上tracetogether的隐私,新加坡covid-19接触追踪移动应用,和建议澳大利亚

博士 哈桑·阿斯加尔 (麦考瑞大学),博士 法哈德farokhi (现金网app下载),教授 大理kaafar (麦考瑞大学)副教授 本·鲁宾斯坦 (现金网app下载)*

澳大利亚政府正在探索跟踪移动应用作为公共卫生官员和社区的工具打covid-19流行病的蔓延采用接触。

3月下旬,今年,澳大利亚总理,斯科特·莫里森建议联邦政府正在调查追踪所看到像新加坡等国家covid-19的数字方法。在本月早些时候,作为迄今已设法使流行得到控制的国家之一,新加坡宣布移动应用程序发布的“tracetogether。”应用程序跟踪那些确诊为冠状病毒和更广泛的社区之间的相互作用。澳大利亚目前 快速跟踪审查过程tracetogether被采纳和部署 全国各地。

Parliament House in Canberra viewed from the front with blue sky behind it
澳大利亚政府正在调查追踪covid-19的数字方法

然而,我们不能忽视隐私问题和tracetogether的影响或可能在澳大利亚推出了类似的应用程序。而许多法律方面的考虑可能会在执法部门在危机期间酌情放宽,如当前突发公共卫生事件,隐私问题可能不明显阻碍采用这些移动应用。这样的应用程序也可以作为以后covid-19接触者追踪的初衷群众监督的工具。

时间是打击covid-19的传播作斗争的关键。我们采取评估tracetogether的隐私,同时提供如何对其隐私可以在不急剧变化的设计来增强建议的务实的看法。这些建议可以实现为提升现有tracetogether应用程序的开放式源代码。

tracetogether的审查

tracetogether依赖于蓝牙tracetogether用户,包括蓝牙信号强度的时间,(在用户之间距离的代理),和(临时)的用户ID之间的交换信息。这个信息被局部地以加密的形式记录的(在设备上)由该应用。当用户安装该应用程序,他们提交自己的手机号码,以集中机构(卫生服务器在新加坡的情况下,部)。用新生成的用户标识该移动号码一起被存储在服务器上。服务器,使用其私钥,生成临时的ID,其被周期性地刷新,并且将它们发送到相应的用户。这些临时ID在接近时tracetogether用户之间交换。

当tracetogether用户被诊断为covid-19,他们被要求同意对应用程序的加密数据日志上传到服务器。数据日志然后由服务器(具有私钥)解密。通过这些数据记录在日志中临时IDS可以被用来谁在受感染的用户接触接触其他tracetogether用户。因为这些临时ID由服务器生成的,服务器能找到他们,针对其用户ID,手机号码数据库,以确定这些用户的身份。

Chart explaining the features of MIT's 安全通道 app
图片 通过 安全通道 / 立方厘米4.0

其他国家也开发了类似的应用程序用于跟踪covid-19的传播。以色列 释放hamagen(屏蔽) 保留在移动设备和交叉引用这些细节与健康的更新的流行病学数据的以色列部(即时间和感染者的位置),时间和位置信息。麻省理工学院媒体实验室也发布了一个开源的应用程序,称为 安全通道,工作方式类似基于位置的历史。

的隐私功能和失败总结

大家可以想一想,从三个实体隐私威胁:其他tracetogether用户,服务器或中央机关(例如,政府),和窥探者(例如,恶意用户,诈骗者,黑客)。

在tracetogether应用从其他用户提供隐私.

的应用程序产生的临时的用户ID和 刷新它们经常。这些ID是基于人的电话号码和他们的永久ID,使中央机关能够决定是否需要用户的身份服务器产生。的ID的临时的或变化的性质意味着用户不能在长时间内由其他用户进行跟踪。但是,服务器有可能做到这一点。

该应用程序保持用户窥探者安全。

用户的手机上的数据记录进行加密。所以,如果有人黑客进入用户的电话,该数据是不可理解。服务器有密钥来解密数据记录,其中只发送到服务器,用于确定人与人之间的密切联系。

Close up of computer server with LED lights behind metal mesh

应用程序不会从中央机关提供足够的私密性。

服务器,获取用户的数据记录后,可以解密和阅读。该服务器还可以临时ID链接至用户的真实身份。然而,一些隐私保护功能存在:服务器不要求谁没有感染或没有被感染用户的接近用户的数据记录。数据记录仅包含相对距离(经由蓝牙信号强度),而不是确切位置,其中用户进来紧密接触。在手机上(不传输到服务器上的数据)的数据将在21天后删除。

服务器可以知道,即使他们没有感染用户的私人数据。 

一旦用户对covid-19呈阳性,他们需要向服务器提供同意书检索和解密他们的数据记录。这使服务器能够获得已在受感染用户接触tracetogether用户的身份。这些潜在的未感染的用户不再在他们的隐私控制。

应用程序可以潜在地用于监视(误)。

即使数据日志以下用户的同意只发送给中央的权威,也没有检查,以确保从中央机关的要求是真实与否,即该用户是否在被感染用户的接近。因此,一个奇怪的中央机关也​​许能够从产生潜在的质量监控威胁大量用户的获得和解密数据日志。此外,即使在设备上的数据记录在本地的21天之后删除,也不能保证,在权威服务器解密的数据记录也将被删除。

隐私建议

应用程序可以进行调整,从中央机关提供更多的隐私。

临时的用户ID可以在本地由应用程序产生的,而不是服务器。这样一来,任何人,除非用户知道他们的身份,他们有通过分享他们的临时ID列表他们的私人数据被用来提供知情同意给服务器。当用户对covid-19测试呈阳性,该服务器可以找到暂时的IDS已经与感染的用户接触和进行广播。当他们收到一封包含他们的临时标识的消息,用户可以通过识别自己回应。此功能可以如果个人在自识别选择被实现为特定同意请求给个人或作为标识请求的自动响应。

的应用程序需要未来的版本将更加分散。

服务器可以把诊断用户的应用程序和其他用户的临时ID可以在本地确定他们是否已经在与他们接触。如果本地和随机生成的ID,他们不是对可连接的真实身份。这样,服务器不知道谁在受感染用户接近该用户的身份。这提供了对服务器更高的私密性。这不是一个简单的办法,需要在应用程序的设计从根本上改变,这也许是不可能被迅速实施。

匿名数据记录的未来版本必须受到限制。

由服务器收集的数据的一个重要方面是未来的流行病学家和决策者使用。虽然信息似乎无害的,它可以是非常敏感的,并揭示了很多关于用户。所以它不应该被公开,即使匿名共享。这是因为人的很大比例可能共享他们的数据。即使是接触图形,没有位置,时间戳,电话号码或明确的身份,可 链接到其他数据源使用户重新识别.

数字技术将会极大地提高我们的拼合covid-19曲线的能力。隐私是一个有利的技术,可以提高采用关键数字基础设施的速度,如基于移动的接触者追踪。我们鼓励各国政府在国内和国际考虑隐私和数据如何一起管理,跟踪这个显著全球大流行的时候。

*作者感谢凡妮莎 - 蒂格为她作出的宝贵贡献他们对这个话题的讨论。

相关话题

网络安全 ai和数据

计算和信息系统