🌾 🚣🏿 👩‍🔧 ソーシャルトラッキングとハードウェアトークンについて 🛤️ 🙅🏽 👧🏾

パンデミックの間、欧州委員会は、プライバシー保護されたソーシャルコンタクトトラッキングトークンを開発する提案を私に求めました。これについては、Simmelプロジェクトページで読むことができます。そしてまもなく、シンガポールはTraceTogetherトークンの開発を発表しました。このイベントの一環として、私は彼らのソリューションのレビューに参加するよう招待されました..。COVID-19の状況の緊急性とサプライチェーンの作成の非常に複雑な状況により、滑走路に接触した航空機の着陸装置がある状況に陥ったという事実につながりました。多くのプライバシーとテクノロジーの懸念を考えると、状況はトリッキーであり、一連のツイートで捉えることができませんでした。そのため、私の印象を短いエッセイの形で説明します。TraceTogetherを1時間しか使用できなかったので、ほとんどの場合、このトークンを評価するコンテキストについて説明します。

ソーシャルコンタクトの追跡

考え方は簡単です。病気になった場合は、密接に連絡を取り合っている人を特定し、病気かどうかを確認する必要があります。十分に迅速に行われれば、COVID-19の普及を抑えることができ、社会の多くは正常に機能し続けるでしょう。

しかし、私が消化しようとした実装にはいくつかの微妙な点があります。ビビアン・バラクリシュナン博士、演技Smart Nation Initiativeの大臣は、会議で、AppleとGoogleによって開発された露出通知システムが「グラフ」を表示しなかったことを簡単に知らせました。疫学者が接触グラフを作成することがいかに重要であるかを理解するために、接触追跡シナリオを説明するためにいくつかの図を描きました。

最も単純なシナリオから始めましょう。

この図は2人の人物を示しています。初日、人1はすでに感染していますが、症状は軽度です。日中、彼は人2と接触しています。短いインキュベーション期間の後、人2は2日目の終わりに感染性になります。この間、彼には症状がない可能性があります。将来、彼はさらに2つ感染する可能性があります。この例は、Person 2が十分に早く隔離されれば、2つの新しい感染を防ぐことができることを示しています。

次に、連絡先の追跡を行わない、より複雑なシナリオを見てみましょう。ヒューマン1は、軽度または症状のないキャリアと見なし続けますが、同時に伝染性があります。これは、いわゆる「スーパーキャリア」です。

このグラフは、8人のタイムラインを示しています。人1は、数日間にわたって数人に感染する責任があります。人が感染するまでのインキュベーション期間は人によって異なりますのでご注意ください。さらに、感染性は症状を伴わない場合があります。

次に、連絡先の追跡を追加しましょう。

シナリオは同じですが、接触のトレースと分離という「プラトニックな理想」があります。人4は、4日目に症状を発症し、検査を行い、検査で陽性となります。彼とのすべての接触は隔離されており、彼の同僚や友人の何十人も将来感染を避けています。重要なことに、接触グラフ分析では、人4と人2の間の一般的な接触も明らかになり、それによって人1が元の無症候性の保因者として識別されます。

「連絡先追跡」と「連絡先通知」には若干の違いがあります。 AppleとGoogleの露出通知システムは、感染者の直接の連絡先のみを通知します。この微妙な点の重要性は、もともと「プライバシー保護連絡先追跡プロトコル」と呼ばれていたという事実によって示唆されていますが、4月に改名されました。

感染した連絡先への通知の制限をよりよく理解するために、別のシナリオを見てみましょう。これは前のものと似ていますが、グラフ全体を追跡する代わりに、症状のある最初の人、つまり人4の直接の連絡先にのみ通知します。

通知に限定すると、Person 1のように症状が軽度またはまったくないキャリアは、実際にはPerson 4をウイルスに感染させたのはPerson 1であったにもかかわらず、陽性と判定された人と接触したという誤解を招く通知を受け取ります。人1-気分は良いが伝染性-は、彼の環境全体がウイルスに感染しているという彼の驚きを除けば、いつものように生き続けるでしょう。したがって、一部の感染は回避できません。さらに、Person2はPerson4の直接連絡先通知リストに含まれていないため、Person2はPerson4に関連する非表示ノードです。

要するに、暴露通知システム自体は、感染の原因と結果の関係を決定することを許可していません。完全な接触グラフは、軽度または症状のないキャリアを特定するのに役立ちます。さらに、キャリアのかなりの割合が無症候性であることはすでに知られています。これらの人々は伝染性ですが、彼らは気分が良く、混雑した地下鉄の駅を訪れ、公共の場所で食事をします。シンガポールの状況では、無症候性の保因者は、感染者が日中に数人にしか接触できない米国のような人口密度の低い国とは対照的に、数時間ではなくても数日以内に数十の新しい感染症のクラスターを作成できます。

軽度の症状を持つスーパーキャリアを迅速に特定して分離することができなかったため、TraceTogetherデバイスの開発が促進されました。これにより、完全なグラフを作成して社会的接触を追跡できます。

プライバシーと連絡先の追跡について

もちろん、完全な連絡先トレースは、プライバシーに非常に深刻な影響を及ぼします。そして、この追跡がないことは、重大な潜在的な健康と生命のリスクをもたらします。プライバシーを侵害しない実証済みのソリューションがあります。自動回路ブレーカーのような高度なインターロックです。もちろん、これには追加のコストが必要です。

プライバシー、健康、経済の3つの要素のうち、選択できるのは2つだけです。このトピックについては活発な議論がありますが、これは記事の範囲を超えています。議論の観点から、連絡先トレースが実装されていると仮定しましょう。この場合、プライバシーの削減と公共政策の推進との間の妥協点を見つけることは、私たちのような技術者の責任です。

4月上旬、ショーンクロスと私にNLnetは、欧州委員会のNGIプログラムの代表者からアプローチを受け、プライバシーを維持しながら社会的接触を追跡するためのハードウェアトークンを開発することを提案しました。これが「シンメル」の誕生です。解決策は完璧ではありませんが、Simmelには依然として重要なプライバシー機能があります。

ユーザーデータの強力な分離。スマートフォンセンサーからの収集と一般化を無効にすることで、GPSデータやその他の地理的位置情報の漏洩のリスクを取り除きます。また、プライバシーに対するメタデータベースの攻撃を非常に困難にします。
. . , , . , .
. , . ( ).
. , , (, ).

なぜハードウェアソリューションなのか？

ソフトウェアソリューションには多くの利点がありませんか？

TraceTogetherチームは、シンガポールは低所得の市民とiPhoneユーザーにより良いサービスを提供するためにハードウェアトークンが必要であると述べました。前者はスマートフォンを購入する余裕がありませんが、後者は露出通知（完全な連絡先追跡を許可しない）などのApple承認のプロトコルしか使用できません。

Simmelのソリューションは、私がハードウェアトークンのファンであることを示していますが、プライバシーの観点からのみです。一般に、アプリやスマートフォンは人々のプライバシーを害します。彼女が本当にあなたを悩ませているなら、あなたのスマートフォンを家に置いておきなさい。以下は説明表です。赤い十字は、特定の使用シナリオにおける既知の潜在的なプライバシー違反を表しています。

追跡トークン（シンガポールが示唆しているように）は、当局があなたの場所と身元を特定するのに役立ちます。技術的には、これはトークンを医療施設に提出したときに発生します。ただし、当局は、トークンの動きをリアルタイムで記録するために、島に数万の受信機を配備する可能性があります。これは問題ですが、IMEIからWi-FiMACアドレスまでのさまざまな一意の暗号化されていない識別子を通常送信するスマートフォンと比較してください。これらの識別子はすべてデフォルトで匿名化されていないため、当局だけでなく誰でも使用して、あなたを識別し、あなたを見つけることができます。ただし、TraceTogetherの構築は、個人のプライバシーに対する「大規模なインフラストラクチャ」攻撃の観点から、現状に大きな影響を与えることはありません。

トークンが匿名化スキームを使用してIDを転送することが重要です。これにより、IDまたは位置データを第三者に開示することはできません。この情報は、当局のみが利用できます。 SafeEntryキオスクのスタッフにIDを渡す必要がある場合は、SafeEntryIDカードスキャナーと比較してください。従業員がカードをスキャンしてデータ（自宅の住所を含む）を読み取ることができるため、これは安全性の低いソリューションです。そのため、[場所]列と[ID]列に赤い十字が表示されます。

スマートフォンに戻ると、Facebook、Pokemon Go、Grab、TikTok、Mapsなどの「通常のアプリ」がほとんどの解像度でインストールされることがよくあります。このようなスマートフォンは、現在地、写真とビデオ、電話、マイクとアドレス帳からのデータ、およびNFCデータ（非接触支払いまたは情報転送に使用）をさまざまな企業に積極的かつ継続的に開示します。すべての企業がデータを「匿名化」することを誓っていますが、転送されるデータが多すぎるため、ほぼ1つのボタンを押して匿名化を解除するだけで十分です。..。さらに、ローカルサービスプロバイダーから合法的にデータを取得する世界中の政府の広範な権限のおかげで、データは世界中の諜報機関によって追跡されます。侵入者、悪用、またはデータを明らかにするように説得、だまし、または強制するように設計された偽のインターフェースに直面するという絶え間ないリスクは言うまでもありません。

あなたが非常に偏執的で、ほとんどの場合iPhoneで飛行機モードを合理的にオンにしているとしましょう。心配することは何もないと思いますか？あなたは間違っている。たとえば、このモードでも、iPhoneはGPSレシーバーとNFCを使用します。また、iPhoneのWi-Fiアクティビティにランダムで原因不明のスパイクがあることもわかりました。

一般に、ハードウェアトークンがアプリケーションよりもプライバシーを保護するという事実に賛成して、次の主な議論をすることができます。

異なるセンサーからのデータの収集と一般化はありません

トークンによって収集されるデータは、スマートフォンのようにさまざまなセンサーからの情報を要約できないという事実によって厳しく制限されています。また、このデバイスを使用したのは1時間だけでしたが、TraceTogetherには、必要なBluetooth低エネルギー（BLE）送信機以外の機能はほとんどないことを確信できます。どこで手に入れたの？それはすべて物理学と経済学についてです：

: , . , , ? , , BLE.
: , . , , . .

TraceTogether 1000mAhバッテリー。スマートフォンのバッテリーの容量は約3倍で、毎日充電する必要があります。

当局は、個々に選択された人々を追跡するために、任意の値の限られた数の「特別な」トークンを常に準備できるため、財政的な議論は物理的な議論よりも弱いです。ただし、この場合、物理学が役割を果たします。開発に当局が投資した金額が物理学の法則に違反することはありません。シンガポールがこのフォームファクターで数ヶ月間スマートフォンセンサーに電力を供給する大容量バッテリーを開発できれば、たとえば、世界は完全に異なります。

社会的接触統計に関する市民のヘゲモニー

TraceTogetherの最終バージョンでBLEを使用したデータの読み取りが許可されていないと仮定した場合（将来のハッカソンでこれを確認することを願っています）、少なくとも誰かに転送するまで、市民は連絡先統計の絶対的な所有権を持ちます。

したがって、当局は、おそらく意図せずに、TraceTogetherシステムに抵抗するように人々を促しています。人はいつでもトークンを壊して「ログアウト」することができます（ただし、最初にバッテリーを抜くだけです。そうしないと、アパートが焼けてしまいます）。より慎重に行動して「自宅でバッジを忘れる」か、金属化された封筒に入れて信号をブロックします。トークンの物理的な実施形態はまた、パンデミックが制御下に置かれた後、トークンの破壊は、アプリケーションとは異なり、トークン上のデータの破壊も意味することを意味します。実際、ソフトウェアをアンインストールすると、アイコンが画面から消えて、一部のデータファイルがデバイスの腸に残ることがよくあります。

言い換えれば、トークンの物理的な実装は、プライバシーに関する真剣な議論が、社会的接触に関するデータの収集と並行して実行できることを意味します。今日、TraceTogetherのメリットについて確信が持てない場合でも、トークンを着用すると、データ抽出のためにトークンを提出するように求められるまで、当局を信頼するかどうかの最終決定を延期できます。

当局が島でBLE受信機を使用していることが判明した場合、または疑わしいデバイスの奇妙なトークンが見つかった場合、人々はトークンをまとめて取り除き始めるため、政府は人々の信頼だけでなく、完全な連絡先トレースグラフへのアクセスも失うリスクがあります。これにより、たとえ私たち全員が連絡先追跡データを収集したとしても、政府がその社会的契約について責任を負うことができ、また責任を負うことができる一定の権力のバランスが回復します。

次のステップ

TraceTogetherトークンの独立したレビューを行うように依頼されたとき、私は何も隠さないだろうと答えました-そして驚いたことに、彼らはまだ私を会議に招待しました。

この記事では、トークンを評価するコンテキストについて説明します。曝露通知機能は、ウイルスの無症候性キャリアを分離するのに十分ではなく、完全な接触追跡グラフがこの問題の解決に役立ちます。

幸いなことに、ハードウェアトークンは、データ収集を改善しながらプライバシーに関する議論を継続するためのより安全な機会を表しています。最終的に、ハードウェアトークンシステムの展開は市民自身に依存するため、パンデミック中に国益を保護するために、当局は私たちの信頼を維持または獲得する必要があります。

ソーシャルトラッキングとハードウェアトークンについて