[Перевод] Об отслеживании социальных контактов и аппаратных жетонах28.07.2020 11:32

2dunn6oluombvwxxanx5wyuxgo4.jpeg

Во время пандемии ко мне обратилась Европейская Комиссия с предложением разработать жетон отслеживания социальных контактов с защитой приватности, о чём вы можете почитать на странице проекта Simmel. А вскоре Сингапур объявил о разработке жетона TraceTogether. В рамках этого события меня пригласили поучаствовать в обзоре их решения. Срочность ситуации с COVID-19 и значительная сложность создания цепочек поставок привели к тому, что мы оказались в ситуации выпущенных шасси самолёта, который коснулся посадочной полосы. Учитывая многочисленные проблемы, связанные с приватностью и технологиями, положение было сложным, его не получится описать в серии твитов. Поэтому опишу свои впечатления в виде коротких эссе. Поскольку мне удалось поработать с TraceTogether всего час, то по большей части буду рассказывать о контексте, в рамках которого дам оценку этому жетону.

Отслеживание социальных контактов


Идея проста: если вы заболели, то нужно определить людей, с которыми вы близко общались, и проверить, не больны ли они. Если сделать это достаточно быстро, то можно сдержать распространение COVID-19 и большая часть общества продолжит нормально функционировать.

Но в реализации есть некоторые тонкости, которые я пытался переварить. Доктор Вивиан Балакришнан (Vivian Balakrishnan), и.о. министра инициативы Smart Nation, кратко уведомил нас на встрече, что разработанная Apple и Google система Exposure Notification не показала «граф». Чтобы самому разобраться в том, насколько для эпидемиологов важно построить граф контактов, я нарисовал несколько диаграмм, иллюстрирующих сценарии отслеживания контактов.

Начнём с самого простого сценария.

7240fc014d0d4fe3f9931fb05d9d2246.png


На диаграмме показаны два человека. В первый день Человек 1 уже инфицирован, но симптомы слабые. В середине дня он контактирует с Человеком 2. После короткого инкубационного периода Человек 2 становится заразным в конце второго дня. В это время у него может не быть симптомов. В будущем он может инфицировать ещё двоих. Пример показывает, что если достаточно рано изолировать Человека 2, то удастся предотвратить два новых заражения.

Теперь рассмотрим более сложный сценарий без отслеживания контактов. Продолжим считать Человека 1 носителем со слабыми симптомами или их отсутствием, но при этом заразным: это так называемый «суперноситель».

1b9cc263540a11e5a80cff8773d7ef26.png


На этом графике показаны временные шкалы восьми людей. Человек 1 полностью ответственен за заражение нескольких человек в течение нескольких дней. Обратите внимание, что инкубационные периоды до того момента, как человек становится заразным, у всех разные. Более того, заразность может не сопровождаться симптомами.

Теперь добавим отслеживание контактов.

abc777b5307c556e05512f4550894f2e.png


Сценарий тот же, но с «платоническим идеалом» отслеживания контактов и изоляцией. У Человека 4 возникают симптомы, он сдаёт анализ и на четвёртый день получает положительный результат. Все контактировавшие с ним изолируются, а десятки его коллег и друзей избегают заражения в будущем. Важно, что анализ графа контактов также позволяет выявить общие контакты Человека 4 и Человека 2, тем самым выявив Человека 1, который является исходным бессимптомным носителем.

Есть небольшое различие между «отслеживанием контактов» и «уведомлением контактов». Система Exposure Notification от Apple и Google только уведомляет о прямых контактах инфицированного человека. О значении этой тонкости намекает тот факт, что изначально это называлось «Протокол отслеживания контактов с сохранением конфиденциальности», но в апреле его переименовали.

Чтобы лучше понять ограничения уведомления о контактах с заражёнными, давайте рассмотрим ещё один сценарий. Он аналогичен предыдущему, только вместо отслеживания всего графа мы будем лишь уведомлять прямые контакты первого человека, у которого появились симптомы — то есть Человека 4.

1aaf0b6dfcc3b93768da50bfa9fa6fb7.png


Если ограничиться уведомлениями, то носители со слабыми симптомами или их отсутствием, как у Человека 1, будут получать вводящие в заблуждение уведомления, что они контактировали с человеком с положительным результатом анализа, хотя на самом деле это Человек 1 заразил вирусом Человека 4. В этом случае Человек 1, — хорошо себя чувствующий, но заразный, — продолжит жить как обычно, не считая своего удивления, что всё его окружение заражается вирусом. Поэтому невозможно избежать некоторых заражений. Более того, Человек 2 является скрытой нодой по отношению к Человеку 4, потому что Человек 2 не входит в список уведомления о прямых контактах Человека 4.

Короче, сама по себе система Exposure Notification не позволяет определять причинно-следственные связи заражений. А полный граф контактов помогает выявить носителя со слабыми симптомами или их отсутствием. Более того, уже известно, что у значительной доли носителей болезнь протекает бессимптомно. Эти люди заразны, но чувствуют себя хорошо и посещают людные станции метро, едят в общественных заведениях. В условиях Сингапура бессимптомные носители могут в течение дней, если не часов, создавать десятки кластеров новых заражённых, в отличие от не столь густонаселённых стран вроде США, где инфицированные могут в течение дня контактировать лишь с несколькими людьми.

Невозможность быстро выявить и изолировать суперносителей со слабыми симптомами подтолкнула к разработке устройства TraceTogether, которое позволяет отслеживать социальные контакты с построением полного графа.

О приватности и отслеживании контактов


Разумеется, полное отслеживание контактов имеет очень серьёзные последствия для приватности. А отсутствие этого отслеживания имеет значительные потенциальные риски для здоровья и жизни. Существует проверенное решение, которое не нарушает приватность: расширенная блокировка наподобие автоматического размыкателя цепи. Конечно, это требует дополнительных расходов.

Из трёх элементов — приватности, здоровья и экономики — мы можем выбрать только два. На эту тему идут активные споры, но это уже за рамками статьи. С точки зрения дискуссии предположим, что отслеживание контактов будет внедрено. В этом случае на таких технических специалистах, как мы, лежит ответственность попытаться прийти к компромиссу между снижением приватности и содействием государственной политике.

В начале апреля к Шону Кроссу и мне через NLnet обратились представители программы NGI Европейской Комиссии и предложили разработать аппаратный жетон для отслеживания социальных контактов с сохранением приватности. Так возник «Simmel». Решение не идеальное, но всё же у Simmel есть важные функции сохранения конфиденциальности:

  1. Сильное изолирование пользовательских данных. Отключив сбор и обобщение с датчиков смартфона, мы избавляемся от риска утечки GPS-данных или иной геолокационной информации. Также это сильно затрудняет атаки против приватности на основе метаданных.
  2. Граждане жёстко всё контролируют. Пользователи физически хранят у себя информацию о своих контактах. Не используются сторонние серверы, пока люди добровольно не передадут свои данные властям, сдав жетоны. То есть теоретически пользователь может физически уничтожить жетон, а с ним и собранные данные.
  3. Граждане могут временно отказаться от участия. Достаточно просто повернуть крышку устройства, и жетон отключается. В данных отслеживания возникает пробел (в первых прототипах этой функции нет).
  4. Случайные данные вещания. Это функция на уровне протокола, которую мы рекомендуем использовать, чтобы защититься от прослушивания протокола для сбора информации о пользовательских перемещениях для коммерческих или иных целей третьих сторон (например, рекламных агентств или враждебных правительств).


Почему аппаратное решение?


Разве у программного решения нет многочисленных преимуществ?

Команда TraceTogether заявила, что Сингапуру нужны аппаратные жетоны для улучшения обслуживания малоимущих граждан и пользователей iPhone. Первые не могут позволить себе купить смартфон, а вторые могут использовать только одобренные Apple протоколы вроде Exposure Notification (которые не позволяет полностью отслеживать контакты).

Решение Simmel демонстрирует, что я поклонник аппаратного жетона, но только с точки зрения приватности. Приложения и смартфоны в целом вредят приватности людей. Если она действительно вас беспокоит, то оставляйте смартфон дома. Ниже приведена поясняющая таблица. Красные кресты обозначают известные вероятные нарушения приватности в определённых сценариях использования устройства.

255905da1b7c34fc30f33e64299c7083.png


Жетон отслеживания (как предлагает Сингапур), поможет властям определить ваше местоположение и личность. Формально, это происходит тогда, когда вы сдаёте жетон в учреждение здравоохранения. Однако есть вероятность, что власти разместят на острове десятки тысяч приёмников, чтобы записывать перемещения жетонов в реальном времени. Это проблема, но сравните с вашим смартфоном, который обычно передаёт целый ряд уникальных и незашифрованных идентификаторов, начиная с IMEI и заканчивая MAC-адресом Wi-Fi. Поскольку все эти идентификаторы по умолчанию не анонимизируются, их может использовать кто угодно, и не только власти, для вашей идентификации и определения местоположения. Как бы там ни было, конструкция TraceTogether не оказывает значительного влияния на статус кво с точки зрения «больших инфраструктурных» атак на приватность отдельных людей.

Важно, что жетон использует для передачи ID схему анонимизации, поэтому не может раскрыть третьим сторонам вашу личность или данные о местонахождении, эта информация доступна только властям. Сравните это со сканером ID-карт SafeEntry, когда приходится передавать своё удостоверение личности персоналу в киосках SafeEntry. Это менее безопасное решение, ведь сотрудники могут прочитать ваши данные (в том числе домашний адрес), сканируя карту, поэтому в колонках «Местоположение» и «Идентификация» стоят красные кресты.

Возвращаясь к смартфону, «обычные приложения» — например, Facebook, Pokemon Go, Grab, TikTok, Maps — часто устанавливаются с большинством разрешений. Такой смартфон активно и постоянно раскрывает широкому кругу компаний ваше местоположение, фотографии и видео, телефонные звонки, данные с микрофона и из адресной книги, а также NFC-данные (используемые для бесконтактной оплаты или передачи информации). Хотя каждая компания клянётся, что «анонимизирует» ваши данные, однако данных передаётся так много, что для деанонимизации достаточно нажать практически одну кнопку. Более того, ваши данные отслеживают спецслужбы разных стран, благодаря широким полномочиям правительств по всему миру по законному получению данных от местных поставщиков услуг. Не говоря уже о постоянном риске столкнуться со злоумышленниками, эксплойтами или фальшивыми интерфейсами, которые призваны убедить, обмануть или принудить вас раскрыть свои данные.

Допустим, вы достаточно параноидальны и разумно большую часть времени включаете на своём iPhone авиарежим. Думаете, волноваться не о чем? Вы ошибаетесь. К примеру, в этом режиме iPhone всё ещё использует GPS-приёмник и NFC. Также я выяснил, что у iPhone возникают случайные и необъяснимые всплески активности Wi-Fi-интерфейса.

В общем, могу привести такие основные аргументы в пользу того, что аппаратный жетон защищает приватность лучше приложения:

Отсутствует сбор и обобщение данных с разных датчиков


Данные, собираемые жетоном, сильно ограничены тем, что он не способен обобщать информацию с разных датчиков, как это делают смартфоны. И хотя я поработал с устройством только час, могу сказать с высокой уверенностью, что у TraceTogether вряд ли есть иные возможности за пределами необходимого Bluetooth Low-Energy (BLE) передатчика. С чего я взял? Всё дело в физике и экономике:

  • Физика: чем больше передатчиков и датчиков, тем выше энергопотребление. Замечали, что ваш смартфон садится быстрее, если включено определение местоположения? Раз жетон может работать несколько месяцев от такой маленькой батарейки, то ему просто не хватит энергии для использования других функций, кроме разрекламированного BLE.
  • Экономика: чем больше электроники, тем выше стоимость. В публичном тендере верхний предел стоимости компонентов ограничен двадцатью сингапурскими долларами, а на деле стоимость должна быть ещё ниже, потому что нужно учесть и свои расходы на разработку. При таких условиях не разгуляться с дополнительными датчиками или передатчиками.


32b494559facc05e947928f219ace15a.jpg


Батарейка жетона TraceTogether ёмкостью 1000 мА*ч. У аккумулятора вашего смартфона ёмкость примерно втрое выше, и он требует ежедневной зарядки.

Финансовые аргументы слабее физических, потому что власти всегда могут подготовить ограниченное количество «специальных» жетонов любой стоимости для отслеживания отдельно выбранных людей. Однако и в этом случае физика играет роль: никакие деньги, вложенные властями в разработку, не смогут нарушить законы физики. Если Сингапур сможет разработать массовую батарейку, которая в таком форм-факторе будет питать смартфонный датчик в течение месяцев — что же, скажем так, мир станет совсем другим.

Гражданская гегемония над статистикой социальных контактов


Если предположить, что финальная версия TraceTogether не позволяет использовать BLE для считывания данных (надеюсь, мы это подтвердим на будущем хакатоне), тогда граждане имеют абсолютное владение своей статистикой контактов, по крайне мере до тех пор, пока они не передадут её кому-то.

Таким образом, власти, вероятно, непреднамеренно, подталкивают людей сопротивляться системе TraceTogether: человек в любой момент может сломать свой жетон и «выйти» из системы (но только сначала вытащите батарейку, иначе можете спалить квартиру). Или действовать аккуратнее и «забыть жетон дома», или носить его в металлизированном конверте, чтобы блокировать сигнал. Физическое воплощение жетона также означает, что после взятия пандемии под контроль уничтожение жетонов будет означать и уничтожение данных на них, в отличие от приложения. Ведь зачастую при деинсталляции ПО всего лишь исчезает иконка с экрана, а какие-то файлы с данными остаются в недрах устройства.

Иными словами, физическая реализация жетона означает, что серьёзное обсуждение приватности может идти параллельно сбору данных о социальных контактах. Если даже сегодня вы не уверены в достоинствах TraceTogether, ношение жетона позволяет отложить окончательное принятие решения, стоит ли доверять властям, пока вас не попросят сдать жетон для извлечения данных.

Если окажется, что власти используют на острове BLE-приёмники, или обнаружится странный жетон подозрительного устройства, то правительство рискует потерять не только доверие людей, но и доступ к полному графу отслеживания контактов, потому что люди начнут массово избавляться от жетонов. Это восстанавливает определенное равновесие сил, когда правительство может и будет нести ответственность за свой социальный контракт, даже если все мы собираем данные по отслеживанию контактов.

Следующие шаги


Когда мне предложили сделать независимый обзор жетона TraceTogether, я ответил, что не буду ничего скрывать — и к моему удивлению они всё же пригласили меня на встречу.

В этой статье описан контекст, в рамках которого я буду оценивать жетон. Возможностей Exposure notification не достаточно для изолирования бессимптомных носителей вируса, а полный граф отслеживания контактов может помочь в решении этой проблемы.

Хорошие новости в том, что аппаратный жетон представляет собой более безопасную возможность продолжить дискуссию о конфиденциальности и одновременно улучшить сбор данных. В конечном счёте, развертывание системы аппаратных жетонов зависит от самих граждан, и поэтому власти должны поддерживать или завоевывать наше доверие, чтобы соблюдать национальные интересы в течение пандемии.

© Habrahabr.ru