Apple и Google развивают Уведомление об экспозиции для повышения конфиденциальности и улучшения шифрования

Apple и Google уточнили технические детали, связанные с совместными усилиями по уведомлению о воздействии COVID-19. Пара выпустила не только FAQ для потребителей, но также обновила криптографию, связь Bluetooth и API-инфраструктуру для разработчиков.

Одним из методов, помогающих обуздать распространение пандемии коронавируса, является отслеживание контактов, которое также называется уведомлением о воздействии, которое информирует пользователей о возможном контакте с зараженным человеком. Apple и Google объединились 10 апреля, чтобы разработать совместный стандарт для ускорения принятия и совместимости.

Несмотря на то, что обе компании подчеркивают, что конфиденциальность будет защищена, план вызвал обеспокоенность в США, а также в органах ЕС. В пятницу утром Google и Apple сделали совместное объявление об изменениях, которые они сделали, а также о дальнейшей детализации и усилении технических аспектов протокола.

Использование Bluetooth в отслеживании контактов COVID-19

Пара внесла ряд изменений в протокол для связи устройств. В последней редакции указывается уровень мощности передаваемого сигнала Bluetooth на телефон зараженного пользователя. Это может использоваться в сочетании с уже имеющимися данными об уровне сигнала для более точной оценки расстояния между двумя телефонами.

Разработчики могут указать пороговые значения мощности и продолжительности сигнала для запуска события воздействия. Например, два телефона могут подключаться, пока они находятся на стоп-сигнале. Вероятность воздействия в этом случае низка, если предположить, что окна закрыты, так что это может быть либо передано пользователю, либо отклонено кодом.

Максимальная сообщаемая длительность сигнала Bluetooth ограничена 30 минутами, чтобы защитить конфиденциальность зараженного человека.

Шифрование в уведомлении об экспозиции Apple и Google

Ранее при отслеживании контрактов использовалось шифрование HMAC. Пятничное обновление технологии изменяет это на AES, что позволяет использовать аппаратное ускорение шифрования AES, которое уже присутствует на многих устройствах.

Apple отмечает, что тестирование доказало, что AES работает лучше в этом конкретном применении этой технологии. Обе компании отмечают, что это изменение поможет смягчить влияние на производительность, которое они наблюдали и при шифровании HMAC.

Кроме того, использование временных ключей трассировки теперь генерируется случайным образом, а не выводится. Это затрудняет злоумышленникам перепроектировать, как получены ключи.

Метаданные, как и вышеупомянутая широковещательная мощность Bluetooth, также будут зашифрованы. Это значительно усложнит разработку пользовательских «отпечатков пальцев».

Как работает система уведомлений от Apple

Другие изменения в усилии

Apple также отмечает, что структура отслеживает людей, с которыми вы общались в течение предыдущих 14 дней. Это не отслеживает после того, как человек регистрируется как COVID-19 положительный.

Версия приложения также может сказать пользователю, сколько времени прошло с момента последнего воздействия. Это также может помочь в информировании пользователя о том, когда могут возникнуть симптомы.

И теперь приложение может очистить полную историю информации, хранящейся на телефоне, связанной с уведомлением о воздействии по запросу пользователя. Однако не ясно, относится ли это к телефону, принадлежащему кому-то, кто положительно относится к COVID-19.

Часто задаваемые вопросы потребителей для уведомления о подверженности

Часто задаваемые вопросы подробно описывают, как система работает для пользователей, и как часто она обновляется. То, что не было ясно прежде, это как часто данные обновляются.

Система обновляет данные «не реже одного раза в день», загружая список временных ключей трассировки, которые были подтверждены как ассоциированные с пользователями, положительными для COVID-19. Эти данные получены из того, что Apple называет «соответствующим органом общественного здравоохранения».

Сравнение загруженных данных с контактами выполняется на устройстве. Если есть совпадение между маяками, пользователь будет уведомлен и уведомлен о шагах.

Apple также проясняет, как система развернется. Apple и Google сделают API доступными в мае, что позволит разрабатывать приложения от органов здравоохранения.

На втором этапе эта возможность будет интегрирована в операционные системы Android и iOS. После установки обновления пользователь должен зарегистрироваться в системе. После регистрации устройство будет прослушивать маяки Bluetooth и не будет требовать установки приложения для этого.

Если совпадение обнаружено, пользователь будет уведомлен операционной системой. Затем пользователю будет предложено загрузить официальное приложение, прежде чем ему сообщат о последующих действиях.

Кроме того, возможно, в ответ на озабоченность исследователей в области безопасности в сочетании с правительственными запросами и требованиями об ответственности, Apple разработала подробные конкретные шаги, которые система защищает конфиденциальность пользователей, безопасность и место хранения данных.

Конкретные меры, предпринимаемые Apple и системой оповещения об экспозиции Google для защиты конфиденциальности и безопасности

Пользователи должны зарегистрироваться в системе
Пользователи могут отключить систему в любое время
Система не собирает данные о местоположении
Личности пользователей не передаются другим
Идентификаторы радиобуев вращаются от 10 до 20 минут, чтобы предотвратить отслеживание
Данные уведомления о воздействии являются локальными для устройства и не передаются или загружаются
Apple и Google могут отключить систему на региональной основе, когда она больше не нужна
Доступ к технологической платформе будет предоставляться только органам здравоохранения

Apple и Google выпустили предварительные спецификации базовой технологии 10 апреля. Доступная документация включает спецификацию Bluetooth, которая будет использоваться для отслеживания распространения, спецификацию криптографии и API-интерфейс платформы. Apple отмечает, что трио документов могут быть изменены и расширены.

«Конфиденциальность, прозрачность и согласие имеют первостепенное значение в этих усилиях, и мы рассчитываем на создание этой функциональности в консультации с заинтересованными сторонами», — заявили Apple и Google во время первоначального выпуска. «Мы будем открыто публиковать информацию о нашей работе для анализа другими».

Apple уже сотрудничает с CDC для предоставления общедоступного приложения iOS для COVID-19, которое содержит рекомендации по проверке симптомов и советы по уходу за собой. Приложение доступно по всей территории США, и большинство его рекомендаций предназначено для пользователей во всех штатах. Тем не менее, Apple также добавила разделы по конкретным штатам, которые предоставляют доступ к страницам коронавируса их региональных отделов здравоохранения.

Существующее приложение Apple COVID-19 без отслеживания контактов доступно для iPhone и iPad. Это приложение представляет собой совет для пользователей по таким вопросам, как обнаружение симптомов, и эта же информация также доступна отдельно на веб-сайте Apple COVID-19, который также регулярно обновляется.

Соцсети