Europa debate rastreamento de contatos da COVID-19 que respeita a Política de Privacidade

Neste fim de semana, o Google e a Apple anunciaram uma parceria massiva contra o coronavírus. Nos próximos meses, eles vão lançaratualizações para seus sistemas operacionais para habilitar o “rastreamento de contato” – o processo de identificar portadores do coronavírus para que eles possam ser isolados da população saudável. O sistema rastreará com quem você entra em contato, gravando quando seu Bluetooth se conecta a outros dispositivos NEAR a você.

O rastreamento de contatos precede o Google e a Apple, é claro. Durante a crise do Ebola de 2014-16 na África Ocidental, a Organização Mundial da Saúde realizou extensas entrevistas no local com pessoas sobre onde elas foram e com quem entraram em contato. Essas pessoas foram então instruídas a observar os sintomas e a se colocarem em quarentena conforme necessário.

Cada país afetado pelo coronavírus está agora adotando sua própria versão de rastreamento de contato e quase todos estão se tornando digitais, alavancando os smartphones nos bolsos das pessoas por meio de Bluetooth ou dados de geolocalização. A maneira como eles fazem isso reflete as leis e normas locais em torno do uso de dados pessoais e os direitos das pessoas à Política de Privacidade. Por exemplo, o rastreamento de contato na União Europeia deve estar em conformidade com a lei de Política de Privacidade da UE, o GDPR, que dá aos europeus mais controle sobre seus dados do que os americanos têm atualmente.

Veja também:O Zoom tem problemas de Política de Privacidade . Aqui estão algumas alternativas

O Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT)https://www.pepp-pt.org/, um consórcio de mais de 130 organizações de investigação de oito países, está a elaborar uma variedade de propostas diferentes para o rastreio de contactos, incluindo aRastreamento de proximidade descentralizado com preservação de privacidade (DP-3T) iniciativa apoiada por 25 pesquisadores acadêmicos. O PEPP-PT poderia oferecer um modelo para proteger a Política de Privacidade enquanto realiza a vigilância necessária da doença, eles argumentam.

“Este sistema é muito bom porque T vaza”, diz Claudia Diaz, professora associada e pesquisadora da Katholieke Universiteit Leuven e cientista-chefe da Nym, uma protocolo de código aberto, descentralizado e sem permissão.“É muito difícil extrair qualquer informação significativa do que é visível, porque há apenas algumas chaves aleatórias e ninguém consegue entender essas chaves a menos que você interaja com essa pessoa.”

O debate da Europa sobre como realizar o rastreamento de contatos delineia as questões que os EUA precisarão responder com seu próprio sistema de rastreamento de contatos. Elas incluem como KEEP os IDs Bluetooth dos usuários verdadeiramente anônimos, como proteger o upload de dados Bluetooth para servidores e como uma abordagem de sistema aberto e descentralizada pode parecer.

A proposta DP-3T

DP-3T é como o de Cingapuraaplicativo nacional TraceTogether, que monitora a troca de sinais Bluetooth com outros usuários do aplicativo. Se indivíduos forem diagnosticados com coronavírus, eles podem escolher permitir que o governo acesse seu aplicativo e veja quais outros telefones estavam NEAR deles, ou com os quais cruzaram, e alerte esses indivíduos. O sistema cria uma ID aleatória para os números de telefone das pessoas, que são trocados entre os telefones, em vez do número de telefone real de alguém.

O DP-3T processa os dados de rastreamento de contato localmente no dispositivo do usuário. Então, quando uma pessoa é oficialmente diagnosticada com coronavírus, uma agência de saúde autoriza o upload de um registro de contatos Bluetooth, cada um atribuído a um ID aleatório que muda regularmente. Ele então envia esses IDs Bluetooth de uma pessoa infectada para outros dispositivos, para ver se houve um cruzamento dentro de seu próprio registro de contatos Bluetooth e, em seguida, alerta o usuário do dispositivo se houve contato.

Por meio desse design, os IDs aleatórios T precisam ser centralizados de forma alguma, o que limita os riscos de Política de Privacidade , bem como a potencial reapropriação de dados para outros propósitos, como vigilância estatal, dizem os pesquisadores. O design encorajaria a confiança nos aplicativos criados no protocolo, tornando-os mais propensos a serem baixados e, portanto, mais eficazes, eles argumentam.

Uma abordagem centralizada aumenta o risco de abuso por parte de um agente nefasto.

“Com a abordagem que nossa equipe está explorando, você não carregaria todos os seus códigos observados em um banco de dados central, mas a chave para gerar os códigos seria colocada em um banco de dados que seria enviado a todos os telefones”, disse Bart Preneel, professor de criptografia na Katholieke Universiteit Leuven, que está trabalhando no projeto DP-PPT e é consultor da Nym.

Os códigos aleatórios que seu telefone coleta T dão informações de localização, ou qualquer outra informação além de quais outros códigos você estava próximo. “As chaves de pessoas infectadas seriam enviadas para todos os telefones, e com essa chave, cada smartphone pode ter um algoritmo para detectar se sim, um código com o qual eles entraram em contato corresponde a essa chave. E isso, acreditamos, é maximamente privado”, diz Preneel.

De acordo com Diaz, redes centralizadas incluem inerentemente vulnerabilidades de Política de Privacidade . Por exemplo, quando alguém carrega dados, como um ID Bluetooth, para um servidor backend, isso pode corresponder a eles alertando as autoridades de saúde de que foram infectados. Observar esse tráfego de metadados em um nível de rede significa que uma pessoa pode ser potencialmente identificada, embora T seja fácil.

Veja também:Defensores da Política de Privacidade estão soando alarmes sobre vigilância do coronavírus

“O backend que está recebendo essas informações seria capaz de ver o endereço IP”, diz Diaz. “Então, o endereço IP da minha casa é o endereço IP do qual eu envio essas mensagens e essas mensagens correspondem a alguém que testou positivo. Então, eles seriam capazes de inferir que eu sou positivo ou que as pessoas que vivem na minha casa são positivas.”

Uma abordagem centralizada aumenta o risco de abuso por um ator nefasto ou adversário de nível estadual. A Política de Privacidade de tais dados não é trivial. Houve inúmeros ataques racistas devido ao coronavírus e muitas pessoas temem ser despejado devido à perda de rendaou mesmo por ter sido diagnosticado com coronavírus.

Preneel diz que a proposta DP-3T, em parte, descobriu uma solução alternativa para isso. Mesmo que você T esteja infectado, seu telefone enviaria uma string fictícia e não a chave para um servidor. Dessa forma, seu telefone está enviando mensagens regularmente para o servidor, o que significa que alguém T seria capaz de identificar qual comunicação pode realmente significar que você está infectado. Mas esse trabalho ainda está em desenvolvimento.

Diaz disse que o tráfego fictício obscurece se alguém testou positivo, mas o servidor backend pode distinguir se a mensagem que está sendo recebida é um relatório positivo que deve ser publicado ou apenas uma mensagem fictícia a ser descartada. Então, o servidor backend pode associar o endereço IP observado ao relatório positivo.

Veja também:Na luta contra o coronavírus, os governos enfrentam compensações na Política de Privacidade

Harry Halpin, o CEO da Nym, uma startup de Política de Privacidade , tem uma ferramenta adicional que pode resolver isso. Ele está oferecendo o mixnet da Nym como uma alternativa para construir aplicativos de rastreamento de contato.

Uma rede mista (que leva o nome dos servidores proxy que ela emprega, chamados de “mixes”) obscurece os metadados deixados para trás quando os dados passam por uma rede. Ela faz isso pegando mensagens, ou pacotes de dados, de um lugar, segurando-os e então esperando que mais alguns cheguem. Então, ela os embaralha ou mistura, como você faria com um baralho de cartas. Ela então os entrega para o próximo servidor proxy, que então espera por mais alguns pacotes, os embaralha, e assim por diante. Se T houver pacotes suficientes, eles criam pacotes falsos, que são tráfego fictício. Embora torne a rede mais lenta, ela é muito mais anônima e resiste à observação de metadados.

“Com o Nym, você pode se comunicar livremente sem que seu tráfego de internet revele seus metadados. É ainda mais importante agora, dada a vigilância aumentada devido ao coronavírus. O mixnet do Nym resiste a um adversário passivo global como a NSA, que pode registrar todo o tráfego que entra e sai de uma rede”, disse Halpin.

Nym pediu para se juntar ao PEPP-PT e atualmente está construindo uma coalizão com iniciativas relacionadas, como aquelas promovidas por Henry de Valence, da Fundação Zcash , e Carmela Troncoso, professora do Instituto Federal Suíço de Tecnologia, em Lausanne, que é o principal contato para o rastreamento privado de contatos do coronavírus na Europa.

Depois de analisar a proposta dos EUA envolvendo o Google e a Apple, Halpin diz que algo como o DP3T não é o ideal, mas pode ser a melhor das opções subótimas se a velocidade for essencial.

“Mas os efeitos sociais e técnicos de longo prazo dessa Tecnologia ainda são perigosos, e então o rastreamento de contato DP3T e Bluetooth em geral não é uma panaceia”, disse Halpin. “A longo prazo, aplicativos construídos em uma mixnet oferecem mais uma solução potencial para conduzir o rastreamento de contato de uma forma mais privada.”