Уведомление о разоблачении

редактировать

Инициатива по отслеживанию контактов с сохранением конфиденциальности на мобильных устройствах

Уведомление о разглашении
Разработано	Apple Inc. Google
Введено	апрель 2020 г. (2020-04)
Промышленность	Отслеживание цифровых контактов
Совместимое оборудование	Android и iOS смартфоны
Физический диапазон	~ 10 м (33 фута)

Система (Google / Apple) уведомления о воздействии, изначально известная как отслеживание контактов с сохранением конфиденциальности Проект - это структура и спецификация протокола, разработанная Apple Inc. и Google для облегчения отслеживания цифровых контактов во время 2019-20 COVID -19 пандемия. При использовании органами здравоохранения он дополняет более традиционные методы отслеживания контактов, автоматически регистрируя встречи с другими пользователями системы уведомлений, использующими их Android или iOS смартфон. Уведомление о воздействии - это децентрализованный протокол на основе отчетов, построенный на сочетании технологии Bluetooth Low Energy и сохраняющей конфиденциальность криптографии. Он используется в качестве дополнительной функции в приложениях COVID-19, разработанных и опубликованных уполномоченными органами здравоохранения. Первоначально представленный 10 апреля 2020 года, он впервые стал доступен для iOS 20 мая 2020 года в рамках обновления iOS 13.5.

Протокол Apple / Google аналогичен протоколу Протокол децентрализованного отслеживания близости с сохранением конфиденциальности (DP-3T), созданный европейским консорциумом DP-3T, и протокол временного контактного номера (TCN), созданный Covid Watch, но реализован на уровне операционной системы, что позволяет более эффективно работать в качестве фонового процесса . С мая 2020 года вариант протокола DP-3T поддерживается интерфейсом уведомления о воздействии. Другие протоколы ограничены в том, как они работают, поскольку у них нет особых привилегий по сравнению с обычными приложениями . Это приводит к проблемам, особенно на устройствах iOS, где приложения для отслеживания цифровых контактов, работающие в фоновом режиме, значительно снижают производительность. Совместный подход также предназначен для поддержания взаимодействия между устройствами Android и iOS, которые составляют подавляющую часть рынка.

В ACLU говорится, что подход «по-видимому, снижает наихудшие риски конфиденциальности и централизации, но все еще есть возможности для улучшения». В конце апреля Google и Apple сместили акцент в названии системы, описав ее как «службу уведомления о раскрытии», а не «систему отслеживания контактов».

Содержание

1 Техническая спецификация
- 1.1 Версия 1.0
- 1.2 Версия 1.1
- 1.3 Версия 1.2
2 Конфиденциальность
3 Развертывание
4 Принятие
- 4.1 Альтернативы
5 Ссылки
6 Внешние ссылки

Технические характеристики

Как правило, протоколы цифрового отслеживания контактов выполняют две основные задачи: ведение журнала регистрации и сообщение о заражении. Уведомление об обнаружении определяет только ведение журнала встреч, которое представляет собой децентрализованную архитектуру, при этом большая часть отчетов о заражении, в настоящее время централизованная, делегируется отдельным реализациям приложений.

Для ведения журнала встреч в системе используется Bluetooth Низкое энергопотребление для отправки сообщений отслеживания ближайшим устройствам, использующим протокол, для обнаружения встреч с другими людьми. Сообщения отслеживания содержат уникальные идентификаторы, которые зашифрованы секретным ежедневным ключом, хранящимся на отправляющем устройстве. Эти идентификаторы меняются каждые 15–20 минут, а также MAC-адрес Bluetooth , чтобы предотвратить отслеживание клиентов злонамеренными третьими сторонами путем отслеживания статических идентификаторов с течением времени.

Ежедневные ключи шифрования отправителя являются генерируется с помощью генератора случайных чисел. Устройства записывают полученные сообщения, сохраняя их локально в течение 14 дней. Если тест на заражение дает положительный результат, его ключи шифрования за последние 14 дней могут быть загружены на центральный сервер, где они затем транслируются на все устройства в сети. Метод, с помощью которого ежедневные ключи шифрования передаются на центральный сервер и транслируются, определяется отдельными разработчиками приложений. Эталонная реализация, разработанная Google, требует от специалиста по здравоохранению запросить одноразовый код проверки (VC) с сервера проверки, который пользователь вводит в приложение регистрации встреч. Это заставляет приложение получать криптографически подписанный сертификат, который используется для авторизации отправки ключей на центральный сервер отчетов.

Полученные ключи затем передаются протоколу, где каждый клиент индивидуально ищет совпадения в их местная история встреч. Если обнаруживается совпадение, отвечающее определенным параметрам риска, приложение уведомляет пользователя о потенциальном заражении. Google и Apple намерены использовать полученный уровень сигнала (RSSI ) сообщений радиобуя в качестве источника для определения близости. RSSI и другие метаданные сигнала также будут зашифрованы, чтобы противостоять атакам деанонимизации.

Версия 1.0

Для генерации идентификаторов встреч сначала необходимо использовать постоянный 32-байтовый частный ключ отслеживания ( $tk {\ displaystyle tk}$ ${\ displaystyle tk}$ ) создается клиентом. Из этого 16-байтового ключа ежедневной трассировки получается с использованием алгоритма $dtki = HKDF (tk, NULL, 'CT-DTK' | | D i, 16) {\ displaystyle dtk_ {i} = HKDF (tk, NULL, {\ text {'CT-DTK'}} || D_ {i}, 16)}$ $dtk_{i}=HKDF(tk,NULL,{\text{'CT-DTK'}}||D_{i},16)$ , где $HKDF (Key, Salt, Data, OutputLength) {\ displaystyle HKDF ({\ text {Key, Salt, Data, OutputLength}})}$ ${\ displaystyle HKDF ({\ text {Key, Salt, Data, OutputLength}})}$ - это функция HKDF, использующая SHA-256, и $D i {\ displaystyle D_ {i}}$ $D_ {i}$ - номер дня для 24-часового окна, в котором идет трансляция, начиная с Unix Epoch Time. Эти сгенерированные ключи позже отправляются на центральный сервер отчетов в случае заражения пользователя.

Из ежедневного ключа отслеживания каждые 10 минут генерируется 16-байтовый временный скользящий идентификатор близости с алгоритмом $RPI i, j = Усечь (HMAC (dtki, 'CT-RPI' | | TIN j), 16) {\ displaystyle RPI_ {i, j} = {\ text {Truncate}} (HMAC (dtk_ {i}, {\ text { 'CT-RPI'}} || TIN_ {j}), 16)}$ $RPI_{i,j}={\text{Truncate}}(HMAC(dtk_{i},{\text{'CT-RPI'}}||TIN_{j}),16)$ , где $HMAC (ключ, данные) {\ displaystyle HMAC ({\ text {Key, Data}}) }$ ${\ displaystyle HMAC ({ \ text {Key, Data}})}$ - это функция HMAC, использующая SHA-256, а $TIN j {\ displaystyle TIN_ {j}}$ ${\ displaystyle TIN_ {j }}$ - номер временного интервала, представляющий уникальный индекс для каждых 10 минут 24-часового дня. Функция Truncate возвращает первые 16 байтов значения HMAC. Когда два клиента приближаются друг к другу, они обмениваются и локально сохраняют текущий $RPI i, j {\ displaystyle RPI_ {i, j}}$ ${\ displaystyle RPI_ {i, j}}$ в качестве идентификатора встречи.

После того, как зарегистрированный орган здравоохранения подтвердит заражение пользователя, ежедневный ключ отслеживания пользователя за последние 14 дней загружается на центральный сервер отчетов. Затем клиенты загружают этот отчет и индивидуально пересчитывают каждый идентификатор скользящей близости, использованный в отчетном периоде, сопоставляя его с локальным журналом встреч пользователя. Если соответствующая запись найдена, значит, контакт был установлен, и приложение представляет пользователю уведомление о возможном заражении.

Версия 1.1

В отличие от версии 1.0 протокола, версия 1.1 не использует постоянный ключ трассировки, а каждый день генерируется новый случайный 16-байтовый временный ключ доступа ( $teki {\ displaystyle tek_ {i}}$ ${\ displaystyle tek_ {i}}$ ). Это аналог ежедневного ключа отслеживания из версии 1.0. Здесь $i {\ displaystyle i}$ $i$ обозначает, что время дискретизируется с 10-минутными интервалами, начиная с Unix Epoch Time. На основе этих двух 128-битных ключей рассчитываются ключ идентификатора скользящей близости ( $RPIK i {\ displaystyle RPIK_ {i}}$ ${\ displaystyle RPIK_ {i}}$ ) и связанный зашифрованный ключ метаданных ( $AEMK i {\ стиль отображения AEMK_ {i}}$ ${\ displaystyle AEMK_ {i}}$ ). $RPIK i {\ displaystyle RPIK_ {i}}$ ${\ displaystyle RPIK_ {i}}$ вычисляется с помощью алгоритма $RPIK i = HKDF (teki, NULL, 'EN-RPIK', 16) {\ displaystyle RPIK_ {i } = HKDF (tek_ {i}, NULL, {\ text {'EN-RPIK'}}, 16)}$ $RPIK_{i}=HKDF(tek_{i},NULL,{\text{'EN-RPIK'}},16)$ и $AEMK i {\ displaystyle AEMK_ {i}}$ ${\ displaystyle AEMK_ {i}}$ с использованием алгоритма $AEMK i = HKDF (teki, NULL, 'EN-AEMK', 16) {\ displaystyle AEMK_ {i} = HKDF (tek_ {i}, NULL, {\ text {'EN- AEMK '}}, 16)}$ $AEMK_{i}=HKDF(tek_{i},NULL,{\text{'EN-AEMK'}},16)$ .

Из этих значений временный идентификатор скользящего сближения ( $RPI i, j {\ displaystyle RPI_ {i, j}}$ ${\ displaystyle RPI_ {i, j}}$ ) генерируется каждый раз, когда BLE MAC-адрес меняется примерно каждые 15–20 минут. Используется следующий алгоритм: $RPI i, j = AES 128 (RPIK i, 'EN-RPI' | | 0 x 000000000000 | | ENIN j) {\ displaystyle RPI_ {i, j} = AES128 (RPIK_ {i }, {\ text {'EN-RPI'}} || {\ mathtt {0x000000000000}} || ENIN_ {j})}$ $RPI_{i,j}=AES128(RPIK_{i},{\text{'EN-RPI'}}||{\mathtt {0x000000000000}}||ENIN_{j})$ , где $AES 128 (ключ, данные) {\ displaystyle AES128 ({\ text {Key, Data}})}$ ${\ displaystyle AES128 ({\ text {Key, Data}})}$ - криптографическая функция AES со 128-битным ключом, данные представляют собой один 16-байтовый блок, $j {\ displaystyle j}$ $j$ обозначает время эпохи Unix в момент разворачивания, а $ENIN j {\ displaystyle ENIN_ {j}}$ ${\ displaystyle ENIN_ {j}}$ - соответствующие 10-минутные номер интервала. Затем шифруются дополнительные связанные зашифрованные метаданные. Что представляют собой метаданные, не указано, что, вероятно, позволит расширить протокол в дальнейшем. Используется следующий алгоритм: $Связанные зашифрованные метаданные i, j = AES 128 _ CTR (AEMK i, RPI i, j, метаданные) {\ displaystyle {\ text {Associated Encrypted Metadata}} _ {i, j} = AES128 \ _CTR (AEMK_ {i}, RPI_ {i, j}, {\ text {Metadata}})}$ ${\ displaystyle {\ text {Associated Encrypted Metadata}} _ {i, j} = AES128 \ _CTR (AEMK_ {i}, RPI_ {i, j}, {\ text {Metadata}})}$ , где $AES 128 _ CTR (Key, IV, Data) {\ displaystyle AES128 \ _CTR ({\ text {Key, IV, Data}})}$ ${\ displaystyle AES128 \ _CTR ({\ text {Key, IV, Data}})}$ обозначает шифрование AES с 128-битным ключом в режиме CTR. Идентификатор непрерывной близости и связанные зашифрованные метаданные затем объединяются и транслируются с использованием BLE. Клиенты обмениваются данными и регистрируют эти данные.

После того, как зарегистрированный орган здравоохранения подтвердил заражение пользователя, ключи временного доступа пользователя $teki {\ displaystyle tek_ {i}}$ ${\ displaystyle tek_ {i}}$ и соответствующие им номера интервалов $i {\ displaystyle i}$ $i$ за последние 14 дней загружаются на центральный сервер отчетов. Затем клиенты загружают этот отчет и индивидуально пересчитывают каждый идентификатор скользящего сближения, начиная с номера интервала $i {\ displaystyle i}$ $i$ , сопоставляя его с локальным журналом встреч пользователя. Если соответствующая запись найдена, значит, контакт был установлен, и приложение представляет пользователю уведомление о возможном заражении.

Версия 1.2

Версия 1.2 протокола идентична версии 1.1, внесены лишь незначительные изменения в терминологию.

Конфиденциальность

Сохранение конфиденциальности упоминалось как главный компонент протокола; он разработан так, чтобы личная информация не могла быть получена о пользователе или его устройстве. Приложениям, реализующим уведомление об обнаружении, разрешено собирать личную информацию от пользователей только на добровольной основе. Пользователь должен получить согласие, чтобы включить систему или опубликовать положительный результат через систему, а приложениям, использующим систему, запрещается собирать данные о местоположении. В качестве дополнительной меры компании заявили, что прекратят действие протокола по регионам, как только они определят, что он «больше не нужен».

Electronic Frontier Foundation выразили обеспокоенность тем, что протокол был уязвим для "атак связывания", когда достаточно дееспособные третьи стороны, которые записывали трафик маяков, могут задним числом превратить эту информацию в информацию отслеживания только для областей, в которых они уже зарегистрировали маяки, в течение ограниченного времени сегмент и только для пользователей, которые раскрыли свой статус COVID-19, после раскрытия набора ежедневных ключей шифрования устройства.

16 апреля Европейский Союз начал процесс оценки предлагаемая система для совместимости с законами о конфиденциальности и защите данных, включая Общие правила защиты данных (GDPR). 17 апреля 2020 г. Управление комиссара по информации Великобритании, надзорный орган по защите данных, опубликовал заключение, в котором анализируются как Уведомление о разглашении, так и протокол Децентрализованного отслеживания с сохранением конфиденциальности, в котором говорится, что системы «согласованы с принципами защиты данных по дизайну и по умолчанию» (согласно требованиям GDPR).

Развертывание

Уведомление о воздействии совместимо с устройствами, поддерживающими Bluetooth Low Energy и работает под управлением Android 6.0 "Marshmallow" или новее с мобильными службами Google или iOS 13.5 или новее. Он обслуживается через Обновление программного обеспечения на iOS и Сервисы Google Play на Android, что обеспечивает совместимость с большинством устройств Android, выпущенных за пределами материкового Китая, и не требует его интеграции в прошивка Android (которая затрудняет развертывание), хотя она несовместима с устройствами Huawei, выпущенными с мая 2019 года из-за запрета на торговлю Huawei в США. Apple и Google выпустили эталонные реализации для приложений, использующих систему, которые могут использоваться в качестве основы.

Приложения для уведомления о воздействии могут быть выпущены только органами здравоохранения. Чтобы предотвратить фрагментацию, каждая страна обычно ограничивается одним приложением, хотя Apple и Google заявили, что они будут применять региональные подходы, если страна решит сделать это.

1 сентября 2020 года консорциум объявил «Разоблачение Notifications Express »(EN Express), система, предназначенная для облегчения принятия протокола органами здравоохранения, устраняя необходимость разрабатывать приложение самостоятельно. В рамках этой системы орган здравоохранения предоставляет параметры, специфичные для их реализации (такие как пороговые значения, брендинг, обмен сообщениями и ключевые серверы), которые затем обрабатываются для создания необходимых функций. В Android эти данные используются для создания приложения, в то время как в iOS функциональность интегрирована непосредственно на системном уровне в iOS 13.7 и новее без специального приложения.

Принятие

По состоянию на 21 мая не менее 22 стран получили доступ к протоколу. Швейцария и Австрия были одними из первых, кто поддержал протокол. 26 апреля, после первоначальной поддержки PEPP-PT, Германия объявила о поддержке Уведомления о воздействии, за которым вскоре последовали Ирландия и Италия. Несмотря на то, что централизованный протокол BlueTrace уже принят, Австралийское Министерство здравоохранения и Агентство цифровой трансформации изучают возможность реализации протокола для преодоления ограничений его COVIDSafe приложение. 25 мая Швейцария стала первой страной, запустившей приложение, использующее протокол SwissCovid, начав с небольшой экспериментальной группы.

В Англии Национальная служба здравоохранения (NHS) опробовала как собственное приложение на централизованной платформе, разработанной его подразделением NHSX, так и второе приложение, использующее Уведомление о воздействии. 18 июня NHS объявило, что сосредоточится на использовании уведомлений о воздействии в дополнение к отслеживанию контактов вручную, сославшись на тесты на острове Уайт, показывающие, что он имеет лучшую совместимость между устройствами (а также будет совместим с другие европейские подходы), но расчет расстояния не был таким надежным, как централизованная версия приложения. Позже было заявлено, что приложение будет дополнено QR-кодами на объектах.

Канада запустила приложение COVID Alert, разработанное совместно с BlackBerry Limited и Shopify, 31 июля в Онтарио. 9 августа Альберта объявила о планах перехода на COVID Alert из своего приложения ABTraceTogether на основе BlueTrace, хотя по состоянию на 6 октября этого еще не произошло. Канадская провинция Квебек изначально не участвовала в программе оповещения COVID и не применяла аналогичное программное обеспечение по разным причинам, а в конце августа официальные лица заявили, что существующие возможности отслеживания контактов являются адекватными. Премьер Франсуа Лего также упомянул о проблемах конфиденциальности, а также о том, что приложение не было разработано на местном уровне. Однако на фоне продолжающегося всплеска активности в провинции министр здравоохранения Квебека Кристиан Дубе изменил курс и 29 сентября объявил, что они изучат возможность присоединения к COVID Alert (при поддержке провинции, которая будет запущена 5 октября).

В мае 2020 года Covid Watch запустили первый пилотный проект калибровки и бета-тестирования API GAEN в США в Университете Аризоны. В августе 2020 года приложение было публично запущено для поэтапного развертывания в штате Аризона.

Ассоциация лабораторий общественного здравоохранения США (APHL) заявила в июле 2020 года, что оно работает. с Apple, Google и Microsoft на национальном сервере отчетов для использования с протоколом, который, как было заявлено, упростит внедрение и взаимодействие между штатами.

В августе 2020 года Google заявил, что по крайней мере 20 штатов США выразили заинтересованность в использовании протокола. В Алабаме Департамент общественного здравоохранения Алабамы, Университет Алабамы в Бирмингеме и Университет штата Алабама развернули "GuideSafe" "приложение для студентов, возвращающихся в университетский городок, которое включает функции уведомления о воздействии. 5 августа Министерство здравоохранения Вирджинии выпустило приложение «COVIDWise», что сделало его первым штатом США, выпустившим приложение на основе уведомлений о воздействии для широкой публики. Северная Дакота и Вайоминг выпустили приложение EN, известное как «Care19 Alert», разработанное ProudCrowd и использующее сервер APHL (приложение является побочным продуктом существующего приложения для регистрации местоположения, которое оно разработало на основе приложения, которое было разработано в первую очередь для использования студентов, путешествующих на выездные матчи колледжа по футболу).

Мэриленд, Невада, Вирджиния и Вашингтон, округ Колумбия, объявили о планах использования EN Express. В сентябре в штатах Делавэр, Нью-Джерси, Нью-Йорк и Пенсильвания были внедрены приложения COVID Alert, разработанные NearForm на основе приложения COVID Tracker Ireland.


Страна	Регион / штат	Имя	Объявлено / выпущено	Примечания
Австрия		Stopp Corona App	26 июня 2020 г.
Бразилия		Coronavírus-SUS	31 июля 2020 г.
Бельгия		Coronalert	2 сентября 2020 г. (пилотный этап) 1 октября 2020 г. (общедоступно)
Канада		Оповещение о COVID	31 июля 2020 г.	Доступно в Нью-Брансуике, Ньюфаундленде и Лабрадоре, Онтарио, Манитобе, Саскачеване, Квебеке, Острове принца Эдуарда и Новой Шотландии. Британская Колумбия планирует присоединиться к ней после «корректировок, которые будут соответствовать нашим потребностям». Альберта объявила о своих планах принять ее, но по состоянию на 6 октября этого еще не произошло.
Чешская Республика		eRouška (eMask)	17 сентября 2020 г.	Начиная с версии 2.1
Дания		Smittestop	18 июня 2020 г.
Финляндия		Коронавилкку	август 31, 2020
Германия		Corona-Warn-App	16 июня 2020 г.
Гибралтар		BEAT Covid Gibraltar	18 июня 2020 г.	На основе COVID Tracker Ireland и будет взаимодействовать с ним.
Ирландия		COVID Tracker Ireland	7 июля 2020 г.
Италия		Immuni	1 июня 2020 г.
Япония		КАКАО	19 июня 2020 г.
Джерси		Оповещение о COVID на Джерси	21 сентября 2020 г.
Латвия		Apturi Covid	29 мая 2020 г.
Эстония		Hoia	16 августа 2020 г.
Нидерланды		CoronaMelder	10 октября 2020 г. (полная версия)
Польша		ProteGO Safe	9 июня 2020 г.	Обновление существующего приложения для регистрации встреч.
Южная Африка		COVID Alert SA	1 сентября 2020 г.
Испания		Radar COVID	30 июня 2020 г. (бета-тест)
Швейцария		SwissCovid	26 мая 2020 г. (пилотный этап)
Соединенное Королевство	Англия. Уэльс	NHS COVID-19	24 сентября 2020 г.
	Северная Ирландия	StopCOVID NI	30 июля 2020 г.	Взаимодействует с COVID Tracker Ирландия.
	Шотландия	Защитите Шотландию	11 сентября 2020 г.	На основе COVID Tracker Ireland и будет взаимодействовать с ним.
США	Алабама	GuideSafe	3 августа 2020 г.	Ориентация на студентов Университета Алабамы в рамках более крупной программы под тем же названием.
	Аризона	Covid Watch	28 мая 2020 г. (аттенюация и тестирование динамического риска) 19 августа, 2020 (выпущено)	Ориентация на Университет Аризоны при поэтапном развертывании в штате Аризона.
	Колорадо	Уведомление о воздействии CO s	25 октября 2020 г.
	Делавэр	Уведомление о COVID DE	15 сентября 2020 г.	На основе COVID Tracker Ireland.
	Нью-Джерси	Предупреждение COVID, штат Нью-Джерси	30 сентября 2020 г.	На основе данных COVID Tracker Ireland.
	Нью-Йорк	Предупреждение COVID, штат Нью-Йорк	30 сентября, 2020	На основе COVID Tracker Ireland.
	Северная Каролина	SlowCOVIDNC	22 сентября 2020 г.
	Северная Дакота	Care19 Alert	13 августа 2020 г.
	Пенсильвания	COVID Alert PA	24 сентября 2020 г.	На основе данных COVID Tracker Ireland.
	Вирджиния	COVIDWise	5 августа 2020 г.
	Вайоминг	Care19 Alert	14 августа 2020 г.
Уругвай		Коронавирус UY	15 июня 2020 г.
Португалия		STAYAWAY COVID	28 августа 2020 г.

Альтернативы

Некоторые страны, такие как Франция, применяют централизованные подходы к отслеживанию цифровых контактов, чтобы вести записи личной информации, которая может быть нас ed, чтобы помочь в расследовании дел. В апреле 2020 года французское правительство обратилось к Apple с просьбой разрешить приложениям выполнять операции Bluetooth в фоновом режиме, что позволило бы правительству создать свою собственную систему, независимую от уведомления о воздействии.

Официальные лица Австралии заявили о своей COVIDSafe, который основан на сингапурском BlueTrace, не будет отказываться от ручного вмешательства.

В США такие штаты, как Калифорния и Массачусетс, отказались от использования технологии, выбрав ручное отслеживание контактов.

Китайский поставщик Huawei (который не может включать программное обеспечение Google в свои текущие продукты Android из-за санкций США) добавил API DP-3T на уровне ОС, известный как «Контактный щит», в его стек мобильных служб Huawei в июне 2020 года, который, по заявлению компании, должен быть совместим с Уведомлением о воздействии.

Ссылки

Внешние ссылки