Antworten auf die 12 größten Fragen zu Apple und Googles neuem Coronavirus-Tracking-Projekt
Eine in Singapur verteilte Kontaktablaufverfolgungs-App | Foto: CATHERINE LAI/AFP via Getty Images
Was uns die technischen Dokumente über die Datenschutz- und Sicherheitsmaßnahmen des Projekts sagen
Am Freitag schlossen sich Google und Apple zu einem ehrgeizigen Notfallprojekt zusammen und legten ein neues Protokoll zur Verfolgung des anhaltenden Coronavirus-Ausbruchs vor. Es ist ein dringendes, komplexes Projekt mit enormen Auswirkungen auf die Privatsphäre und die öffentliche Gesundheit. Ähnliche Projekte waren in Singapur und anderen Ländern erfolgreich, aber es bleibt abzuwarten, ob die US-Gesundheitsbehörden in der Lage wären, ein solches Projekt zu managen – selbst wenn die größten Tech-Unternehmen der Welt eine Hand leihen.
Wir haben hier die Grundzüge des Projekts behandelt, aber es gibt noch viel mehr zu untersuchen — angefangen bei den technischen Dokumenten, die von den beiden Unternehmen veröffentlicht wurden. Sie verraten viel darüber, was Apple und Google eigentlich mit diesen sensiblen Daten zu tun versuchen und wo das Projekt zu kurz kommt. Also tauchten wir in diese Akten ein und versuchten, die zwölf drängendsten Fragen zu beantworten, beginnend mit dem absoluten Anfang:
Was macht das?
Wenn jemand an einer neuen Krankheit wie dem diesjährigen Coronavirus erkrankt, versuchen Mitarbeiter des öffentlichen Gesundheitswesens, die Ausbreitung einzudämmen, indem sie jeden aufspüren und unter Quarantäne stellen, mit dem die infizierte Person in Kontakt stand. Dies wird als Kontaktverfolgung bezeichnet und ist ein entscheidendes Werkzeug zur Eindämmung von Ausbrüchen.
Im Wesentlichen haben Apple und Google ein automatisiertes Kontaktverfolgungssystem entwickelt. Es unterscheidet sich von herkömmlichen Kontaktverfolgung, und wahrscheinlich am nützlichsten, wenn mit herkömmlichen Methoden kombiniert. Am wichtigsten ist, dass sie in einem viel größeren Umfang operieren kann als die herkömmliche Kontaktverfolgung, was angesichts der Ausbreitung des Ausbruchs in den meisten Ländern notwendig sein wird. Da es von Apple und Google kommt, wird einige dieser Funktionen schließlich auch in Android und iPhones auf BETRIEBSSYSTEM-Ebene integriert werden. Damit ist diese technische Lösung potenziell für mehr als drei Milliarden Telefone auf der ganzen Welt verfügbar – etwas, das sonst unmöglich wäre.
Es ist wichtig zu beachten, dass das, woran Apple und Google zusammenarbeiten, ein Framework und keine App ist. Sie sind mit dem Sanitärundt und garantieren die Privatsphäre und Sicherheit des Systems, aber das Gebäude der tatsächlichen Apps, die es verwenden, anderen überlassen.
Wie funktioniert es?
Grundsätzlich lässt dieses System Ihr Telefon andere Telefone protokollieren, die sich in der Nähe befanden. Solange dieses System läuft, wird Ihr Telefon regelmäßig einen kleinen, einzigartigen und anonymen Code ausstrahlen, der von der eindeutigen ID dieses Telefons abgeleitet ist. Andere Telefone in Reichweite erhalten diesen Code und erinnern sich daran, und erstellen ein Protokoll der Codes, die sie erhalten haben und wann sie sie erhalten haben.
Wenn eine Person, die das System verwendet, eine positive Diagnose erhält, kann sie ihren ID-Code an eine zentrale Datenbank senden. Wenn Ihr Telefon mit dieser Datenbank zurücksucht, führt es einen lokalen Scan aus, um festzustellen, ob einer der Codes in seinem Protokoll mit den IDs in der Datenbank übereinstimmt. Wenn es eine Übereinstimmung gibt, erhalten Sie eine Benachrichtigung auf Ihrem Telefon, die besagt, dass Sie ausgesetzt wurden.
Das ist die einfache Version, aber Sie können bereits sehen, wie nützlich diese Art von System sein könnte. Im Wesentlichen können Sie Berührungspunkte (d. h. genau das, was Kontakt-Tracer benötigen) aufzeichnen, ohne genaue Standortdaten zu sammeln und nur minimale Informationen in der zentralen Datenbank zu verwalten.
Wie können Sie sich dazu äußern, dass Sie infiziert wurden?
Die freigegebenen Dokumente sind in diesem Punkt weniger detailliert. Es wird in der Spezifikation angenommen, dass nur legitime Gesundheitsdienstleister in der Lage sein werden, eine Diagnose einzureichen, um sicherzustellen, dass nur bestätigte Diagnosen Warnungen generieren. (Wir wollen nicht, dass Trolle und Hypochonder das System überschwemmen.) Es ist nicht ganz klar, wie das passieren wird, aber es scheint wie ein lösbares Problem, ob es über die App oder eine Art zusätzliche Authentifizierung verwaltet wird, bevor eine Infektion zentral registriert wird.
Wie sendet das Telefon diese Signale aus?
Die kurze Antwort lautet: Bluetooth. Das System arbeitet von den gleichen Antennen wie Ihre drahtlosen Ohrhörer, obwohl es die Bluetooth Low Energy (BLE) Version der Spezifikation ist, was bedeutet, dass es Ihre Batterie nicht ganz so merklich entleeren wird. Dieses spezielle System verwendet eine Version des BLE Beacon-Systems, die seit Jahren verwendet wird und so modifiziert wurde, dass sie als zweiseitige Code-Swap-Version zwischen Telefonen funktioniert.
/cdn.vox-cdn.com/uploads/chorus_asset/file/19893153/Screen_Shot_2020_04_11_at_10.21.29_AM.png)
Wie weit erreicht das Signal?
Wir wissen es noch nicht wirklich. Theoretisch kann BLE Verbindungen bis zu 100 Meter entfernt registrieren, aber es hängt viel von bestimmten Hardware-Einstellungen ab und es ist leicht durch Wände blockiert. Viele der häufigsten Verwendungen von BLE – wie die Kopplung eines AirPods-Gehäuses mit Ihrem iPhone – haben eine effektive Reichweite, die näher an sechs Zoll liegt. Die Ingenieure des Projekts sind optimistisch, dass sie die Reichweite auf Softwareebene durch “Schwellen” optimieren können – im Wesentlichen das Wegwerfen von Signalen mit geringerer Stärke –, aber da es noch keine tatsächliche Software gibt, müssen die meisten relevanten Entscheidungen noch getroffen werden.
Gleichzeitig sind wir nicht ganz sicher, was die beste Reichweite für diese Art von Warnung ist. Soziale Entsüchterungsregeln empfehlen in der Regel, sechs Meter von anderen in der Öffentlichkeit entfernt zu bleiben, aber das könnte sich leicht ändern, wenn wir mehr darüber erfahren, wie sich das neuartige Coronavirus ausbreitet. Die Beamten werden sich auch davor hüten, so viele Warnungen auszusenden, dass die App nutzlos wird, was die ideale Reichweite noch kleiner machen könnte.
Es ist also eine App?
Sortierung von. Im ersten Teil des Projekts (der bis Mitte Mai abgeschlossen sein soll) wird das System in offizielle Apps für die öffentliche Gesundheit integriert, die die BLE-Signale im Hintergrund aussenden. Diese Apps werden von staatlichen Gesundheitsbehörden und nicht von Tech-Unternehmen erstellt, was bedeutet, dass die Agenturen für viele wichtige Entscheidungen darüber verantwortlich sein werden, wie Benutzer benachrichtigt werden und was sie empfehlen können, wenn eine Person exponiert wurde.
Schließlich hofft das Team, diese Funktionalität direkt in die iOS- und Android-Betriebssysteme zu integrieren, ähnlich einem nativen Dashboard oder einem Umschalter im Menü Einstellungen. Aber das wird Monate dauern, und es wird immer noch Benutzer auffordern, eine offizielle Gesundheits-App herunterzuladen, wenn sie Informationen einreichen oder eine Warnung erhalten müssen.
Ist das wirklich sicher?
Meistens scheint die Antwort ja zu sein. Basierend auf den am Freitag veröffentlichten Dokumenten wird es ziemlich schwierig sein, auf alle sensiblen Informationen zurück zu arbeiten, die ausschließlich auf den Bluetooth-Codes basieren, was bedeutet, dass Sie die App im Hintergrund ausführen können, ohne sich Sorgen zu machen, dass Sie alles kompilieren, was potenziell belastend ist. Das System selbst identifiziert Sie nicht persönlich und protokolliert Ihren Standort nicht. Natürlich müssen die Gesundheits-Apps, die dieses System verwenden, irgendwann wissen, wer Sie sind, wenn Sie Ihre Diagnose an Gesundheitsbeamte hochladen möchten.
Könnten Hacker dieses System nutzen, um eine große Liste von allen zu erstellen, die die
Krankheit?
Das wäre sehr schwierig, aber nicht unmöglich. Die zentrale Datenbank speichert alle Codes, die von infizierten Personen gesendet wurden, während sie ansteckend waren (das ist, was Ihr Telefon überprüft), und es ist völlig plausibel, dass ein schlechter Schauspieler diese Codes erhalten könnte. Die Ingenieure haben gute Arbeit geleistet, um sicherzustellen, dass Sie nicht direkt von diesen Codes bis zur Identität einer Person arbeiten können, aber es ist möglich, sich einige Szenarien vorzustellen, in denen diese Schutzmaßnahmen zusammenbrechen.
/cdn.vox-cdn.com/uploads/chorus_asset/file/19892603/Screen_Shot_2020_04_10_at_6.33.10_PM.png)
Um zu erklären, warum, müssen wir ein bisschen technischer werden. Die Kryptografie-Spezifikation legt drei Schlüsselebenen für dieses System fest: einen privaten Hauptschlüssel, der Ihr Gerät nie verlässt, einen täglichen Ablaufverfolgungsschlüssel, der aus dem privaten Schlüssel generiert wird, und dann die Zeichenfolge der “Näherungs-IDs”, die durch den täglichen Schlüssel generiert werden. Jeder dieser Schritte wird über eine kryptographisch robuste einwegs funktion ausgeführt, sodass Sie einen Näherungsschlüssel aus einem täglichen Schlüssel generieren können, aber nicht umgekehrt. Noch wichtiger ist, dass Sie sehen können, welche Näherungsschlüssel von einem bestimmten Tagesschlüssel stammen, aber nur, wenn Sie mit dem täglichen Schlüssel in der Hand beginnen.
Das Protokoll auf Ihrem Telefon ist eine Liste von Näher-IDs (die niedrigste Ebene des Schlüssels), so dass sie nicht viel gut auf eigene Faust sind. Wenn Sie positiv testen, teilen Sie noch mehr und posten die täglichen Schlüssel für jeden Tag, an dem Sie ansteckend waren. Da diese täglichen Schlüssel jetzt öffentlich sind, kann Ihr Gerät die Mathematik machen und Ihnen sagen, ob eine der Näherungs-IDs in Ihrem Protokoll von diesem täglichen Schlüssel stammt; Wenn dies der Fall war, wird eine Warnung generiert.
Wie Kryptograph Matt Tait betont, führt dies zu einer sinnvollen Einschränkung der Privatsphäre für Menschen, die positiv auf diesem System testen. Sobald diese täglichen Schlüssel öffentlich sind, können Sie herausfinden, welche Näherungs-IDs mit einer bestimmten ID verknüpft sind. (Denken Sie daran, das ist, was die App tun soll, um die Exposition zu bestätigen.) Während bestimmte Anwendungen die Informationen, die sie teilen, einschränken können und ich bin sicher, dass jeder sein Bestes geben wird, sind Sie jetzt außerhalb der harten Schutzbestimmungen der Verschlüsselung. Es ist möglich, sich eine bösartige App oder ein Bluetooth-Sniffing-Netzwerk vorzustellen, das Näherungs-IDs im Voraus sammelt, sie mit bestimmten Identitäten verbindet und sie später mit Tagesschlüsseln korreliert, die aus der zentralen Liste entfernt werden. Es wäre schwierig, dies zu tun, und es wäre noch schwieriger, es für jede einzelne Person auf der Liste zu tun. Selbst dann, alles, was Sie von dem Server erhalten würden, ist die letzten 14 Tage im Wert von Codes. (Das ist alles, was für die Kontaktverfolgung relevant ist, also sind es alle zentralen Datenbankspeicher.) Aber es wäre nicht pauschal unmöglich, was in der Kryptographie normalerweise das ist, was man sucht.
Zusammenfassend: Es ist schwer, die Anonymität einer Person absolut zu garantieren, wenn sie teilt, dass sie positiv durch dieses System getestet haben. Aber in der Verteidigung des Systems ist dies eine schwierige Garantie, die unter allen Umständen zu machen ist. Unter sozialer Entsagung beschränken wir alle unsere persönlichen Kontakte, wenn Sie also erfahren, dass Sie an einem bestimmten Tag exponiert wurden, wird die Liste der potenziellen Vektoren bereits ziemlich kurz sein. Fügen Sie die Quarantäne und manchmal Krankenhausaufenthalt, die mit einer COVID-19-Diagnose kommen, und es ist sehr schwierig, die medizinische Privatsphäre völlig intakt zu halten, während immer noch Menschen, die möglicherweise ausgesetzt wurden, zu warnen. In gewisser Weise ist dieser Kompromiss der Kontaktverfolgung inhärent. Tech-Systeme können sie nur abmildern.
Außerdem beinhaltet die beste Methode der Kontaktverfolgung, die wir gerade haben, Menschen, die Sie interviewen und fragen, mit wem Sie in Kontakt gestanden haben. Es ist im Grunde unmöglich, ein völlig anonymes Kontaktverfolgungssystem zu erstellen.
Könnten Google, Apple oder ein Hacker es verwenden, um herauszufinden, wo ich gewesen bin?
Nur unter ganz bestimmten Umständen. Wenn jemand Ihre Näherungs-IDs sammelt und Sie positiv testen und entscheiden, Ihre Diagnose zu teilen und sie die oben beschriebene Rigamarole durchführen, könnte sie sie möglicherweise verwenden, um Sie mit einem bestimmten Ort zu verknüpfen, an dem Ihre Näherungs-IDs in freier Wildbahn gesichtet wurden.
Aber es ist wichtig zu beachten, dass weder Apple noch Google Informationen teilen, die Sie direkt auf einer Karte platzieren könnten. Google hat eine Menge dieser Informationen und das Unternehmen hat es auf einer aggregierten Ebene geteilt, aber es ist nicht ein Teil dieses Systems. Google und Apple wissen vielleicht, wo Sie sich bereits befinden, aber sie verbinden diese Informationen nicht mit diesem Dataset. Während also ein Angreifer in der Lage sein könnte, mit diesen Informationen zu arbeiten, würde er am Ende immer noch weniger als die meisten Apps auf Ihrem Telefon wissen.
Könnte jemand dies nutzen, um herauszufinden, mit wem ich in Kontakt gestanden habe?
Das wäre wesentlich schwieriger. Wie oben erwähnt, hält Ihr Telefon ein Protokoll aller Näherungs-IDs, die es empfängt, aber die Spezifikation macht klar, dass das Protokoll niemals Ihr Telefon verlassen sollte. Solange Ihr spezifisches Protokoll auf Ihrem bestimmten Gerät verbleibt, wird es durch dieselbe Geräteverschlüsselung geschützt, die Ihre Texte und E-Mails schützt.
Selbst wenn ein schlechter Schauspieler Ihr Telefon gestohlen und es geschafft hätte, diese Sicherheit zu durchbrechen, wären sie nur die Codes, die Sie erhalten haben, und es wäre sehr schwierig herauszufinden, von wem diese Schlüssel ursprünglich stammten. Ohne einen täglichen Schlüssel, von dem aus sie arbeiten könnten, hätten sie keine klare Möglichkeit, eine Näherungs-ID mit einer anderen zu korrelieren, so dass es schwierig wäre, einen einzelnen Akteur im Chaos der Bluetooth-Tracker zu unterscheiden, geschweige denn herauszufinden, wer sich mit wem traf. Und entscheidend ist, dass die robuste Kryptographie es unmöglich macht, den zugehörigen Tagesschlüssel oder die zugehörige persönliche ID-Nummer direkt abzuleiten.
Was ist, wenn ich nicht möchte, dass mein Telefon dies tut?
Installieren Sie die App nicht, und wenn die Betriebssysteme im Sommer aktualisiert werden, lassen Sie einfach die Einstellung “Kontaktablaufverfolgung” deaktiviert. Apple und Google bestehen darauf, dass die Teilnahme freiwillig ist, und wenn Sie keine proaktiven Schritte unternehmen, um an der Kontaktverfolgung teilzunehmen, sollten Sie in der Lage sein, Ihr Telefon zu verwenden, ohne sich überhaupt zu engagieren.
Ist dies nur ein verschleiertes Überwachungssystem?
Das ist eine knifflige Frage. In gewisser Weise ist Kontaktverfolgung Überwachung. Die öffentliche Gesundheitsarbeit ist voll von medizinischer Überwachung, einfach weil es der einzige Weg ist, infizierte Menschen zu finden, die nicht krank genug sind, um zum Arzt zu gehen. Die Hoffnung ist, dass die Menschen angesichts der katastrophalen Schäden, die bereits durch die Pandemie angerichtet wurden, bereit sein werden, dieses Maß an Überwachung als vorübergehende Maßnahme zu akzeptieren, um die weitere Ausbreitung des Virus einzudämmen.
Eine bessere Frage ist, ob dieses System eine faire oder hilfreiche Überwachung durchführt. Es ist sehr wichtig, dass das System freiwillig ist, und es ist sehr wichtig, dass es nicht mehr Daten teilt, als es braucht. Dennoch haben wir jetzt nur das Protokoll, und es bleibt abzuwarten, ob die Regierungen versuchen werden, diese Idee auf invasivere oder überhebliche Weise umzusetzen.
Wenn das Protokoll in bestimmten Apps implementiert wird, wird es eine Menge wichtiger Entscheidungen darüber geben, wie es verwendet wird und wie viele Daten außerhalb davon gesammelt werden. Die Regierungen werden diese Entscheidungen treffen, und sie können sie schlecht machen — oder schlimmer, sie können sie überhaupt nicht treffen. Also, selbst wenn Sie sich darüber freuen, was Apple und Google hier ausgelegt haben, können sie nur den Ball werfen – und es gibt eine Menge Reiten auf dem, was Regierungen tun, nachdem sie es fangen.
Keywords: afds, afdsafds