如何使用Google和Apple的Contact Tracing App保持数据私密性

在极少数的合作案例中，全球科技行业的两个支柱部门Google和Apple宣布与世界各国政府共同努力，为手机创建COVID-19暴露追踪应用程序。该应用程序将设置为可在Android和iOS手机上使用，它依靠蓝牙技术来警告可能会感染COVID-19的人。

由于其参与的组织（这三个组织的隐私记录都比较差），该应用程序立即引起了隐私拥护者的怀疑。电子前沿基金会是数字隐私的坚定支持者，向开发人员提出了问题，并恳请他们质疑联合联系人跟踪应用程序对网络安全和隐私的影响。

谷歌和苹果通过修改应用程序的跟踪键和加密来改善隐私性，对此做出了回应，但问题仍然存在。

特别是，接触跟踪应用程序的许多好处都被简单的后勤问题所扼杀，例如蓝牙没有设计用于接触跟踪（无法在疾病和距离之间划定界限）；许多人不携带兼容蓝牙的手机；而且大多数人不会自愿下载该应用。

如果我们权衡潜在收益与隐私威胁，那么该应用真的值得吗？可能不是，但标记化版本会更可口。让我们探讨一下原因。

隐私的伪装

Google和Apple跟踪应用程序依赖于滚动ping标识符或RPID，这些ping标识符用于ping其他蓝牙设备。 RPID每隔几分钟更改一次，相信自己被感染的用户可以与公共注册表共享以前的RPID，以验证该用户是否已被感染，并随后向该用户的设备发出任何最近连接的“ ping”警报。

诚然，苹果和谷歌通过将大多数加密密钥分配给用户的设备而不是中央服务器来减少集中化，但是仍然存在一些关键问题。例如，如联邦调查局所详述：

“资源丰富的对手可以通过在公共场所设置静态蓝牙信标，或者说服成千上万的用户安装应用程序，一次从许多不同的地方收集RPID。 […] 但是，一旦用户将其日常诊断密钥上载到公共注册表，跟踪器就可以使用它们将一天之内所有该人的RPID链接在一起。”

因此，黑客可以勾勒出用户生活的每一个动作，从而轻而易举地确定该人是谁。这等效于对一个人的日常活动进行实时监控。 EFF继续阐述该问题并不明确限于蓝牙，而是蓝牙在很大程度上不受保护，并且需要将其攻击面降至最低。

此外，政府和警察可以直接访问用户的接近度跟踪指标，并在需要时提取有关他们的下落和活动的相关信息。这些担忧甚至都没有考虑到公共注册表的安全性或泄露给Apple和Google服务器的数据。

我们可以归结为信任的Google和Apple跟踪系统的固有问题。

相信政府和科技公司不要滥用数据，相信上载到注册表的RPID不是垃圾邮件（它们无法对个人的真实上载进行身份验证），并相信第三方开发人员不会使用该系统用于监视目的。

整个系统基于信任，去中心化加密货币代币有什么用？快速验证（例如，可审核性）和信任最小化。

令牌化的优点

首先，令人难以置信的是，苹果和谷歌可能已经转向开源加密技术，以及随之而来的一类愿意以隐私为导向的初创企业和激进主义者。人们会感觉舒适得多。但是他们没有-毫不奇怪。

两家公司使用的许多术语也含糊不清。还担心这些公司将直接控制应用程序的各个方面，例如即使在危机结束后也将关闭通知和接近跟踪。

这些权力应该完全从这些集中的，以利润为导向的公司实体手中消除。一种理想的方法是对受感染的邻近RPID进行令牌化和加密验证。

例如，使用定制的参数进行接近度跟踪可以烘焙到每个令牌中。令牌不在任何一个实体的开发主持下，令牌用户可以在令牌实用程序完成后将其烧掉。在保持应用程序正常运行的公司的控制下，没有伞下的开关-它是完全分散的，并保留未经许可的访问权限。

每个特定的用户都将分配一个令牌，其中RPID仅在该用户的设备上加密和管理。如果用户认为自己是COVID-19阳性，则可以向公共注册表发送证明。因此，经认可的诊所或医院可以为这些用户签发表示肯定诊断的证书。由于不需要提交任何公共可识别数据，因此政府服务的繁琐过程被更快的技术所取代。

从那里，可以在令牌中烘焙个人的实际位置数据，同时可以发布用于验证感染状态的相关详细信息（例如，未标识的COVID-19交换）。 TokenScript充当需要数据的服务与永不离开手机的实际数据之间的通信点。这切断了政府和基础第三方开发人员使用位置数据进行不道德手段的倾向。

无需与位置数据配对即可确认诊断的相关详细信息，可以发送给世界卫生组织等第三方组织，而不必担心它们会滥用隐私。实际上，这可以通过患者访问WHO网站来完成，该网站将要求进行多方计算或对相关数据进行零知识证明。 TokenScript中的安全区域可确保网站不学习原始数据，而仅学习计算结果。整个医疗行业应依靠身份不明的患者数据来防范制药公司的道德违规行为。我们提出的这种解决方案还使患者数据匿名化，而该数据仅在用户手机上本地化，而无需假定组织是诚实和安全的。但是，这将具有抗检查性，并且速度更快-如此之快，以使网站可以立即更新其统计信息和报告，因为用户使用其令牌来参与网站上新报告的计算。

例如，一个叫Michael的人希望知道他是否曾经与COVID-19阳性的人越过路。他可以启动一轮多方计算，以识别该应用程序的其他用户，这些用户被确定为肯定用户。被识别为COVID-19阳性的那些人的移动设备可以参加MPC，从而帮助Michael了解他是否已与他们联系，而不会让敏感信息暴露给该人，例如何时何地可能发生传输。两组（正常用户和确定的积极案例）的规模越大，隐私级别越高。随着密码学未来的一些进步，我们甚至可以期待有一天可以做到这一点，而无需患者的手机在线参与计算，而只需将混淆的数据提交给公共注册表即可。

来自基于邻近的应用程序的许多问题都是面向隐私的。尽管当今的代币在没有特别繁琐的情况下无法提供完美的隐私，但仍有改进的空间。像这样的大型监视应用程序尚无先例，有关它的某些特征的模糊描述令人担忧。苹果和谷歌大概意识到了他们将遭受的强烈反对，已经努力分发了许多数据，但是安全性和隐私泄露大量—主要是通过公共注册中心和个人之间的身份验证转移。

身份验证证书的令牌化版本，RPID交叉引用以及在多个系统之间的使用将是在不牺牲隐私或控制第三方数据的情况下进行大规模验证的更好选择。由于数据是本地计算的，因此咨询Google或Apple几乎无济于事。它可能不是万能药，但探索在疾病追踪的情况下标记化的工作方式应该成为研究和开发的重要领域，以免我们因政府的异想而为安全而放弃隐私。

或者，也许考虑到蓝牙的局限性和不确定性，完全避免联合政府和大型技术计划共同发布的监视应用程序要简单得多。

此处表达的观点，想法和观点仅代表作者个人，不一定反映或代表Cointelegraph的观点和观点。

张维德是AlphaWallet的首席执行官和联合创始人。在过去的五年中，他致力于改变银行业和区块链技术相交的方式。在涉足区块链技术之前，Zhang在亚洲和澳大利亚的国际业务工作了17年。

—-

原文链接：https://cointelegraph.com/news/how-to-keep-data-private-with-google-and-apples-contact-tracing-app

原文作者：Cointelegraph By Victor Zhang

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。