ZostanZdravy + NCZI contact tracing

Contact-tracing appka ZostanZdravy, ktora je odporucana aj na webe korona.gov.sk a bezi momentalne pod NCZI, ma extremne slabu ochranu sukromia a velmi naivny protokol.

  • Kazde zariadenie ma jeden staticky identifikator ktory broadcastuje na BLE.
  • Kazde zariadenie pravidelne odosle vsetky identifikatory ktore videlo (a kedy ich videlo, aj ked toto sa uz s novou verziou zmenilo) na centralny server.

Toto teda poskytuje centralnej autorite kompletny graf kontaktov vsetkych osob ktore to pouzivaju, este aj s dlzkou kontaktu. Uplne nepotrebne mnozstvo dat ktore sa tam niekde hromadi.

Zdrojaky su nastastie verejne:

Autori nevyzeraju ze by toto narusanie sukromia brali dostatocne vazne:

Tu je joint-statement viac ako 300+ vedcov zo security & privacy oblasti ktori ziadaju zodpovedne vytvaranie contact-tracing aplikacii a minimalizovanie dat ktore vytvaraju:
https://www.esat.kuleuven.be/cosic/sites/contact-tracing-joint-statement/

Uz momentalne existuju mature protokoly na contact-tracing ktore zachovavaju sukromie: DP-3T ktore maju aj open-source Android + iOS SDK s otvorenym backendom. Je za tym silny background ludi ktory su v security & privacy uz dlho.

Chcel by som tento protokol potlacit do tejto appky a do toho co bezi u NCZI (autori sa zaroven stazuju, ze nasadenie niecoho takehoto na NCZI bude zase trvat mesiace). Ako na to? Nemam cas na to implementovat to cele sam, zaroven nevidim do poziadavok NCZI a nemam sajnu co kto, kedy, kde mergne alebo nie.

1 Like

Nebolo by lepsie implementovat Apple/Google framework ktory uz terstuju a bude k dispozicii uz v maji? :thinking:

Na DP-3T uz bezi viacero testov:


a SDK aj beta appka je ready.

Navyse, DP-3T sa da chapat ako extension Apple/Google pristupu, ktora ma lepsie vlastnosti: https://github.com/DP-3T/documents#apple-and-google-proposal

1 Like

Podla tej diskusie na githube vyzera, ze na tom naopak pracuju.

Kedze Sygic na tom zacal makat a vlastne to spravil skor ako boli nejake prve zmienky o decentralizovanom contact tracingu, tak je tato geneza pochopitelna.

2 Likes

Info o podobnej appke z Anglicka(ktora ma este mozno trochu lepsie vlastnosti ako ta Slovenska) a jej kritika od Kennyho.

3 Likes

Spravil som podrobnejsiu analyzu vsetkych issues v momentalnej verzii systemu:
https://neuromancer.sk/article/22

Okrem odosielania celeho grafu kontaktov na server je tam aj jeden utok.

1 Like

Oprav ma ak sa mýlim, ale Apple/Google má prístup k private APIs a funkcionalite, ktorú žiaden iný framework nemôže “extendovat”, či? :thinking: Proste buď to vyriešiš cez app + Apple/Google API, alebo vlastné riešenie (a la Francúzsko), ktoré je ale funkcionalitou a ochranou súkromia úplne v praveku.

Jediný problém ktorý private APIs riešia lepšie ako môže riešiť appka je broadcastovanie BLE správ v iOS keď je appka v backgrounde, kde prísne iOS nastavenia nedovoľujú takú aktivitu a môže to byť len pasívne. Toto obmedzienie Apple API dovolí obísť tým že sa bude používať práve to exposure-notification API. Možno ešte môžu robiť zopár vecí ohľadom BLE broadcastovania lepšie voči batérii, anonymite tých broadcastov na nižšej vrstve atď. ale sú to detaily.

Ako “extension” som to myslel na úrovni protokolu (teda dokumenty BLE-spec a crypto-spec), ktorý je definovaný ako nejaké zariadenia ktoré si vymieňajú BLE správy, ktoré majú nejaký obsah a potom je tam nejaký server ktorý funguje ako sprostredkovateľ a tie zariadenia komunikujú aj s ním. Na tejto úrovni je DP-3T extension Google/Apple protokolu, respektíve Google/Apple protokol je veľmi podobný jednej skoršej verzii DP-3T, a teda má podobné vlastnosti až na vlastnosti ktoré DP-3T pridalo odvtedy.

2 Likes

Čo si myslíte o tomto?

Štátna aplikácia proti koronavírusu je veľká katastrofa, mala by sa pozastaviť

Články z DSL som videl, ale neoveroval som claimy ktoré majú (bug s počítaním profileID z BLE správy v prvom článku a bug s vymazávaním dĺžky a času kontaktu v druhom článku), kritika z pohľadu súkromia je však určite na mieste.

https://www.ft.com/content/446df516-4ec5-4c06-b39f-dd89ea5f6f0b

Podobné problémy v UK.

Kde je zmluva so Sygic na tento systém?
ako sa dostali k dátam od ľudí?
koľko to bude stáť?

chýba transparentnosť pre takéto závažné štátne aplikácie, či??

celé technické riešenie je zjavne hotové, viď príloha k zmluve s operátormi:
https://www.crz.gov.sk/index.php?ID=4623078&l=sk
https://www.crz.gov.sk/index.php?ID=4622462&l=sk
https://www.crz.gov.sk/index.php?ID=4620897&l=sk
https://www.crz.gov.sk/index.php?ID=4623165&l=sk

1 Like

Zmluva pravdepodobne neexistuje, Sygic systém vyvinul dobrovoľne a potom ho pod NCZI/ÚVZ posunul.
K dátam od ľudí sa dostanú tak, že si ľudia ich aplikáciu nainštalujú, to je celé, je to Bluetooth-based contact-tracing appka.
Stáť to nebude asi nič? Sygic vyvíja (zatiaľ) dobrovoľne.

Každopádne transparentnosť a hlavne nejaké dobré riadenie tomu chýba neskutočne. V čloanku: https://dennikn.sk/1882438/statnu-karantenu-ma-nahradit-mobilna-aplikacia-este-sa-vsak-nevie-kedy-a-ako/ sa píše ešte aj o štátnej karanténe pomocou GPS a tvárovej biometriky, čo je už úplne mimo a nebude fungovať.

Prílohy sú super a poskytujú zaujímavé info o plánovanej spolupráci s operátormi, toto ale nesúvisí priamo s contact-tracing aplikáciou. Ide o systém, ktorý bude fungovať paralelne na výpomoc manuálnemu contact-tracingu, kedy si po súhlase infikovanej osoby NCZI vyžiada od operátorov 14 denný log lokácii danej osoby (s periodicitou 6h) a využijú ho aby osobe pripomenuli kde a s kým bola. Zabezpečené to vyzerá docela fajn, exchange dát cez SFTP nieje žiadne terno, ale je to asi najrýchlejšie čo vedeli vymyslieť, je tam šfrovanie aj autentizácia cez pubkeys, ktoré si vymenia offline, tak snáď fajn, až na pár preklepov o tom kto čo robí s ktorým kľúčom (s verejným kľúčom sa ťažko podpisuje :smiley: ).

Vkladám dôveru do Jana H., verím že princípy ktoré obhajoval a presadzoval v mene s.d, obháji a presadí aj ako poradca pani Remišovej.

2 Likes

Vieme prosím, kde to beží? kde sú tie dáta? v Sygicu?

Azure, neviem kto ma pristupy, NCZI/ÚVZ urcite, Sygic mozno. Z právneho hladiska to prevadzkuje ÚVZ (viď privacy policy). Architektura je tu.

Budes ho tu musiet aspon oznacit, aby si tuto temu vsimol. @janhargas

A mozno by tiez pomohlo byt konkretnejsi, aby si nebol sklamany.