Приложения, которые предупреждают о тесном контакте с больными COVID-19, могут помочь смягчить правила социального дистанцирования.
10 апреля Apple и Google объявили о системе уведомления о заражении коронавирусом, которая будет встроена в операционные системы их смартфонов, iOS и Android. В системе используется широко распространенная технология беспроводной связи малого радиуса действия Bluetooth.
В мире разрабатываются десятки приложений, которые предупреждают людей, если они контактировали с человеком, у которого положительный результат теста на COVID-19. Многие из них также сообщают о личности подвергшихся воздействию людей в органы здравоохранения, что вызывает озабоченность в отношении конфиденциальности. Несколько других проектов по уведомлению о риске заражения, в том числе PACT, BlueTrace и проект Covid Watch, используют подход к защите конфиденциальности, аналогичный инициативе Apple и Google..
Итак, как будет работать система уведомлений Apple-Google? Как исследователи, изучающие безопасность и конфиденциальность беспроводной связи, мы изучили план компаний и оценили его эффективность и последствия для конфиденциальности.
Недавнее исследование показало, что отслеживание контактов может быть эффективным в сдерживании таких заболеваний, как COVID-19, если в нем участвует большая часть населения. Схемы уведомления о воздействии, такие как система Apple-Google, не являются настоящими системами отслеживания контактов, потому что они не позволяют органам здравоохранения идентифицировать людей, которые контактировали с инфицированными людьми. Но у цифровых систем уведомления о воздействии есть большое преимущество: они могут использоваться миллионами людей и быстро предупреждать тех, кто сам подвергался карантину.
Bluetooth-маячки
Поскольку Bluetooth поддерживается на миллиардах устройств, кажется очевидным выбор технологии для этих систем. Для этого используется протокол Bluetooth Low Energy или сокращенно Bluetooth LE. Этот вариант оптимизирован для энергосберегающей связи между небольшими устройствами, что делает его популярным протоколом для смартфонов и носимых устройств, таких как смарт-часы.
Bluetooth LE обменивается данными двумя основными способами. Два устройства могут обмениваться данными по каналу данных друг с другом, например, умные часы синхронизируются с телефоном. Устройства также могут передавать по рекламному каналу полезную информацию ближайшим устройствам. Например, некоторые устройства регулярно сообщают о своем присутствии для облегчения автоматического подключения.
Чтобы создать приложение для уведомления о контакте с использованием Bluetooth LE, разработчики могут назначить каждому постоянный идентификатор и заставить каждый телефон транслировать его по рекламному каналу. Затем они могли бы создать приложение, которое получает идентификаторы, чтобы каждый телефон мог вести учет близких контактов с другими телефонами. Но это было бы явным нарушением конфиденциальности. Передача любой личной информации через Bluetooth LE - плохая идея, поскольку сообщения могут быть прочитаны кем угодно в радиусе действия.
Анонимные обмены
Чтобы обойти эту проблему, каждый телефон передает длинный случайный номер, который часто меняется. Другие устройства получают эти номера и сохраняют их, если они были отправлены с близкого расстояния. При использовании длинных уникальных случайных номеров личная информация не передается через Bluetooth LE.
Apple и Google следуют этому принципу в своих спецификациях, но добавляют немного криптографии. Во-первых, каждый телефон генерирует уникальный ключ отслеживания, который конфиденциально хранится на телефоне. Каждый день ключ трассировки создает новый ключ ежедневной трассировки. Хотя ключ отслеживания можно использовать для идентификации телефона, ключ ежедневного отслеживания нельзя использовать для определения постоянного ключа отслеживания телефона. Затем каждые 10-20 минут ежедневный ключ отслеживания генерирует новый скользящий идентификатор близости, который выглядит как длинное случайное число. Это то, что транслируется на другие устройства через рекламный канал Bluetooth.
Когда у кого-то положительный результат на COVID-19, он может раскрыть список своих ежедневных ключей отслеживания, обычно за предыдущие 14 дней. Телефоны всех остальных используют раскрытые ключи для воссоздания скользящих идентификаторов близости зараженного человека. Затем телефоны сравнивают идентификаторы с положительным результатом на COVID-19 со своими собственными записями идентификаторов, которые они получили от ближайших телефонов. Совпадение показывает потенциальное воздействие вируса, но не идентифицирует пациента.
Большинство конкурирующих предложений используют аналогичный подход. Принципиальное отличие состоит в том, что обновления операционных систем Apple и Google автоматически достигают гораздо большего количества телефонов, чем одно приложение. Кроме того, предложив межплатформенный стандарт, Apple и Google позволяют существующим приложениям объединяться и использовать общий, совместимый коммуникационный подход, который может работать во многих приложениях.
Нет идеальных планов
Система уведомлений Apple-Google очень безопасна, но она не гарантирует ни точности, ни конфиденциальности. Система может выдать большое количество ложных срабатываний, потому что нахождение зараженного человека в радиусе действия Bluetooth не обязательно означает, что вирус был передан. И даже если приложение записывает только очень сильные сигналы в качестве прокси для близкого контакта, оно не может знать, была ли между телефонами стена, окно или пол.
Как бы маловероятно это ни было, существуют способы, с помощью которых правительства или хакеры могут отслеживать или идентифицировать людей, использующих систему. Устройства Bluetooth LE используют рекламный адрес при трансляции на рекламном канале. Хотя эти адреса могут быть рандомизированы для защиты личности отправителя, в прошлом году мы продемонстрировали, что теоретически возможно отслеживать устройства в течение длительных периодов времени, если рекламное сообщение и рекламный адрес не изменяются синхронно. К чести Apple и Google, они призывают изменять их синхронно.
Но даже если рекламный адрес и скользящий идентификатор коронавирусного приложения меняются синхронно, все равно можно отследить чей-то телефон. Если поблизости нет достаточно большого количества других устройств, которые также синхронно меняют свои рекламные адреса и скользящие идентификаторы - процесс, известный как микширование, - кто-то все равно может отслеживать отдельные устройства. Например, если в комнате есть один телефон, кто-то может отслеживать его, потому что это единственный телефон, который может передавать случайные идентификаторы.
Еще одна потенциальная атака включает регистрацию дополнительной информации вместе со скользящими идентификаторами. Несмотря на то, что протокол не отправляет личную информацию или данные о местоположении, принимающие приложения могут записывать, когда и где они получили ключи от других телефонов. Если бы это было сделано в больших масштабах - например, приложение, которое систематически собирает эту дополнительную информацию, - это можно было бы использовать для идентификации и отслеживания людей. Например, если супермаркет зафиксировал точную дату и время поступления движущихся бесконтактных идентификаторов на своих кассах и объединил эти данные со считыванием кредитной карты, у персонала магазина были бы разумные шансы определить, какие покупатели были инфицированы COVID-19.
А поскольку рекламные маяки Bluetooth LE используют текстовые сообщения, возможна отправка поддельных сообщений. Это может быть использовано для троллинга других путем повторения известных скользящих идентификаторов близости с положительным результатом на COVID-19 многим людям, что приводит к преднамеренным ложным срабатываниям.
Тем не менее, система Apple-Google может стать ключом к предупреждению тысяч людей, подвергшихся воздействию коронавируса, при этом защищая их личность, в отличие от приложений для отслеживания контактов, которые сообщают идентифицирующую информацию центральному правительству или корпоративным базам данных..
Йоханнес Беккер, докторант в области электротехники и вычислительной техники, Бостонский университет, и Дэвид Старобински, профессор электротехники и вычислительной техники, Бостонский университет
Эта статья переиздана из The Conversation под лицензией Creative Commons. Прочтите исходную статью.