиденциальность, но имеет преимущество в виде проверок с привлечением внимания человека и проверки работоспособности.[7] Хотя пользователи не должны регистрироваться под своим настоящим именем,[8]:п. 13 внутренний сервер обрабатывает псевдонимные персональные данные, которые в конечном итоге можно будет повторно идентифицировать.[9] Также было выдвинуто предположение, что различие между централизованными / децентрализованными системами носит в основном технический характер, и PEPP-PT в равной степени может сохранять конфиденциальность. [10]

Техническая спецификация

Протокол можно разделить на две широкие обязанности: обнаружение и ведение журнала локальных устройств и передачу журналов контактов в центральный орган здравоохранения. Эти две области мы будем называть встретить рукопожатие и сообщение об инфекции соответственно. Дополнительно определены аутентификация, уведомление и другие второстепенные обязанности протокола.[11]

Аутентификация

Аутентификация во время регистрации необходима, чтобы злоумышленники не могли создать несколько ложных учетных записей пользователей, используя их для вмешательства в систему. Чтобы сохранить анонимность пользователей, традиционные модели аутентификации с использованием статических идентификаторов, таких как адрес электронной почты или же телефонные номера не мог быть трудоустроен. Скорее, протокол использует комбинацию доказательство работы вызов и CAPTCHA.[8]:п. 11 Предлагаемый алгоритм доказательства работы: зашифровать как определено в RFC7914, популяризируется в различных блокчейн такие системы как Dogecoin[12] и Litecoin.[13] Scrypt был выбран потому, что он связан с памятью, а не с процессором.[14] Как только пользователь регистрируется в приложении, ему выдается уникальный 128-битный псевдослучайный идентификатор (PUID) сервером. Он будет отмечен как неактивный, пока приложение не решит задачу PoW с входными параметрами , фактор стоимости 2 и размер блока 8. После завершения OAuth2 учетные данные выдаются клиенту для проверки подлинности всех будущих запросов.[15]

Встречное рукопожатие

Когда два клиента встречаются друг с другом, они должны обмениваться идентификационными данными и регистрировать их. Чтобы предотвратить отслеживание клиентов с течением времени за счет использования статических идентификаторов, клиенты обмениваются временными идентификаторами, зависящими от времени, выданными центральным сервером. Для генерации этих временных идентификаторов центральный сервер генерирует глобальный секретный ключ. , который используется для расчета всех временных идентификаторов за короткий период времени . Исходя из этого, для каждого пользователя рассчитывается эфемерный идентификатор Bluetooth (EBID) с помощью алгоритма. куда это Алгоритм шифрования AES. Эти EBID используются клиентами в качестве временных идентификаторов при обмене. EBID загружаются заранее датированными партиями, чтобы учесть плохой доступ в Интернет.[15]

Затем клиенты постоянно транслируют свои EBID под идентификатором службы Bluetooth PEPP-PT, а также ищут других клиентов. Если обнаружен другой клиент, они обмениваются и регистрируют EBID вместе с метаданными о встрече, такими как мощность сигнала и временная метка.[15]

Отчет об инфекции

Когда пользователь, находящийся вне диапазона, получает подтверждение о наличии инфекции, пациента просят загрузить свои журналы контактов на центральный сервер отчетов. Если пользователь соглашается, орган здравоохранения выдает ключ, разрешающий загрузку. Затем пользователь передает журнал контактов HTTPS на сервер отчетов для обработки.[15]

После того, как сервер отчетов получил журнал контактов, каждая запись проходит через алгоритм проверки близости, чтобы снизить вероятность ложных срабатываний. Полученный список контактов подтверждается вручную, и им вместе со случайной выборкой других пользователей отправляется сообщение, содержащее случайное число и хэш сообщения. Это сообщение служит для того, чтобы разбудить клиента и заставить его проверить сервер на наличие новых отчетов. Если клиент находится в списке подтвержденных пользователей, сервер подтвердит потенциальное заражение клиента, который, в свою очередь, предупредит пользователя. Если клиент находится в случайной выборке, он получит бессмысленный ответ. Причина, по которой случайная выборка пользователей отправляет сообщение для каждого отчета, заключается в том, что перехватчики не могут определить, кто подвергается риску заражения, прослушивая обмен данными между клиентом и сервером.[15]

Полемика

В Центр информационной безопасности имени Гельмгольца (CISPA) подтвердил в пресс-релизе от 20 апреля 2020 года, что он выходит из консорциума, сославшись на «отсутствие прозрачности и четкого управления», а также озабоченность по поводу защиты данных в связи с проектом PEPP-PT.[16] В École Polytechnique Fédérale de Lausanne, ETH Цюрих, KU Leuven и Институт научного обмена вышла из проекта на той же неделе.[17][18][19] Эта группа также отвечала за развитие конкурирующих Децентрализованное отслеживание с сохранением конфиденциальности протокол.[20]

20 апреля 2020 года было выпущено открытое письмо, подписанное более 300 учеными по вопросам безопасности и конфиденциальности из 26 стран, в котором критиковалось подход PEPP-PT, в котором говорилось, что «решения, позволяющие восстанавливать инвазивную информацию о населении, должны быть отклонены без дальнейшего обсуждения».[17][19][18][21][22][чрезмерное цитирование ]

Смотрите также

Рекомендации

  1. ^ "ДАТЕНШУЦ | Пепп-Пт". Пепп Пт (на немецком). Получено 2020-04-20.
  2. ^ Спонс, Джон Гуннар. «Что нужно знать о диапазоне Bluetooth». blog.nordicsemi.com. Получено 2020-04-12.
  3. ^ «Лицензия PEPP-PT». GitHub. 2020-04-19. Получено 2020-04-22.
  4. ^ «Европейский стандарт отслеживания контактов PEPP-PT COVID-19 может привести к борьбе с Apple и Google». TechCrunch. Получено 2020-04-20.
  5. ^ «Белая книга ДП-3Т» (PDF). GitHub. Получено 2020-04-22.
  6. ^ «Обзор высокого уровня PEPP-PT» (PDF). GitHub. Получено 2020-04-20.
  7. ^ а б Джейсон Бэй, Джоэл Кек, Элвин Тан, Чай Шенг Хау, Лай Юнцюань, Дженис Тан, Тан Ань Куи. «BlueTrace: протокол, сохраняющий конфиденциальность, для отслеживания контактов по инициативе сообщества через границы» (PDF). Государственное технологическое агентство. Получено 2020-04-12.CS1 maint: несколько имен: список авторов (связь)
  8. ^ а б «Архитектура защиты информации PEPP-PT» (PDF). GitHub. Получено 2020-04-20.
  9. ^ «Анализ безопасности и конфиденциальности документа» PEPP-PT: Data Protection and Information Security Architecture'" (PDF). 19 апреля 2020.
  10. ^ «РОБЕРТ-поиск близости / документы». GitHub. Получено 2020-09-06.
  11. ^ pepp-pt / pepp-pt-документация, PEPP-PT, 2020-06-16, получено 2020-06-24
  12. ^ «Калькулятор добычи Dogecoin - Scrypt ⛏️». minerstat. Получено 2020-04-20.
  13. ^ Асоло, Бисола (29 марта 2018 г.). «Объяснение алгоритма Litecoin Scrypt». Микриптопедия. Получено 2020-04-20.
  14. ^ Йогель Алвен1, Бини Чен2, Кшиштоф Петрзак, Леонид Рейзин и Стефано Тессаро (2016). "Scrypt максимально трудоемок для памяти" (PDF). Получено 2020-04-21.CS1 maint: несколько имен: список авторов (связь)
  15. ^ а б c d е "pepp-pt / pepp-pt-documentation / blob / master / 10-data-protection / PEPP-PT-data-protection-information-security-architecture-Germany.pdf" (PDF). GitHub. Получено 2020-06-24.
  16. ^ sebastian.kloeckner (20.04.2020). «Приложение для отслеживания контактов в связи с пандемией SARS-CoV-2». Центр информационной безопасности имени Гельмгольца (CISPA). Получено 2020-04-20.
  17. ^ а б "Das gefährliche Chaos um die Corona-App". www.tagesspiegel.de (на немецком). Получено 2020-04-20.
  18. ^ а б SPIEGEL, DER. "Projekt Pepp-PT: Den Tracing-App-Entwicklern laufen die Partner weg - DER SPIEGEL - Netzwelt". www.spiegel.de (на немецком). Получено 2020-04-20.
  19. ^ а б "ZEIT ONLINE | Lesen Sie zeit.de mit Werbung oder imPUR-Abo. Sie haben die Wahl". www.zeit.de. Получено 2020-04-20.
  20. ^ «Белая книга ДП-3Т» (PDF). GitHub. Получено 2020-04-22.
  21. ^ Zeitung, Süddeutsche. "Corona-App: Streit um Pepp-PT entbrannt". Süddeutsche.de (на немецком). Получено 2020-04-20.
  22. ^ редактор, Alex Hern Technology (2020-04-20). «Цифровое отслеживание контактов не даст результата, если не будет соблюдена конфиденциальность, - предупреждают эксперты». Хранитель. ISSN  0261-3077. Получено 2020-04-20.CS1 maint: дополнительный текст: список авторов (связь)

внешняя ссылка