早在新冠肺炎疫情爆发之初,欧盟委员会就委托我开发一种保护隐私的联系人追踪令牌,您可以在SIMMEL项目的主页上阅读更多有关该令牌的信息。最近,新加坡宣布部署TraceTogether令牌。作为他们发布的一部分,我被邀请参加对他们的解决方案的审查。新冠肺炎的紧迫性和供应链建设的根本挑战意味着,我们现在处于飞机滚下跑道时用螺栓固定轮子的位置。与许多涉及隐私和技术的问题一样,这是一个复杂而微妙的情况,不容易被消化为一系列推文。因此,在接下来的几周里,我希望以短文的形式向你们提供我的见解,我将把它们张贴在这里。
由于到目前为止我只花了一个小时使用TraceTogether令牌,因此我将在本文的大部分时间里设置我将用来评估令牌的背景知识。
接触者跟踪背后的基本思想很简单:如果您生病了,识别您的亲密接触者,并对他们进行测试,看看他们是否也生病了。如果你做得足够快,你就可以遏制新冠肺炎,社会上的大多数人都会继续正常运作。
然而,从实现的角度来看,我很难理解一些微妙之处。负责智能国家倡议的部长Vivian Balakrishnan博士在周五的会议上简短地表示,苹果/谷歌曝光通知系统没有显示出“图表”。为了帮助自己理解提取接触者图的流行病学意义,我画了一些图表来说明接触者追踪场景。
在上面的图表中,显示了两个人,人1和人2。我们从第一天开始,人1已经具有传染性,但只有轻微的症状。人1在中午时分与人2联系。然后,2号人将病毒孵化一天,并在第2天晚些时候变得具有传染性。2号人此时可能没有任何症状。在未来的某个日期,人2会感染另外两个人。在这个简单的例子中,很容易看出,如果我们能够足够早地隔离2号人,我们可以防止未来至少两次接触病毒。
现在我们来看一个更复杂的新冠肺炎传播场景,没有接触追踪。让我们继续假设1号人是一名携带者,症状轻微或没有症状,但具有传染性:即所谓的“超级传播者”。
上图描绘了8个人在五天内的时间线,没有接触者追踪。在几天的时间里,第一人对几个人的感染负有最终责任。观察到每个人的潜伏期并不相同;每个人孵化病毒并变得具有传染性所需的时间是不同的。此外,症状的出现与传染性没有很强的相关性。
上图说明了与前面相同的场景,但是使用了接触追踪和隔离的“柏拉图式的理想”。在这种情况下,4号人出现症状,寻求检测,并在第4天早些时候被确认为阳性;他们的接触者被隔离,数十名同事和朋友免于未来感染。值得注意的是,挖掘联系人图还允许人们发现4号人和2号人的共享联系人,从而揭示1号人是最初的无症状携带者。
“接触者追踪”和“接触者通知”之间有微妙的区别。苹果/谷歌的“暴露通知”系统只向感染者的直接接触者发出通知。这一微妙之处的意义在于,该协议最初被命名为“隐私保护接触者追踪协议”,但在4月下旬更名为更准确的描述“暴露通知”。
为了更好地理解暴露通知的局限性,让我们考虑与上面相同的场景,但我们不是跟踪整个图表,而是只通知第一个显示特定症状的人的直接接触者-即人4。
有了暴露通知,像1号人这样症状轻微或没有症状的携带者会收到误导性的通知,说他们接触的是新冠肺炎检测呈阳性的人,而实际上1号人把新冠肺炎传染给了4号人。在这种情况下,1号人--感觉还好,但实际上是有传染性的--将继续他们的日常生活,除了好奇,他们周围的每个人似乎都检测出新冠肺炎阳性。因此,一些持续感染是不可避免的。此外,人2是人4的隐藏节点,因为人2不在人4的即时通知联系人集中。
简而言之,仅靠暴露通知不能确定感染的因果关系。另一方面,完整的接触“曲线图”可以发现有轻微症状或没有症状的携带者。此外,众所周知,很大一部分新冠肺炎感染者在很长一段时间内都表现出轻微的症状或没有症状-这些并不是“罕见”的事件。这些人是有传染性的,但他们足够健康,可以轻快地穿过拥挤的地铁站,在小贩摊位上吃饭。因此,在新加坡的“当地环境”中,没有症状的携带者可以在几天(如果不是几个小时)内播种几十个集群,这与美国等人口密度较低的国家不同,在美国,有传染性的人在任何一天都可能只与少数人接触。
无法快速识别和隔离轻微症状的超级传播者推动了本地TraceTogether解决方案的开发,该解决方案释放了“全图”接触追踪的潜力。
当然,全图接触追踪对隐私的影响是深远的。同样深刻的是,如果没有全图接触者追踪,潜在的健康风险和生命损失也是深远的。还有一个成熟的解决方案可以在不牺牲隐私的情况下遏制新冠肺炎:延长断路器式的封锁。当然,这是以经济为代价的。
在隐私、健康或经济这三个要素中,我们似乎只能选择两个。关于我们应该优先考虑哪两个,还有一个单独而重要的辩论,但这超出了本文的上下文。出于本讨论的目的,我们假设将实现联系人跟踪。在这种情况下,像我们这样的技术专家有责任尝试并提出一个折衷方案,在促进公共政策的同时减轻对隐私的影响。
早在4月初,欧盟委员会(European Commission)的NGI项目通过NLnet与我和肖恩·克罗斯(Sean‘xobs’Cross)联系,提议一个保护隐私的联系人追踪硬件令牌。由此产生的提案被称为“Simmel”。虽然并不完美,但Simmel的显著隐私功能包括:
强隔离用户数据。通过不允许传感器与智能手机融合,GPS或其他地理位置数据泄露的风险为零。对用户隐私进行基于元数据的攻击也要困难得多。
公民们牢牢地控制着局势。用户是其联系数据的物理保管者;在他们通过交出物理令牌向权威机构自愿提供数据之前,不涉及第三方服务器。这意味着在极端情况下,用户可以选择物理销毁其令牌以擦除其历史记录。
公民可以暂时选择退出。只需拧下令牌的盖子,用户就可以随时关闭令牌的电源,从而在他们的跟踪数据中创建一个间隙(注意:第一个原型中不存在此功能)。
随机化的广播数据。这是一个协议级功能,我们推荐它来阻止第三方(可能是广告公司或敌对政府)利用该协议聚合用户位置以获取商业或战略利益的能力。
但是为什么是硬件令牌呢?一款应用程序不就是在很多方面更好吗?
在我们周五的会议上,TraceTogether令牌团队表示,新加坡需要硬件令牌来更好地服务于两个群体:弱势群体和iPhone用户。弱势群体买不起智能手机;iPhone用户只能运行苹果批准的协议,比如他们的暴露通知服务(不能全面追踪联系人)。换句话说,iPhone用户和弱势群体一样,也没有智能手机;相反,他们买的手机只能用于苹果批准的活动。
我们的Simmel提案清楚地表明,我是硬件令牌的粉丝,但出于隐私的原因。事实证明,应用程序,以及一般的智能手机,都不利于用户隐私。如果你真的关心隐私,你就会把智能手机留在家里。下表有助于说明这一点。红色X表示给定设备方案的已知貌似合理的侵犯隐私行为。
追踪令牌(由新加坡提出)可以向政府透露您的位置和身份。名义上,这发生在您向卫生当局交出令牌的时候。然而,理论上,政府可以在全岛部署数以万计的TraceTogether接收器,实时记录你的令牌的移动情况。虽然这有问题,但将其与您的智能手机进行比较是有意义的,您的智能手机通常会广播一系列唯一的未加密ID,从IMEI到wifi MAC地址。因为智能手机的标识符在默认情况下不是匿名的,所以任何人-不仅仅是政府-都有可能使用它们来识别您和您的大致位置。因此,不管是好是坏,TraceTogether令牌的设计并不会有意义地改变“大型基础设施”攻击个人隐私的现状。
值得注意的是,跟踪令牌对广播ID采用了匿名方案,因此它应该不能向第三方透露有关您的位置或身份的任何信息-只能向政府透露。这与SafeEntry身份证扫描仪形成对比,在SafeEntry身份证扫描仪中,您可以将身份证交给SafeEntry售货亭的工作人员。这可以说是一个不太安全的解决方案,因为工作人员有机会在扫描您的身份证时读取您的私人详细信息(包括您的家庭地址),因此“位置”和“身份”下面的框是红色的。
回到智能手机上,“典型的应用程序”--比如Facebook、精灵宝可梦Go、Grab、TikTok、地图--通常在安装时都启用了大部分权限。这样的电话会主动和例行地将您的位置、媒体、电话、麦克风、联系人和NFC(用于非接触式支付和内容传输)数据泄露给各种提供商。虽然每个提供商都声称要“匿名”您的数据,但众所周知,发布的数据如此之多,实际上只需按一下按钮就可以将这些数据去匿名。此外,您的数据受到其他几个国家政府的监视,这要归功于世界各国政府从当地服务提供商那里合法提取数据的广泛权力。更不用说恶意行为者、利用或欺骗性UI技术来说服、欺骗或强迫您泄露数据的风险无处不在。
比方说,你相当偏执,而且你大部分时间都很聪明地把iPhone调到飞行模式。没什么好担心的,对吧?不对。例如,在飞行模式下,iPhone仍然运行其GPS接收器和NFC。我对iPhone进行的一项独立分析也显示,WiFi界面上偶尔会出现一些无法解释的闪光点。
综上所述,以下是硬件令牌比应用程序提供更强隐私保护的核心论据:
硬件令牌显示的数据受到无法与类似智能手机的传感器套件执行“传感器融合”的强烈限制。尽管我只花了一个小时使用这款设备,但我可以高度自信地说,TraceTogether令牌除了必备的BLE无线电之外几乎没有任何功能。为甚麽我要这样说呢?因为物理学和经济学:
·物理:更多的无线电和传感器会消耗更多的电力。有没有注意到,如果启用了定位服务,手机的电池续航时间就会缩短?如果令牌要在这么小的电池上持续几个月,那么除了宣传的BLE功能之外,根本没有足够的电力可用来运行更多的功能。·经济:更多的电子产品意味着更高的成本。公开披露的投标报价将零部件的价值上限定为20新元,基本上必须低于这一上限,因为生产商还必须从招标中承担开发成本。在这个经济的范围内,几乎没有多余的传感器或无线电的空间。
上图:TraceTogether令牌中使用的电池。它的容量为1000mAh。你智能手机的电池容量大约是这个的3倍,需要每天充电。
经济学的论据比物理学的论据要弱,因为政府总是可以准备有限数量的“特殊”代币,以任意的成本追踪选定的个人。然而,物理学的论点仍然成立-政府投入的任何资金都不能违反物理学定律。如果新加坡能够开发出一种可批量生产的电池,可以为这种外形的智能手机传感器套件供电数月-那么,我们只能说,世界将是一个非常不同的地方。
假设最终的TraceTogether令牌不提供将蓝牙低能量(BLE)无线电重新用于数据读出的方法(这是我们希望在未来的黑客马拉松中确认的),公民对他们的联系人历史数据拥有绝对的霸权,至少在他们在联系人追踪事件中交出这些数据之前是这样。
因此,也许是无意中,政府授权公民反抗TraceTogether系统:人们总是可以粉碎他们的令牌,并“选择退出”该系统(但请先取下电池,否则你可能会烧毁你的公寓)。或者更巧妙的是,你可以“把你的代币忘在家里”,或者把它放在金属袋里用来屏蔽它的信号。令牌的物理体现还意味着,一旦新冠肺炎疫情得到控制,销毁令牌肯定会销毁其中的数据-与应用程序不同,在应用程序中,卸载应用程序太频繁只是意味着从屏幕上删除一个图标,但一些数据仍然以文件的形式保留在设备上的某个地方。
换句话说,物理令牌意味着关于隐私的认真对话可以在收集接触者跟踪数据的同时继续进行。因此,即使您现在不确定TraceTogether的好处,携带令牌也可以将是否信任政府的最终决定推迟到要求您交出令牌以提取接触痕迹的时候。
如果政府被发现在岛上散布BLE接收器,或者发现一个包含可疑电路的错误令牌,政府将不仅失去人民的信任,而且随着公民和居民集体处置令牌,政府还将失去对全图联系人追踪的机会。这恢复了一定的权力平衡,政府可以而且将对其社会契约负责,即使我们作为一个整体收集了接触者追踪数据。
当我被要求独立审查TraceTogether令牌时,我告诉政府我不会打任何拳头-令人惊讶的是,他们仍然邀请我参加上周五的介绍会。
这篇文章框定了我将用来评估令牌的上下文。“暴露通知”不足以隔离新冠肺炎的轻度症状携带者,而“全图”接触者追踪可能会在解决这个问题上取得一些进展。好消息是,引入实物硬件令牌提供了一个更安全的机会来继续关于隐私的辩论,同时改善接触者追踪数据的收集。归根结底,硬件令牌系统的部署依赖于公民的遵守,因此,在整个流行病期间保持或赢得我们的信任,以管理我们国家的最佳利益,这取决于我们的政府。
我期待着未来的黑客松,在那里我们可以真正挖掘TraceTogether令牌内部运行的内容。在此之前,请注意安全,尽可能呆在家里,必须外出时,戴上口罩!