苹果和谷歌将通过蓝牙追踪冠状病毒病例。这会威胁到我的隐私吗？

科技公司苹果和谷歌将开发一种API解决方案，以追踪冠状病毒患者的联系并告知潜在的携带者自我隔离的必要性。它将与来自未命名健康服务的应用程序一起使用。

独立研究员Andrei Tukmanov说，该解决方案将如何工作以及是否威胁用户的隐私。

该开发基于蓝牙技术：电话会记住周围的设备，并且当新患者到达时，会对其进行历史检查。在一个人生病之前，整个联系历史记录仅存储在他的手机上，并且如果接收到COVID-19的阳性测试结果，则将其公开。此时，将发布患者的标识符。每个应用程序都有自己的列表进行检查，并通知用户危险。

谷歌数据

谷歌数据

公司强调应用程序不使用地理位置数据。用户ID为匿名用户，每10分钟生成一个新代码。这旨在使跟踪用户变得更加复杂。

密码学

用户的设备存储一个随机且唯一的256位跟踪密钥。该密钥仅创建一次并附加到设备。该文档没有阐明更改设备所有者的协议。

每天都会生成一个128位的新密钥（每日跟踪密钥）。它是使用HKDF算法计算的，并且取决于跟踪密钥/天数。

知道跟踪密钥后，您就可以计算每天的每日跟踪密钥。 HKDF算法允许您使用随机性消除这种连接，但是，该协议指出，所有密钥都是明确确定的。反向操作是不可能的。要计算密钥，使用SHA256哈希函数。

每隔10分钟，就会使用HMAC算法计算出一个新的128位滚动接近度标识符。它取决于键和从一天开始的时间间隔数。

在感染的情况下，用户在一段时间内将一组他的日常跟踪密钥发送到服务器。服务器汇总来自不同发送者的密钥，并定期向连接到API的用户发送通知。同时，服务器不存储有关健康用户的联系人的信息，并且仅在特定时间段内可以访问患病者的钥匙。

启用该解决方案需要在操作系统和特定于应用程序级别的用户许可。

5月，一些医疗服务机构的正式申请将出现。开发人员组织尚未建立。然后，该API将可供其他开发人员使用。

该解决方案可能嵌入公司的生态系统中：两家巨头都在积极开发其健康平台。

中国先例

中国是第一个面对这种流行病的地方，当地的技术公司已经开发了一些病毒控制解决方案。

支付宝支付系统已在杭州和中国许多城市启动了颜色代码系统。用户通过应用程序注册并接收代码：绿色，黄色或红色。将绿色代码显示给控制器，您可以在地铁上行驶。黄色或红色代码的人必须与当局联系。

官方对系统工作方式的评论非常st。 Ant Financial声称这是一个集成到其生态系统中的第三方应用程序。正在以管理资源为代价来推广该系统：地铁尖叫和责骂中的控制器使人们不用电话就可以离开。

政府机构在宣传中使用该应用程序，但未评论所涉及算法的机制。显然，该应用程序使用了“社会评级”-一种评估中国公民的机制。完全有理由相信使用该应用程序的准确性会影响此评级。即，违反自我隔离会导致其降低。

标准的含糊不清主要与AI的使用有关。该系统正在不断地进行重建，没有人知道获得黄色等级的确切原因。

大约有100万人使用红色或黄色代码-不到使用该应用程序的5000万人的2％。

该解决方案计划在整个中国范围内扩展。支付宝的主要竞争对手，拥有超过十亿用户的微信使者，也参加了比赛。

可以假定健康控制可能成为超级应用程序的主要组成部分之一，在亚洲发挥着非常重要的作用。但是，大多数州没有这种级别的技术解决方案，而中国所熟悉的，超出国界的大规模监视可能会引起社会抵抗和政治动荡。

有没有类似的解决方案？它们如何工作？

自爆发以来，已经开发了许多应用程序和协议来对抗病毒。

新加坡政府已经测试了Tracetogether应用程序。政府的技术机构已发布了iOS和Android的Tracetogether Bluetrace协议规范和参考实现。该协议使用由集中服务创建的标识符（存在使用Google Firebase云数据库的实现）。

大型大学参与的独立团体也开发了面向隐私的解决方案。例如，安全路径项目是在麻省理工学院的主持下开发的，它使用GPS和geohash系统来跟踪联系人。

另一个协议TCN也使用蓝牙标识符。该系统具有多个级别的标识符。最初，用户存储主密钥（rvk），每个新的临时密钥都是根据先前的值和主密钥计算出来的。已发布的标识符作为临时密钥及其编号的哈希值进行计算。

如果被感染，用户将发布第一个临时密钥及其编号。此解决方案需要较少的数据来传输警告，但是发布后，用户必须生成新的机密。

该协议用于Co-Epi和Covid监视项目。后者将解决方案与使用安全路径的GPS跟踪结合使用。

洛桑大学（EPFL）和苏黎世联邦理工学院以及其他欧洲大学已经推出了自己的协议DP-3T。

ZCash基金会的一项研究比较了上述两个协议。研究人员的主要区别在于TCN中的最佳完整性检查。这使得可以验证患者提交的报告的准确性。

同时，使用匿名信使FireChat的开发人员与Philip Milne博士（Philip Milne Phd）共同创建的区块链IOT项目Nodl，宣布了Whisper协议。

当前，有60多个针对Covid-19的IT项目。它们大多数是在各种黑客马拉松的框架内创建的。其中最大的是3月20日在德国举行的Wirsvirus，吸引了20,000多名参与者。

所有开发人员都面临类似的问题，其中一些是由Google和Apple的倡议解决的。但是，不幸的是，并非全部。

开发人员面临什么问题？
耗电量

主要问题是通过蓝牙进行连续数据传输期间的电池消耗。
苹果和谷歌有不同的节能方式。

iOS的早期版本不支持从第三方应用程序广播数据。

在操作系统级别上实施跟踪解决方案以及单个API的实现可以极大地促进解决方案的开发并提高其能源效率。

联络人搜寻

大多数协议都涉及在用户设备上进行匹配匹配。但是，如果系统真正得到了广泛认可，那么来自世界各地的疾病警报数量可能需要更多的计算能力。

该协议不使用地理位置数据。客户将必须检查来自世界各地的感染报告。

公司文档中提到服务器上的“数据聚合”。当前，有许多解决方案可用于快速搜索大型列表中的匹配项，其中最著名的是Bloom过滤器。

但是，布隆过滤器可能会导致误报，这需要进行额外的验证，这很可能在服务器端完成。

私隐权

所有系统都强调他们对用户隐私的关注，但是仍然存在许多问题。

后备

苹果和谷歌宣布所有数据将存储在用户的设备上。但是大多数客户都制作了可以由攻击者或政府机构访问的备份。

被动监视

用户标识符会定期更新，但每个人都知道，并且可以使用统计分析来跟踪实际的用户移动。

可验证性

收到报告后，系统被迫信任用户数据。攻击者可以进行DoS攻击，传播有关感染的虚假信息。

由于扫描结果可能是隔离人员的基础，因此此类攻击可能导致敏感后果。

计分

协议未描述用户接收有关治疗和隔离需求的建议的原则。

如果在中国，中央系统决定所有事情，那么在提议的系统中，决定是由用户端的应用程序做出的。我们对Sovid-19的分布仍然知之甚少，因此使用的启发式方法可能不是最佳的。

寻找好的规则需要数据聚合，这引发了有关隐私决策的新问题。

相容性

公司在声明中对应用程序访问功能的原则以及如何共享数据一事无成。

在协议的蓝牙部分的描述中，提到了服务UUID。同时，尚不清楚如何使用它。

由于限制使用NFC，苹果已经与德国监管机构发生问题。

结论

苹果和谷歌推出该协议是对抗这种流行病的重要一步。但是，关于用户隐私和数据的进一步解释仍然存在疑问。

下一步可能应该与其他主要参与者一起参与大流行的数字化。这将有机会至少在当前级别上保护人们的隐私，并首先在预测分析中使用最佳实践以获得新的有用结果。

订阅Forklog YouTube频道！

—-

原文链接：https://forklog.com/apple-i-google-budut-otslezhivat-zabolevshih-koronavirusom-s-pomoshhyu-bluetooth-eto-ugrozhaet-moej-privatnosti/

原文作者：Nick

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。