欧洲联络追踪协会在集中化问题上面临叛逃浪潮

由于担心法国和德国等国家可能会选择一种集中式系统来保护个人隐私，欧洲研究人员对欧盟（EU）的联系追踪方向提出了警告。

周末，一群研究人员为帮助为多个欧盟国家开发基础技术的学者，组织和公司小组发起了批评浪潮，该组织被称为欧洲隐私保护邻近跟踪（PEPP-PT）联盟。

著名的研究型大学，如苏黎世联邦理工学院，洛桑瑞士联邦技术学院（EPFL）和鲁汶大学（KU Leuven）等，已组成了去中心化隐私保护邻近跟踪（DP3T）计划，并退出了该财团。缺乏透明度以及对提供分散式联系人跟踪解决方案的承诺。

另请参阅：分散式协议已从EU联系人跟踪网站中删除，恕不另行通知

“我们之所以离开，是因为我们不能成为在决策方式，设计和代码方面不透明的组织的一部分，”瑞士洛桑联邦理工学院终身制助理教授卡梅拉·特隆科索（Carmela Troncoso）在直接消息中告诉CoinDesk，他帮助领导了财团内部有关DP3T提案的谈判。

接触者追踪是卫生当局跟踪病毒传播，识别谁与感染者接触并应予以隔离的过程。各国正在通过手机的位置跟踪，面部识别，限制移动的数字健康通行证和蓝牙接近度跟踪来执行此过程。

谷歌和苹果已经宣布了一项计划，以更新其移动操作系统以支持蓝牙追踪。该项目因隐私原因而受到批评，因为该项目遗漏了许多类型不正确的智能手机，并且由于缺乏广泛的测试而无法工作。缺乏测试会阻碍任何联系追踪方法，因为鉴于许多COVID-19携带者无症状，很难分辨出谁真正生病了。到那时，联系跟踪就更少了，而纯粹是跟踪。

我们不只是着眼于分散性，因为原则上我们认为拥有此隐私保护应用程序会更好。确实，我们需要能够说服公众。

召开PEPP-PT会议是为了提出尊重隐私的提案，该提案将与新制定的《通用数据保护条例》（GDPR）保持一致，该条例确保了对欧盟公民的隐私和数据保护比目前在美国实施的更大。

PEPP-PT于周四从其网站上删除了关于去中心化协议提案DP3T的任何提及后，引起了DP3T团队的困惑和沮丧，而此前他们并未被告知。

PEPP-PT在回应评论请求时说，这对他们而言是不好的交流，他们对任何违法行为深表遗憾。

在周五晚上发给PEPP-PT负责人之一的汉斯·克里斯蒂安·布斯（Hans-Christian Boos）的电子邮件中，肯尼思·帕特森（Kenneth Paterson）是苏黎世联邦理工学院计算机科学系应用密码学小组的教授，他正在研究DP3T。立即从PEPP-PT网站以及与PEPP-PT相关的所有其他材料中删除所有提及ETH Zurich和ETH Zurich标志的内容。”

另请参阅：要使联系追踪有效，美国人将不得不信任Google和Apple

帕特森在同一封电子邮件中说，苏黎世联邦理工学院的目标似乎与DP3T计划更加一致。

“今天发生的一系列事件使我对PEPP-PT的信心严重动摇。 PEPP-PT承诺今天发布文件。他们发行了一个单曲，持续了五分钟。这已经超出了一个玩笑，变成了闹剧，”帕特森写道。

帕特森（Paterson）引用的是简短的PDF，该PDF已短暂上传到PEPP-PT的GitHub，然后不久便被删除。

审阅PDF的多位密码学家表示，他们无法对隐私或安全保护发表评论，因为该文档含糊不清，有人将其比作在截止日期前不久写的大学新生论文的初稿。

第二天，PEPP-PT发布了完整的文档和协议的更详细版本。

“国家及其应用程序开发人员应该能够选择最适合其大流行病管理需求的选项。 PEPP-PT提供或正在讨论的所有模型都在执行隐私。”当CoinDesk询问是否已决定采用分散方法的替代方案时，PEPP-PT公共关系官员说。

分散的方法意味着政府机构即使愿意也不能滥用这种信任。

这位官员说，PEPP-PT系统具有许多组成部分，并且国家/地区将拥有分散和集中的数据传输模型，供其应用程序开发人员选择。

批评者长期以来一直说，即使许多国家表示计划在PEPP-PT协议上构建应用程序，也可能会滥用集中式方法。

据TechCrunch称，PEPP-PT的Boos在周五的一次电话采访中对记者说：“现在我们有很多政府在互动。” “一些政府公开宣布其本地应用程序将建立在PEPP-PT原则以及该计划中提供的各种协议的基础上。

在蓝牙联系人跟踪中，彼此靠近的设备共享假名ID。集中式和分散式方法之间的区别在于数据的存储位置–是在政府或州卫生组织的受信任服务器上，还是在个人设备上本地，服务器仅在需要时中继信息。

在集中式方案中，希望用户相信任何州或安全机构都不会滥用服务器上存储的信息。对于隐私权倡导者来说，像GDPR这样的法律还不足以建立一个敏感的国家体系。他们希望通过设计获得隐私。分散的方法意味着政府机构即使愿意也不会滥用这种信任，因为那里没有集中的数据存储库。

另请参阅：欧洲辩论尊重隐私的COVID-19联系人追踪

一位应用密码学咨询公司的密码学家Nadim Koebissi说：“服务器在设置阶段生成假名，并通过传输层安全性将其发送给客户端，并将其永久存储在服务器上与用户信息链接的关系数据库中。”审查了PEPP-PT的协议文档后，公司Symbolic Software。

“这怎么可能保持隐私？我的意思是，如果您是这样开始的，为什么还要为此而制定一套措施呢？为什么要从这么大的障碍开始呢？”

法国国家数字科学研究所INRIA和PEPP-PT的创始成员INRIA正在研究一种集中化方法，该方法于周末在GitHub上发布。它认为，集中式辩论与分散式辩论是“误导性的”，而“完全分散式”的方法对于接近性追踪是不现实的。”

主张采用集中式方法的人说，可以在这种模型下保护隐私，并且可以更好地分析数据并建立更好的流行病学模型。

但是今天早上，来自25个国家/地区的300多名学者发表了一份联合声明，建议在接触者追踪应用程序中采用分散式方法。

瑞士洛桑联邦理工学院计算机与通信科学学院院长詹姆斯·劳斯（James Larus）协助撰写了这份声明，他说，该声明明确提及了PEPP-PT提案，以及INRIA（ROBERT）发布的细微变化，“两者都是集中式建议，需要对集中式服务器高度信任，并且有明显的“任务蔓延”潜力，可以将系统重新用于监视。

此类系统可能“严重破坏整个社会对此类应用程序的信任和接受”，从而损害任何COVID-19应用程序的有效性，这取决于有多少人使用它。

Larus说：“人们必须相信他们不会失去自己的隐私。” “自愿使用这些应用程序。我们不仅仅关注分散性，因为原则上我们认为拥有此隐私保护应用程序会更好。实际上，我们需要能够说服公众。”

—-

原文链接：https://www.coindesk.com/european-contact-tracing-consortium-faces-wave-of-defections-over-centralization-concerns

原文作者：Benjamin Powers

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。