Thursday, February 18, 2021

保護隱私的新冠報警

美國很多地區--弗吉尼亞、加利福尼亞、科羅拉多、康涅狄格、夏威夷、馬里蘭、明尼蘇達、内華達、華盛頓、威斯康星等地和哥倫亞特區--已為手機用户啟用了COVID-19暴露通知服務。 這些地區的智能手機用户若希望得到通知,可以直接在手機設置中打開通知。

這個服務是由蘋果和谷歌聯合開發的。他們更新了iOS和Android操作系統,新冠報警不用apps,而是使用無所不在的藍牙近程無線通訊技術。到今年1月20日截止,美國20個州和哥倫比亞已得到這項服務。目前用戶大多是自願啟用這項服務,但夏威夷的毛伊島現在要求所有到訪的外人都使用。

怎樣知道你出門辦事是否近距離接觸了covid-19測試陽性的人呢?世界上有幾十個手機app是用來發警告的,很多還把這些人的身分直接報告給公共保健部門,所以不少人擔心隱私問題。然而蘋果-谷歌的新冠報警方案是沒有隱私問題的。還有幾個報警項目,包括PACT、BlueTrace和Covid Watch,也採取了類似的隱私保護方法。

最近的研究發現,對於像新冠這樣的流行疾病,越多人參與感染追蹤,追蹤效果就越好。蘋果-谷歌的病毒暴露通知卻不是真正的接觸追蹤,因為他們不容公共保健部門知道有誰接觸了感染的人,然而許多得到手機通知的人可以儘快地自我隔離。

蘋果-谷歌的報警是怎樣實現的呢?波士頓大學電動計算工程研究人員介紹說,幾十億電子部件都使用藍牙低能量(Bluetooth LE)技術與附近其它部件聯絡,智能手機和智能運動手表中都有。這些小器件之間的通訊聯絡有兩種:用兩個部件之間的特殊數據渠道,比如你的運動表和你的手機之間,或不斷播送有用信號,比如你的手機能夠自動接收和連結附近的WIFI網。

若想利用藍牙技術建立病毒暴露通知的app,開發人員可以給每人指定一個永久的辨識號碼,讓每隻手機用一個固定頻道播放信號,然後建立一個app來接受這些辨識號碼,讓手機保持一個近距離遇到其它手機的紀錄。這樣做顯然違反隱私權,因為你手機發射的信號附近所有的人都能閱讀。

怎樣繞過這個環節,做到無名交換呢?可以讓每個手機播放一長串獨特的隨機數字,這個隨機數字經常更換,附近其它器件接受到這些數字就存儲起來。這樣,藍牙不發送任何個人資料。

蘋果-谷歌遵循這個原則,但把這些隨機數字又加了密碼。每隻手機每天都生成一個獨特的追蹤鑰匙,而且保密。雖然這個追蹤鑰匙可以用來識別這個手機,從每天的追蹤鑰匙,別人卻無法用來找到這隻電話的永久號碼。每10到20分鐘,手機要生成一個新的滾動追蹤鑰匙號碼,看起來是個長長的隨機號碼,藉著藍牙器件發送渠道播放出去給附近的藍牙器件。

若有人知道自己感染了COVID-19,他可以揭示自己手機上前面14天的一長串每日滾動追蹤鑰匙號碼,其他人用來對照自己所接受記錄的近距離器件號碼,匹配的號碼就代表了可能的病毒暴露,卻不把患者辨識出來。

還有一些類似的報警方案,但蘋果和谷歌的手機操作系統常常更新,服務範圍遠超任何一個app能夠做到的。另外,他們提出的跨平台標準方案使用的是通用可兼容方法,允許其它現有的追蹤apps跟著借光。

蘋果-谷歌的病毒暴露通知系統很安全,但並不保證100%的準確性和隱私。這個系統可能會發出很多錯誤警報,因為接近一個受了感染的人未必代表病毒被傳染過來了。即使有很強的近距離紀錄,那些紀錄並不反映出手機之間是否有牆或窗戶或天花板。

這樣的系統是否就不會有駭客攻襲,利用這個系統來辨認人物了呢?理論上還是有可能的。雖然藍牙播放的信息可以把手機號碼保護起來,它還是有可能被追蹤。但無論如何,蘋果-谷歌的報警系統可能是個解決隱私保護問題的關鍵,比其它由中央政府或工業數據庫來辨識消息好多了。

我剛剛查看了一下自己的手機,在谷歌設置那裡有個開關,沒有打開。我如果想要得到通知就打開,有信息告訴我需要下載一個本地區的app。在加州,這個app的名稱是 CA Notify,你安裝時可以選擇不分享個人資料給當地衛生部門。

也就是說,無論你是否希望得到通知,你的手機都是定時發送這些隨機追蹤鑰匙的,而你的個人資料並沒有藏在這些隨機號碼中。

No comments:

Post a Comment