上周五,谷歌和苹果联合参加了一个雄心勃勃的紧急项目,制定了一项新协议以跟踪正在进行的冠状病毒爆发。这是一个紧急,复杂的项目,对隐私和公共健康具有重大影响。在新加坡和其他国家,类似的项目也取得了成功,但是,即使世界上最大的科技公司都伸出援手,美国公共卫生机构是否能够管理这样的项目还有待观察。
我们在这里介绍了该项目的基本轮廓,但是还有很多要挖掘的东西-从两家公司发布的技术文档开始。他们揭示了很多有关苹果和谷歌实际上在试图处理这些敏感数据以及该项目未能实现的地方。因此,我们深入研究了这些文件,并尝试从绝对的起点开始回答最紧迫的十二个问题:
这是做什么的?
当某人患上诸如今年的冠状病毒之类的新疾病时,公共卫生工作者试图通过追踪并隔离所有与感染者接触过的人来控制传播。这称为联系跟踪,它是控制爆发的关键工具。
本质上,苹果和谷歌已经建立了一个自动的联系人跟踪系统。它不同于常规的接触跟踪,并且在与常规方法结合使用时可能最有用。最重要的是,它可以比传统的接触者追踪大得多的规模进行操作,鉴于大多数国家的暴发已经扩散到多大程度,这是必要的。由于它来自苹果和谷歌,因此某些功能最终还将在操作系统级别内置到Android和iPhone中。这使得该技术解决方案有可能在全球超过30亿部手机中使用-否则这是不可能的。
请务必注意,Apple和Google共同努力的是框架而不是应用程序。他们正在处理管道并保证系统的隐私和安全,但是将使用它的实际应用程序的建设留给了其他人。
它是如何工作的?
从根本上讲,该系统可以让您的电话记录附近的其他电话。只要此系统正在运行,您的电话就会定期爆破从该电话的唯一ID派生的一小段唯一的匿名代码。范围内的其他电话会接收到该密码并记住该密码,并建立一个他们收到的密码以及接收时间的日志。
新的冠状病毒正在美国传播,一些州已经发表了紧急声明。世界卫生组织(WHO)宣布这是一场大流行。以下是基本知识:
您需要了解的有关冠状病毒的所有信息
当使用该系统的人收到肯定的诊断时,他们可以选择将其ID码提交到中央数据库。当您的电话再次查询该数据库时,它将运行本地扫描以查看其日志中的任何代码是否与数据库中的ID相匹配。如果有匹配项,您的手机会收到一条警报,提示您已被暴露。
那是简单的版本,但是您已经知道这种系统可能有用。从本质上讲,它使您可以记录联系点(即联系跟踪者需要的确切信息),而无需收集任何精确的位置数据并且仅在中央数据库中维护最少的信息。
您如何提出自己被感染的信息?
关于这一点,已发布的文档不那么详细。它假定在规范,只有合法的医疗保健提供商将能够提交诊断,以确保只有证实诊断生成警报。(我们不希望巨魔和下颌软骨充斥整个系统。)尚不完全清楚这将如何发生,但这似乎是一个可解决的问题,无论是通过应用程序管理还是在集中注册感染之前通过某种其他身份验证进行管理。
电话如何发出这些信号?
简短的答案是:蓝牙。尽管该系统是蓝牙低功耗(BLE)版本的规格,但该系统正在使用与无线耳塞相同的天线,这意味着它不会显着消耗电池电量。这个特定的系统使用了BLE Beacon系统的一个版本,该版本已经使用了多年,经过修改可以用作电话之间的双向代码交换。
信号到达多远?
我们还真的不知道。从理论上讲,BLE可以注册距离最远100米的连接,但是它在很大程度上取决于特定的硬件设置,并且很容易被墙壁挡住。BLE的许多最常见用法(例如将AirPods外壳与iPhone配对)的有效范围接近六英寸。该项目的工程师很乐观,他们可以通过“阈值”在软件级别上调整范围(本质上是丢弃较低强度的信号),但是由于还没有实际的软件,因此大多数相关决定尚未制定。
同时,我们不确定这种警报的最佳范围。社会疏散规则通常建议在公共场所与他人保持六英尺远,但是随着我们对新型冠状病毒的传播方式了解得更多,这很容易改变。官员们也会警惕发出太多警报,以至于该应用程序变得无用,这可能会使理想范围变得更小。
这是一个应用程序吗?
有点。在项目的第一部分(计划于5月中旬完成),该系统将内置于官方公共卫生应用程序中,该应用程序将在后台发送BLE信号。这些应用将由州级卫生机构而非科技公司构建,这意味着这些机构将负责有关如何通知用户以及如果有人暴露时如何推荐的许多重要决定。
最终,该团队希望将该功能直接构建到iOS和Android操作系统中,类似于本机仪表板或“设置”菜单中的切换按钮。但这将花费数月,并且如果他们需要提交信息或收到警报,它将仍然提示用户下载官方的公共卫生应用程序。
这真的安全吗?
通常,答案似乎是肯定的。根据周五发布的文档 ,仅基于蓝牙代码很难恢复任何敏感信息,这意味着您可以在后台运行该应用程序,而不必担心会编译可能导致犯罪的内容。系统本身不会识别您的身份,也不会记录您的位置。当然,如果要将诊断上载到卫生官员,使用该系统的卫生应用最终将需要知道您是谁。
黑客可以使用此系统列出所有罹患该病的人吗?
这将非常困难,但并非不可能。中央数据库存储受感染者感染时发出的所有代码(这是您的手机要检查的内容),并且一个坏演员可以获取这些代码是完全合理的。工程师们做了出色的工作,确保您不能直接从这些代码到一个人的身份进行工作,但是可以设想某些保护措施失效的情况。
为了解释原因,我们必须更多地掌握技术。密码规范为该系统列出了三个级别的密钥:一个永远不会离开您设备的私有主密钥,从该私有密钥生成的每日跟踪密钥,以及随后由该日常密钥生成的“邻近ID”字符串。这些步骤中的每一个都是通过加密功能强大的单向功能执行的-因此您可以从每日密钥生成接近密钥,但不能从相反的方向生成。更重要的是,您可以查看哪些接近键来自特定的每日密钥,但前提是您要从手中的每日密钥开始。
手机上的日志是一个邻近ID(最低级别的密钥)的列表,因此靠它们本身并不太好。如果您的测试结果呈阳性,您将分享更多信息,并发布具有感染力的每一天的每日密钥。由于这些每日密钥现已公开,因此您的设备可以进行数学运算,并告诉您日志中是否有任何邻近ID来自该每日密钥;如果他们这样做,它将生成警报。
正如密码学家Matt Tait所指出的那样,这对于那些对该系统进行正面测试的人来说,将导致有意义的隐私减少。一旦这些每日密钥公开,您就可以找出哪些近程ID与给定ID相关联。(请记住,这就是应用程序应具有的功能以便确定暴露程度。)虽然特定的应用程序可能会限制它们共享的信息,而且我敢肯定,每个人都将尽力而为,但是您现在不在加密的严格保护范围之内。可以想象有一个恶意应用程序或蓝牙嗅探网络,该网络会预先收集邻近性ID,将其与特定身份相关联,然后将其与从中央列表中删除的每日密钥相关联。对于列表中的每个人来说,这样做都是困难的,甚至更加困难。即使这样,您从服务器获得的所有信息还是最后14天的代码价值。(与联系跟踪有关的就是所有这些,因此所有这些都是中央数据库存储。)但这并不是绝对不可能的,这通常是您要在密码学中追求的。
综上所述:如果某人分享通过此系统进行了正面测试,则很难绝对保证其匿名。但是在系统的防御中,这在任何情况下都是很难保证的。在远离社交的情况下,我们都限制了我们的人际交往,因此,如果您得知自己在某一天处于暴露状态,则潜在媒介的清单将已经很短了。加上带有COVID-19诊断的检疫和有时住院治疗,很难完全保持医疗隐私,同时还要警告可能已经暴露的人。在某些方面,这种权衡是联系人跟踪所固有的。科技系统只能缓解这种情况。
另外,我们目前拥有的最佳联系人追踪方法涉及到人类采访您并询问您与谁进行过联系。建立一个完全匿名的联系人跟踪系统基本上是不可能的。
GOOGLE,APPLE或骇客能否利用它找出我去过的地方?
仅在非常特殊的情况下。如果有人正在收集您的近程ID,并且您测试为阳性并决定分享您的诊断,并且他们执行了上述整个rigamarole,则他们可能会使用它将您链接到在附近发现了您的近程ID的特定位置。
但请务必注意,Apple和Google都没有共享可能直接将您放置在地图上的信息。Google有很多此类信息,并且该公司已在汇总级别共享了这些信息,但这不是该系统的一部分。Google和Apple可能知道您已经在哪里,但他们并未将这些信息连接到此数据集。因此,尽管攻击者可能可以使用这些信息,但最终他们仍然比手机上的大多数应用程序了解更少。
有人可以用这个来弄清楚我一直在和谁联系吗?
这将更加困难。如上所述,您的手机会保留其收到的所有邻近ID的日志,但规范明确指出该日志永远都不会离开您的手机。只要您的特定日志保留在您的特定设备上,它就会受到保护文本和电子邮件的相同设备加密的保护。
即使一个坏演员偷走了您的手机并设法突破了这种安全性,他们所拥有的仅仅是您收到的密码,而且很难弄清这些密钥最初来自谁。没有日常工作的钥匙,他们将没有清晰的方法将一个邻近性ID与另一个接近性ID相关联,因此很难在蓝牙跟踪器的混乱中区分单个演员,更不用说确定谁在与谁会面。至关重要的是,强大的加密技术使得不可能直接导出关联的每日密钥或关联的个人ID号码。
如果我不希望手机执行此操作怎么办?
不要安装该应用程序,并且当夏季更新操作系统时,只需将“联系人跟踪”设置保持为关闭状态即可。苹果和谷歌坚持认为参与是自愿的,除非您采取积极措施来参与联系人跟踪,否则您应该完全不用参与就能使用手机。
这只是变相的监视系统吗?
这是一个棘手的问题。从某种意义上说,联系人跟踪是监视。公共卫生工作充满了医疗监督,这仅仅是因为这是找到病情还不足以求医的感染者的唯一途径。希望是,鉴于大流行已经造成的灾难性破坏,人们将愿意接受这种级别的监视,以作为阻止病毒进一步传播的临时措施。
一个更好的问题是该系统是以公平还是有益的方式进行监视。该系统是自愿的,这很重要,而且它所共享的数据不会超出其需求,这非常重要。尽管如此,我们现在所拥有的只是协议,而政府是否会尝试以更具侵略性或霸道的方式来实施这一想法还有待观察。
随着该协议在特定应用程序中的实现,将对如何使用该协议以及从协议外部收集多少数据做出许多重要的决定。政府将做出这些决定,它们可能会做出糟糕的决定,或者更糟的是,他们可能根本不会做出决定。因此,即使您对Apple和Google在这里的布局感到兴奋,他们也只能丢球-而且政府在接手之后会采取很多措施。
閱讀更多 SEVEN 的文章
