上週五,谷歌和蘋果聯合參加了一個雄心勃勃的緊急項目,制定了一項新協議以跟蹤正在進行的冠狀病毒爆發。這是一個緊急,複雜的項目,對隱私和公共健康具有重大影響。在新加坡和其他國家,類似的項目也取得了成功,但是,即使世界上最大的科技公司都伸出援手,美國公共衛生機構是否能夠管理這樣的項目還有待觀察。
我們在這裡介紹了該項目的基本輪廓,但是還有很多要挖掘的東西-從兩家公司發佈的技術文檔開始。他們揭示了很多有關蘋果和谷歌實際上在試圖處理這些敏感數據以及該項目未能實現的地方。因此,我們深入研究了這些文件,並嘗試從絕對的起點開始回答最緊迫的十二個問題:
這是做什麼的?
當某人患上諸如今年的冠狀病毒之類的新疾病時,公共衛生工作者試圖通過追蹤並隔離所有與感染者接觸過的人來控制傳播。這稱為聯繫跟蹤,它是控制爆發的關鍵工具。
本質上,蘋果和谷歌已經建立了一個自動的聯繫人跟蹤系統。它不同於常規的接觸跟蹤,並且在與常規方法結合使用時可能最有用。最重要的是,它可以比傳統的接觸者追蹤大得多的規模進行操作,鑑於大多數國家的暴發已經擴散到多大程度,這是必要的。由於它來自蘋果和谷歌,因此某些功能最終還將在操作系統級別內置到Android和iPhone中。這使得該技術解決方案有可能在全球超過30億部手機中使用-否則這是不可能的。
請務必注意,Apple和Google共同努力的是框架而不是應用程序。他們正在處理管道並保證系統的隱私和安全,但是將使用它的實際應用程序的建設留給了其他人。
它是如何工作的?
從根本上講,該系統可以讓您的電話記錄附近的其他電話。只要此係統正在運行,您的電話就會定期爆破從該電話的唯一ID派生的一小段唯一的匿名代碼。範圍內的其他電話會接收到該密碼並記住該密碼,並建立一個他們收到的密碼以及接收時間的日誌。
新的冠狀病毒正在美國傳播,一些州已經發表了緊急聲明。世界衛生組織(WHO)宣佈這是一場大流行。以下是基本知識:
您需要了解的有關冠狀病毒的所有信息
當使用該系統的人收到肯定的診斷時,他們可以選擇將其ID碼提交到中央數據庫。當您的電話再次查詢該數據庫時,它將運行本地掃描以查看其日誌中的任何代碼是否與數據庫中的ID相匹配。如果有匹配項,您的手機會收到一條警報,提示您已被暴露。
那是簡單的版本,但是您已經知道這種系統可能有用。從本質上講,它使您可以記錄聯繫點(即聯繫跟蹤者需要的確切信息),而無需收集任何精確的位置數據並且僅在中央數據庫中維護最少的信息。
您如何提出自己被感染的信息?
關於這一點,已發佈的文檔不那麼詳細。它假定在規範,只有合法的醫療保健提供商將能夠提交診斷,以確保只有證實診斷生成警報。(我們不希望巨魔和下頜軟骨充斥整個系統。)尚不完全清楚這將如何發生,但這似乎是一個可解決的問題,無論是通過應用程序管理還是在集中註冊感染之前通過某種其他身份驗證進行管理。
電話如何發出這些信號?
簡短的答案是:藍牙。儘管該系統是藍牙低功耗(BLE)版本的規格,但該系統正在使用與無線耳塞相同的天線,這意味著它不會顯著消耗電池電量。這個特定的系統使用了BLE Beacon系統的一個版本,該版本已經使用了多年,經過修改可以用作電話之間的雙向代碼交換。
信號到達多遠?
我們還真的不知道。從理論上講,BLE可以註冊距離最遠100米的連接,但是它在很大程度上取決於特定的硬件設置,並且很容易被牆壁擋住。BLE的許多最常見用法(例如將AirPods外殼與iPhone配對)的有效範圍接近六英寸。該項目的工程師很樂觀,他們可以通過“閾值”在軟件級別上調整範圍(本質上是丟棄較低強度的信號),但是由於還沒有實際的軟件,因此大多數相關決定尚未制定。
同時,我們不確定這種警報的最佳範圍。社會疏散規則通常建議在公共場所與他人保持六英尺遠,但是隨著我們對新型冠狀病毒的傳播方式瞭解得更多,這很容易改變。官員們也會警惕發出太多警報,以至於該應用程序變得無用,這可能會使理想範圍變得更小。
這是一個應用程序嗎?
有點。在項目的第一部分(計劃於5月中旬完成),該系統將內置於官方公共衛生應用程序中,該應用程序將在後臺發送BLE信號。這些應用將由州級衛生機構而非科技公司構建,這意味著這些機構將負責有關如何通知用戶以及如果有人暴露時如何推薦的許多重要決定。
最終,該團隊希望將該功能直接構建到iOS和Android操作系統中,類似於本機儀表板或“設置”菜單中的切換按鈕。但這將花費數月,並且如果他們需要提交信息或收到警報,它將仍然提示用戶下載官方的公共衛生應用程序。
這真的安全嗎?
通常,答案似乎是肯定的。根據週五發佈的文檔 ,僅基於藍牙代碼很難恢復任何敏感信息,這意味著您可以在後臺運行該應用程序,而不必擔心會編譯可能導致犯罪的內容。系統本身不會識別您的身份,也不會記錄您的位置。當然,如果要將診斷上載到衛生官員,使用該系統的衛生應用最終將需要知道您是誰。
黑客可以使用此係統列出所有罹患該病的人嗎?
這將非常困難,但並非不可能。中央數據庫存儲受感染者感染時發出的所有代碼(這是您的手機要檢查的內容),並且一個壞演員可以獲取這些代碼是完全合理的。工程師們做了出色的工作,確保您不能直接從這些代碼到一個人的身份進行工作,但是可以設想某些保護措施失效的情況。
為了解釋原因,我們必須更多地掌握技術。密碼規範為該系統列出了三個級別的密鑰:一個永遠不會離開您設備的私有主密鑰,從該私有密鑰生成的每日跟蹤密鑰,以及隨後由該日常密鑰生成的“鄰近ID”字符串。這些步驟中的每一個都是通過加密功能強大的單向功能執行的-因此您可以從每日密鑰生成接近密鑰,但不能從相反的方向生成。更重要的是,您可以查看哪些接近鍵來自特定的每日密鑰,但前提是您要從手中的每日密鑰開始。
手機上的日誌是一個鄰近ID(最低級別的密鑰)的列表,因此靠它們本身並不太好。如果您的測試結果呈陽性,您將分享更多信息,併發布具有感染力的每一天的每日密鑰。由於這些每日密鑰現已公開,因此您的設備可以進行數學運算,並告訴您日誌中是否有任何鄰近ID來自該每日密鑰;如果他們這樣做,它將生成警報。
正如密碼學家Matt Tait所指出的那樣,這對於那些對該系統進行正面測試的人來說,將導致有意義的隱私減少。一旦這些每日密鑰公開,您就可以找出哪些近程ID與給定ID相關聯。(請記住,這就是應用程序應具有的功能以便確定暴露程度。)雖然特定的應用程序可能會限制它們共享的信息,而且我敢肯定,每個人都將盡力而為,但是您現在不在加密的嚴格保護範圍之內。可以想象有一個惡意應用程序或藍牙嗅探網絡,該網絡會預先收集鄰近性ID,將其與特定身份相關聯,然後將其與從中央列表中刪除的每日密鑰相關聯。對於列表中的每個人來說,這樣做都是困難的,甚至更加困難。即使這樣,您從服務器獲得的所有信息還是最後14天的代碼價值。(與聯繫跟蹤有關的就是所有這些,因此所有這些都是中央數據庫存儲。)但這並不是絕對不可能的,這通常是您要在密碼學中追求的。
綜上所述:如果某人分享通過此係統進行了正面測試,則很難絕對保證其匿名。但是在系統的防禦中,這在任何情況下都是很難保證的。在遠離社交的情況下,我們都限制了我們的人際交往,因此,如果您得知自己在某一天處於暴露狀態,則潛在媒介的清單將已經很短了。加上帶有COVID-19診斷的檢疫和有時住院治療,很難完全保持醫療隱私,同時還要警告可能已經暴露的人。在某些方面,這種權衡是聯繫人跟蹤所固有的。科技系統只能緩解這種情況。
另外,我們目前擁有的最佳聯繫人追蹤方法涉及到人類採訪您並詢問您與誰進行過聯繫。建立一個完全匿名的聯繫人跟蹤系統基本上是不可能的。
GOOGLE,APPLE或駭客能否利用它找出我去過的地方?
僅在非常特殊的情況下。如果有人正在收集您的近程ID,並且您測試為陽性並決定分享您的診斷,並且他們執行了上述整個rigamarole,則他們可能會使用它將您鏈接到在附近發現了您的近程ID的特定位置。
但請務必注意,Apple和Google都沒有共享可能直接將您放置在地圖上的信息。Google有很多此類信息,並且該公司已在彙總級別共享了這些信息,但這不是該系統的一部分。Google和Apple可能知道您已經在哪裡,但他們並未將這些信息連接到此數據集。因此,儘管攻擊者可能可以使用這些信息,但最終他們仍然比手機上的大多數應用程序瞭解更少。
有人可以用這個來弄清楚我一直在和誰聯繫嗎?
這將更加困難。如上所述,您的手機會保留其收到的所有鄰近ID的日誌,但規範明確指出該日誌永遠都不會離開您的手機。只要您的特定日誌保留在您的特定設備上,它就會受到保護文本和電子郵件的相同設備加密的保護。
即使一個壞演員偷走了您的手機並設法突破了這種安全性,他們所擁有的僅僅是您收到的密碼,而且很難弄清這些密鑰最初來自誰。沒有日常工作的鑰匙,他們將沒有清晰的方法將一個鄰近性ID與另一個接近性ID相關聯,因此很難在藍牙跟蹤器的混亂中區分單個演員,更不用說確定誰在與誰會面。至關重要的是,強大的加密技術使得不可能直接導出關聯的每日密鑰或關聯的個人ID號碼。
如果我不希望手機執行此操作怎麼辦?
不要安裝該應用程序,並且當夏季更新操作系統時,只需將“聯繫人跟蹤”設置保持為關閉狀態即可。蘋果和谷歌堅持認為參與是自願的,除非您採取積極措施來參與聯繫人跟蹤,否則您應該完全不用參與就能使用手機。
這只是變相的監視系統嗎?
這是一個棘手的問題。從某種意義上說,聯繫人跟蹤是監視。公共衛生工作充滿了醫療監督,這僅僅是因為這是找到病情還不足以求醫的感染者的唯一途徑。希望是,鑑於大流行已經造成的災難性破壞,人們將願意接受這種級別的監視,以作為阻止病毒進一步傳播的臨時措施。
一個更好的問題是該系統是以公平還是有益的方式進行監視。該系統是自願的,這很重要,而且它所共享的數據不會超出其需求,這非常重要。儘管如此,我們現在所擁有的只是協議,而政府是否會嘗試以更具侵略性或霸道的方式來實施這一想法還有待觀察。
隨著該協議在特定應用程序中的實現,將對如何使用該協議以及從協議外部收集多少數據做出許多重要的決定。政府將做出這些決定,它們可能會做出糟糕的決定,或者更糟的是,他們可能根本不會做出決定。因此,即使您對Apple和Google在這裡的佈局感到興奮,他們也只能丟球-而且政府在接手之後會採取很多措施。
閱讀更多 SEVEN 的文章
