Cơ quan y tế Thụy Sĩ triển khai ứng dụng theo dõi coronavirus phi tập trung

Cập nhật thông tin mới nhất về Cơ quan y tế Thụy Sĩ triển khai ứng dụng theo dõi coronavirus phi tập trung

decrypt.co

Ngày 22 tháng 4 năm 2020, 08:20, giờ UTC

Thời gian đọc: ~ 5 m


Văn phòng Y tế Công cộng (FOPH) của Thụy Sĩ, đã xác nhận rằng họ đang làm việc với một nhóm các chuyên gia quyền riêng tư nổi tiếng của châu Âu để phát triển một ứng dụng theo dõi liên hệ coronavirus phi tập trung vào ngày 11 tháng 5.

Ứng dụng sẽ sử dụng giao thức Truy tìm vùng lân cận được phân cấp quyền riêng tư (DP-PPT hoặc DP3T), được thiết kế bởi khoảng 25 học giả từ các tổ chức nghiên cứu trên khắp châu Âu, bao gồm Viện Công nghệ Liên bang Thụy Sĩ, ETH Zurich và KU Leuven của Bỉ. Theo whitepaper của dự án, giao thức DP-PPT bật dựa trên Bluetooth virus corona theo dõi liên hệ mà không ảnh hưởng đến quyền riêng tư của người dùng và cũng sẽ ngăn các chính phủ lạm dụng dữ liệu sau khi đại dịch toàn cầu chết đi.

Bảo vệ quyền riêng tư với xử lý trên thiết bị

Không giống như nhiều ứng dụng tập trung mà các nhà chức trách toàn cầu tung ra hàng loạt để giúp chống lại virus coronavirus, DP-PPT không có “đầu mối” tập trung dễ bị tấn công hoặc lạm dụng của hacker. Thay vào đó, dữ liệu liên hệ do giao thức thu thập sẽ được xử lý trên thiết bị của từng người dùng riêng biệt.

Carmela Troncoso, giáo sư tại Viện Công nghệ Liên bang Thụy Sĩ cho biết: “Giao thức của chúng tôi chứng minh thực tế rằng các phương pháp bảo vệ quyền riêng tư để theo dõi vùng lân cận là có thể thực hiện được và các quốc gia hoặc tổ chức không cần phải chấp nhận các phương pháp hỗ trợ rủi ro và lạm dụng”. . “Trong trường hợp luật pháp đòi hỏi sự cần thiết và tương xứng nghiêm ngặt, và sự hỗ trợ của xã hội đằng sau việc theo dõi vùng lân cận, thiết kế phi tập trung này cung cấp một cách chống lạm dụng để thực hiện nó.”

Thư ngỏ: cần có hệ thống theo dõi liên lạc COVID-19 công khai, minh bạch và riêng tư theo thiết kế. Tập trung hóa phải được tránh để hạn chế giám sát và tái định vị. Người ký kết: Hơn 300 nhà khoa học từ 25+ quốc giahttps: //t.co/y803WQ0nV6 pic.twitter.com/h17AQcCrzm

– Carmela Troncoso (@carmelatroncoso) ngày 20 tháng 4 năm 2020

Theo báo cáo chính thức, nếu một người sử dụng ứng dụng được chẩn đoán mắc virus coronavirus, cơ quan y tế sẽ xử phạt việc tải lên mã nhận dạng Bluetooth tạm thời (EphID) từ thiết bị của họ. Dữ liệu này sau đó sẽ được gửi đến các thiết bị khác, sẽ tính toán cục bộ xem chúng có ở gần người bị nhiễm vào một thời điểm nào đó trong quá khứ hay không.

Điều đó có nghĩa là không cần phải tạo một hệ thống ID giả danh tập trung có thể khiến quyền riêng tư của người dùng gặp rủi ro và có khả năng được sử dụng cho các mục đích khác ngoài sức khỏe cộng đồng.

Sự nguy hiểm của việc theo dõi coronavirus tập trung

“Một trong những mối quan tâm chính xung quanh việc tập trung hóa là hệ thống có thể được mở rộng, rằng các quốc gia có thể xây dựng lại biểu đồ xã hội về những người đã-từng-gần-với-ai, và sau đó có thể mở rộng hồ sơ và các điều khoản khác trên cơ sở đó,” lưu ý Michael Veale, bác sĩ tại University College London.

Theo Veale, theo mô hình theo dõi liên hệ tập trung, dữ liệu của người dùng có thể được cơ quan thực thi pháp luật và thông tin tình báo sử dụng cho các mục đích sức khỏe phi công cộng. Hơn nữa, Veale cũng lưu ý rằng việc thu thập dữ liệu tập trung là không thực sự cần thiết, vì “việc bảo vệ dữ liệu bằng thiết kế buộc phải giảm thiểu dữ liệu đến mức cần thiết cho mục đích.”

Phân quyền có phải là giải pháp?

Một dự án tương tự khác gần đây đã bị chỉ trích vì cách tiếp cận của nó để truy tìm coronavirus, thực hiện cả hai phương pháp phi tập trung và tập trung. Được gọi là Truy tìm vùng lân cận bảo vệ quyền riêng tư liên châu Âu (PEPP-PT), nó đang được phát triển bởi một nhóm các nhà khoa học khác do Viện Viễn thông Fraunhofer đứng đầu.

Theo Hans-Christian Boos, một trong những người khởi xướng PEPP-PT, phân quyền không phải là giải pháp “tất cả” về mặt bảo vệ quyền riêng tư. Ông lưu ý rằng thay vì một thực thể có tất cả dữ liệu ở một nơi, các ứng dụng phi tập trung đang gửi thông tin đến tất cả mọi người—Mà giới thiệu một tập hợp các vectơ tấn công tiềm năng hoàn toàn mới cho tin tặc.

“Chúng tôi sẽ đưa ra cả hai giải pháp, tùy thuộc vào việc ai muốn sử dụng cái gì và chúng tôi sẽ làm cho chúng có thể hoạt động được. Nhưng tôi nói với bạn rằng cả hai giải pháp đều có giá trị của chúng. Tôi biết rằng trong cộng đồng tiền điện tử có rất nhiều người muốn phân quyền – và tôi có thể nói với bạn rằng trong cộng đồng y tế, có rất nhiều người ghét phân quyền vì họ sợ rằng có quá nhiều người có thông tin về những người bị nhiễm bệnh, ”Boos nói TechCrunch.

Ông nói thêm rằng nếu người dùng cho rằng ai đó có thể hack một dịch vụ tập trung, thì họ cũng nên chấp nhận thực tế rằng các dịch vụ phi tập trung cũng không dễ bị tấn công và có thể bị khai thác thông qua các cuộc tấn công giả mạo và bộ định tuyến chẳng hạn.

“Tôi nghĩ rằng phải có sự lựa chọn bởi vì nếu chúng ta đang cố gắng xây dựng một tiêu chuẩn quốc tế, chúng ta nên cố gắng và không nên tham gia vào một cuộc chiến tôn giáo,” Boos kết luận.

ETH Zurich hôm qua đã thông báo cho PEPP-PT rằng họ sẽ rút khỏi liên minh PEPP-PT với hiệu lực ngay lập tức. Trọng tâm không ngừng của chúng tôi từ bây giờ là # DP3T.

– kennyog (@kennyog) ngày 18 tháng 4 năm 2020

Cuộc tranh luận giữa hai bên đã trở nên sôi nổi trong những ngày gần đây, với ETH Zürich, KU LeuvenEPFL và viện an ninh mạng của Đức CISPA từ bỏ liên minh PEPP-PT của Boos; Kenny Patterson, Giáo sư Khoa học Máy tính tại ETH Zurich, nhận xét rằng“Trọng tâm không ngừng của chúng tôi kể từ bây giờ là # DP3T.”

Michael Veale, giảng viên UCL và người ủng hộ DP-PPT đã buộc tội PEPP-PT của việc “không xuất bản được không tí nào tài liệu hoặc giao thức, như họ đã hứa […] cho các chính phủ và báo chí, ”trong khi một nhóm MEP đã yêu cầu Boos giải thích tại sao “PEPP-PT cho đến nay vẫn chưa minh bạch về hoạt động của các ứng dụng theo dõi liên hệ mà nó đang phát triển” và tại sao mã của dự án không có nguồn mở để giám sát.

Một nhóm MEP, bao gồm @SophieintVeld @ karmel80, hôm qua đã yêu cầu Hans Christian Boos giải thích cho ai là người mà ông đã lưu hành các giao thức riêng tư, tại sao chúng không được công khai để giám sát, quy chế của tổ chức là gì và nếu ông đã đăng ký nhãn hiệu cho PEPP- Tên PT. pic.twitter.com/uDjR1CawgK

– Michael Veale (@mikarv) ngày 18 tháng 4 năm 2020

Có vẻ như cuộc tranh luận sẽ không sớm được giải quyết.


Viết một bình luận