Verge: 12 der wichtigsten Fragen zu dem Coronavirus-Tracking-Projekt von Apple und Google und die Antworten
15. April 2020Verge: 12 der wichtigsten Fragen zu dem Coronavirus-Tracking-Projekt von Apple und Google und die Antworten
New York, 14.5.2020
Am Freitag vergangener Woche haben sich Google und Apple zu einem ehrgeizigen Notfallprojekt zusammengeschlossen und ein neues Protokoll zur Verfolgung des laufenden Coronavirus-Ausbruchs ausgearbeitet. Es handelt sich um ein dringendes, komplexes Projekt mit enormen Auswirkungen auf die Privatsphäre und die öffentliche Gesundheit. Ähnliche Projekte waren bereits in Singapur und anderen Ländern erfolgreich, aber es bleibt abzuwarten, ob die US-Gesundheitsbehörden in der Lage wären, ein solches Projekt zu leiten – selbst wenn die größten Technologieunternehmen der Welt mithelfen würden.
Verge setzt sich zunächst mit den Grundzügen des Projekts auseinander, weist aber darauf hin, das es noch viel mehr zu untersuchen gäbe. Dazu gehören die technischen Dokumente, die von den beiden Unternehmen veröffentlicht wurden. „Verge“ meint: „Sie verraten viel darüber, was Apple und Google tatsächlich mit diesen sensiblen Daten vorhaben und wo das Projekt versagt. Wir haben uns also in diese Unterlagen vertieft und versucht, die zwölf drängendsten Fragen zu beantworten, beginnend mit dem absoluten Anfang:
Was bewirkt dies?
Wenn jemand an einer neuen Krankheit wie dem diesjährigen Coronavirus erkrankt, versuchen Mitarbeiter des öffentlichen Gesundheitswesens, die Ausbreitung einzudämmen, indem sie jeden aufspüren und unter Quarantäne stellen, mit dem die infizierte Person in Kontakt gekommen ist. Dies nennt man Kontaktverfolgung, und es ist ein entscheidendes Instrument zur Eindämmung von Ausbrüchen.
Das System zeichnet Kontaktstellen ohne Verwendung von Standortdaten auf
Im Wesentlichen haben Apple und Google ein automatisiertes System zur Kontaktverfolgung aufgebaut. Es unterscheidet sich von der herkömmlichen Kontaktverfolgung und ist wahrscheinlich am nützlichsten, wenn es mit konventionellen Methoden kombiniert wird. Am wichtigsten ist, dass es in weit größerem Umfang als die konventionelle Kontaktverfolgung arbeiten kann, was angesichts der Tatsache, wie weit sich der Ausbruch in den meisten Ländern ausgebreitet hat, notwendig sein wird. Da es von Apple und Google kommt, werden einige dieser Funktionen irgendwann auch in Android und iPhones auf Betriebssystemebene eingebaut werden. Das macht diese technische Lösung potenziell für mehr als drei Milliarden Telefone auf der ganzen Welt verfügbar.
Es ist wichtig zu beachten, dass das, woran Apple und Google gemeinsam arbeiten, ein Framework und keine App ist. Sie kümmern sich um die Klempnerarbeiten und garantieren den Datenschutz und die Sicherheit des Systems, überlassen aber die Erstellung der eigentlichen Apps, die es nutzen, anderen.
Wie funktioniert das?
Grundsätzlich können Sie mit diesem System andere Telefone, die in der Nähe waren, aufzeichnen. Solange das System in Betrieb ist, sendet Ihr Telefon regelmäßig einen kleinen, eindeutigen und anonymen Code aus, der von der eindeutigen ID des Telefons abgeleitet ist. Andere Telefone in Reichweite erhalten diesen Code und merken ihn sich, wobei sie ein Protokoll über die empfangenen Codes und den Zeitpunkt des Empfangs erstellen.
Wenn eine Person, die das System benutzt, eine positive Diagnose erhält, kann sie sich dafür entscheiden, ihren ID-Code an eine zentrale Datenbank zu übermitteln. Wenn Ihr Telefon diese Datenbank abfragt, führt es einen lokalen Scan durch, um festzustellen, ob einer der Codes in seinem Protokoll mit den IDs in der Datenbank übereinstimmt. Wenn es eine Übereinstimmung gibt, erhalten Sie eine Meldung auf Ihrem Telefon, dass Sie enttarnt wurden.
Das ist die einfache Version, aber Sie können bereits sehen, wie nützlich ein solches System sein könnte. Im Wesentlichen ermöglicht es Ihnen die Erfassung von Kontaktstellen (d.h. genau das, was Kontaktverfolgungsbeamte brauchen), ohne dass Sie genaue Standortdaten sammeln und nur minimale Informationen in der zentralen Datenbank speichern müssen.
Wie teilen Sie mit, dass Sie infiziert worden sind?
Die veröffentlichten Dokumente sind in diesem Punkt weniger detailliert. In der Spezifikation wird davon ausgegangen, dass nur legitime Gesundheitsdienstleister in der Lage sein werden, eine Diagnose einzureichen, um sicherzustellen, dass nur bestätigte Diagnosen Warnmeldungen generieren. (Wir wollen nicht, dass Trolle und Hypochonder das System überfluten.) Es ist nicht ganz klar, wie das geschehen wird, aber es scheint ein lösbares Problem zu sein, ob es über die App oder eine Art zusätzliche Authentifizierung vor der zentralen Registrierung einer Infektion verwaltet wird.
Wie sendet das Telefon diese Signale aus?
Die kurze Antwort lautet: Bluetooth. Das System arbeitet mit den gleichen Antennen wie Ihre drahtlosen Ohrhörer, obwohl es sich um die Bluetooth Low Energy (BLE)-Version der Spezifikation handelt, was bedeutet, dass der Akku nicht ganz so stark belastet wird. Dieses spezielle System verwendet eine Version des BLE-Beacon-Systems, das seit Jahren im Einsatz ist und so modifiziert wurde, dass es als bidirektionaler Code-Swap zwischen Telefonen funktioniert.
Wie weit reicht das Signal?
Das wissen wir noch nicht genau. Theoretisch kann die BLE Verbindungen bis zu einer Entfernung von 100 Metern registrieren, aber das hängt stark von bestimmten Hardware-Einstellungen ab und wird leicht durch Wände blockiert. Viele der häufigsten Anwendungen von BLE – wie das Koppeln eines AirPod-Gehäuses mit Ihrem iPhone – haben eine effektive Reichweite, die näher an sechs Zoll liegt. Die Ingenieure des Projekts sind optimistisch, dass sie die Reichweite auf Software-Ebene durch „Schwellenwertbildung“ optimieren können – im Wesentlichen durch Verwerfen von Signalen geringerer Stärke -, aber da es noch keine eigentliche Software gibt, müssen die meisten relevanten Entscheidungen noch getroffen werden.
Gleichzeitig sind wir nicht ganz sicher, was die beste Reichweite für diese Art von Alarm ist. Soziale Distanzierungsregeln empfehlen in der Regel, sich in der Öffentlichkeit einen Meter von anderen Personen fernzuhalten, aber das könnte sich leicht ändern, wenn wir mehr darüber erfahren, wie sich das neuartige Coronavirus verbreitet. Beamte werden sich auch davor hüten, so viele Warnungen zu versenden, dass die App unbrauchbar wird, was die ideale Reichweite noch kleiner machen könnte.
Es handelt sich also um eine App?
Mehr oder weniger. Im ersten Teil des Projekts (das bis Mitte Mai abgeschlossen sein soll) wird das System in offizielle Apps für das öffentliche Gesundheitswesen eingebaut, die im Hintergrund die BLE-Signale aussenden. Diese Apps werden von staatlichen Gesundheitsbehörden und nicht von Technologieunternehmen erstellt werden, was bedeutet, dass die Behörden für viele wichtige Entscheidungen darüber verantwortlich sein werden, wie die Benutzer zu benachrichtigen sind und was zu empfehlen ist, wenn eine Person exponiert wurde.
Letztendlich hofft das Team, diese Funktionalität direkt in die Betriebssysteme iOS und Android einbauen zu können, ähnlich wie ein natives Dashboard oder ein Umschalter im Einstellungsmenü. Aber das wird Monate dauern, und es wird die Benutzer immer noch dazu auffordern, eine offizielle Public-Health-App herunterzuladen, wenn sie Informationen einreichen oder eine Warnung erhalten müssen.
Ist dies wirklich sicher?
Meistens scheint die Antwort ja zu lauten. Basierend auf den veröffentlichten Dokumenten wird es ziemlich schwierig sein, auf sensible Informationen zurückzugreifen, die ausschließlich auf den Bluetooth-Codes basieren, was bedeutet, dass Sie die App im Hintergrund laufen lassen können, ohne sich Sorgen machen zu müssen, dass Sie etwas zusammenstellen, das potenziell belastend sein könnte. Das System selbst identifiziert Sie nicht persönlich und protokolliert Ihren Standort nicht. Natürlich müssen die Gesundheitsanwendungen, die dieses System nutzen, irgendwann wissen, wer Sie sind, wenn Sie Ihre Diagnose an die Gesundheitsbehörden hochladen wollen.
Könnten Hacker dieses System nutzen, um eine große Liste mit allen Personen zu erstellen, die an der Krankheit gelitten haben?
Das wäre sehr schwierig, aber nicht unmöglich. Die zentrale Datenbank speichert alle Codes, die von infizierten Menschen ausgesendet wurden, während sie ansteckend waren . Es ist durchaus möglich, dass ein Hacker an diese Codes kommen könnte. Die Ingenieure haben gute Arbeit geleistet und dafür gesorgt, dass man von diesen Codes nicht direkt auf die Identität einer Person zugreifen kann, aber es ist möglich, sich einige Szenarien vorzustellen, in denen diese Schutzvorkehrungen zusammenbrechen.
Ein Diagramm aus dem Kryptographie-Whitepaper, das die drei Ebenen des Schlüssels erklärt
Warum müssen wir etwas technischer werden? Die Kryptographiespezifikation sieht für dieses System drei Schlüsselebenen vor: einen privaten Hauptschlüssel, der Ihr Gerät nie verlässt, einen aus dem privaten Schlüssel generierten Tagesschlüssel und dann die Kette von „Näherungs-IDs“, die durch den Tagesschlüssel erzeugt werden. Jeder dieser Schritte wird durch eine kryptografisch robuste Einwegfunktion ausgeführt – Sie können also einen Proximity-Schlüssel aus einem Tagesschlüssel erzeugen, aber nicht umgekehrt. Noch wichtiger ist, dass Sie sehen können, welche Proximity-Schlüssel von einem bestimmten Tagesschlüssel stammen, aber nur, wenn Sie mit dem vorliegenden Tagesschlüssel beginnen.
Das Protokoll Ihres Telefons ist eine Liste von Proximity IDs (die unterste Ebene des Schlüssels), so dass sie für sich allein nicht viel taugen. Wenn Ihr Test positiv ist, teilen Sie wesentlich mehr mit, indem Sie die Tagesschlüssel für jeden Tag, an dem Sie ansteckend waren, veröffentlichen. Da diese Tagesschlüssel jetzt öffentlich sind, kann Ihr Gerät nachrechnen und Ihnen mitteilen, ob eine der Näherungs-IDs in Ihrem Protokoll von diesem Tagesschlüssel stammt; wenn dies der Fall war, erzeugt es eine Warnmeldung.
Wie der Kryptograph Matt Tait hervorhebt, führt dies zu einer sinnvollen Einschränkung der Privatsphäre von Personen, die auf diesem System positiv getestet werden. Sobald diese täglichen Schlüssel öffentlich sind, können Sie herausfinden, welche Näherungs-IDs mit einer bestimmten ID verbunden sind. (Denken Sie daran, das ist es, was die App tun soll, um die Offenlegung zu bestätigen). Während bestimmte Anwendungen die Informationen, die sie austauschen, einschränken können und ich bin sicher, dass jeder sein Bestes tun wird, sind Sie jetzt außerhalb der harten Schutzvorkehrungen der Verschlüsselung. Man kann sich eine bösartige Anwendung oder ein Bluetooth-Schnüffel-Netzwerk vorstellen, das im Voraus Proximity IDs sammelt, sie mit bestimmten Identitäten verbindet und sie später mit täglichen Schlüsseln korreliert, die von der zentralen Liste gestrichen werden. Es wäre schwierig, dies zu tun, und es wäre noch schwieriger, dies für jede einzelne Person auf der Liste zu tun. Selbst dann würden Sie vom Server nur die Codes der letzten 14 Tage erhalten. (Das ist alles, was für die Ermittlung von Kontaktpersonen relevant ist, also sind es alle zentralen Datenbankspeicher). Aber es wäre nicht schlichtweg unmöglich, was man normalerweise in der Kryptographie anstrebt.
Um es zusammenzufassen: es ist schwer, die Anonymität von jemandem absolut zu garantieren, wenn er mitteilt, dass er durch dieses System positiv getestet wurde. Aber zur Verteidigung des Systems ist es schwierig, dies unter allen Umständen zu garantieren. Unter sozialer Distanzierung schränken wir alle unsere persönlichen Kontakte ein. Wenn man also erfährt, dass man an einem bestimmten Tag exponiert wurde, wird die Liste der potenziellen Überträger bereits ziemlich kurz sein. Rechnet man die Quarantäne und manchmal den Krankenhausaufenthalt hinzu, die mit einer COVID-19-Diagnose einhergehen, ist es sehr schwierig, die medizinische Privatsphäre vollständig zu wahren und gleichzeitig die Menschen zu warnen, die möglicherweise exponiert wurden. In gewisser Weise ist dieser Kompromiss der Ermittlung von Kontaktpersonen inhärent. Technische Systeme können diesen Kompromiss nur abschwächen.
Außerdem besteht die beste Methode der Kontaktverfolgung, die wir derzeit haben, darin, dass Menschen Sie interviewen und fragen, mit wem Sie in Kontakt waren. Es ist im Grunde unmöglich, ein völlig anonymes System zur Ermittlung von Kontaktpersonen aufzubauen.
Könnten Google, Apple oder ein Hacker es benutzen, um herauszufinden, wo ich gewesen bin?
Nur unter ganz bestimmten Umständen. Wenn jemand Ihre Proximity IDs sammelt und Sie ein positives Testergebnis erhalten und beschließen, Ihre Diagnose mitzuteilen, und wenn er die ganze oben beschriebene Prozedur durchführt, könnte er Sie damit möglicherweise mit einem bestimmten Ort in Verbindung bringen, an dem Ihre Proximity IDs in freier Wildbahn gesichtet wurden.
Es ist jedoch wichtig zu beachten, dass weder Apple noch Google Informationen austauschen, die Sie direkt auf einer Karte platzieren könnten. Google verfügt über viele dieser Informationen und das Unternehmen hat sie auf einer aggregierten Ebene weitergegeben, aber sie sind nicht Teil dieses Systems. Google und Apple wissen vielleicht bereits, wo Sie sich befinden, aber sie verbinden diese Informationen nicht mit diesem Datensatz. Auch wenn ein Angreifer also in der Lage wäre, auf diese Informationen zurückzugreifen, würde er am Ende immer noch weniger wissen als die meisten Apps auf Ihrem Telefon.
Könnte jemand dies benutzen, um herauszufinden, mit wem ich in Kontakt gekommen bin?
Das wäre wesentlich schwieriger. Wie bereits erwähnt, führt Ihr Telefon ein Protokoll aller Näherungs-IDs, die es erhält, aber die Spezifikation macht deutlich, dass das Protokoll Ihr Telefon niemals verlassen sollte. Solange Ihr spezifisches Protokoll auf Ihrem spezifischen Gerät verbleibt, ist es durch die gleiche Geräteverschlüsselung geschützt, die auch Ihre Texte und E-Mails schützt.
Selbst wenn ein Hacker Ihr Telefon gestohlen und es geschafft hätte, diese Sicherheit zu durchbrechen, hätte er nur die Codes, die Sie erhalten haben, und es wäre sehr schwierig, herauszufinden, von wem diese Schlüssel ursprünglich stammen. Ohne einen täglichen Schlüssel hätten sie keine Möglichkeit, eine Proximity ID mit einer anderen zu korrelieren, so dass es schwierig wäre, einen einzelnen Akteur im Durcheinander der Bluetooth-Tracker zu unterscheiden, geschweige denn herauszufinden, wer sich mit wem getroffen hat. Und entscheidend ist, dass die robuste Kryptographie es unmöglich macht, den zugehörigen Tagesschlüssel oder die zugehörige persönliche ID-Nummer direkt abzuleiten.
Wie der Kryptograph Matt Tait hervorhebt, führt dies zu einer sinnvollen Einschränkung der Privatsphäre von Personen, die auf diesem System positiv getestet werden. Sobald diese täglichen Schlüssel öffentlich sind, können Sie herausfinden, welche Näherungs-IDs mit einer bestimmten ID verbunden sind. (Denken Sie daran, das ist es, was die App tun soll, um die Offenlegung zu bestätigen). Während bestimmte Anwendungen die Informationen, die sie austauschen, einschränken können und ich bin sicher, dass jeder sein Bestes tun wird, sind Sie jetzt außerhalb der harten Schutzvorkehrungen der Verschlüsselung. Man kann sich eine bösartige Anwendung oder ein Bluetooth-Schnüffel-Netzwerk vorstellen, das im Voraus Proximity IDs sammelt, sie mit bestimmten Identitäten verbindet und sie später mit täglichen Schlüsseln korreliert, die von der zentralen Liste gestrichen werden. Es wäre schwierig, dies zu tun, und es wäre noch schwieriger, dies für jede einzelne Person auf der Liste zu tun. Selbst dann würden Sie vom Server nur die Codes der letzten 14 Tage erhalten. (Das ist alles, was für die Ermittlung von Kontaktpersonen relevant ist, also sind es alle zentralen Datenbankspeicher). Aber es wäre nicht schlichtweg unmöglich, was man normalerweise in der Kryptographie anstrebt.
Um es zusammenzufassen: es ist schwer, die Anonymität von jemandem absolut zu garantieren, wenn er mitteilt, dass er durch dieses System positiv getestet wurde. Aber zur Verteidigung des Systems ist es schwierig, dies unter allen Umständen zu garantieren. Unter sozialer Distanzierung schränken wir alle unsere persönlichen Kontakte ein. Wenn man also erfährt, dass man an einem bestimmten Tag exponiert wurde, wird die Liste der potenziellen Überträger bereits ziemlich kurz sein. Rechnet man die Quarantäne und manchmal den Krankenhausaufenthalt hinzu, die mit einer COVID-19-Diagnose einhergehen, ist es sehr schwierig, die medizinische Privatsphäre vollständig zu wahren und gleichzeitig die Menschen zu warnen, die möglicherweise exponiert wurden. In gewisser Weise ist dieser Kompromiss der Ermittlung von Kontaktpersonen inhärent. Technische Systeme können diesen Kompromiss nur abschwächen.
Außerdem besteht die beste Methode der Kontaktverfolgung, die wir derzeit haben, darin, dass Menschen Sie interviewen und fragen, mit wem Sie in Kontakt waren. Es ist im Grunde unmöglich, ein völlig anonymes System zur Ermittlung von Kontaktpersonen aufzubauen.
Könnten Google, Apple oder ein Hacker es benutzen, um herauszufinden, wo ich gewesen bin?
Nur unter ganz bestimmten Umständen. Wenn jemand Ihre Proximity IDs sammelt und Sie ein positives Testergebnis erhalten und beschließen, Ihre Diagnose mitzuteilen, und wenn er die ganze oben beschriebene Prozedur durchführt, könnte er Sie damit möglicherweise mit einem bestimmten Ort in Verbindung bringen, an dem Ihre Proximity IDs in freier Wildbahn gesichtet wurden.
Es ist jedoch wichtig zu beachten, dass weder Apple noch Google Informationen austauschen, die Sie direkt auf einer Karte platzieren könnten. Google verfügt über viele dieser Informationen und das Unternehmen hat sie auf einer aggregierten Ebene weitergegeben, aber sie sind nicht Teil dieses Systems. Google und Apple wissen vielleicht bereits, wo Sie sich befinden, aber sie verbinden diese Informationen nicht mit diesem Datensatz. Auch wenn ein Angreifer also in der Lage wäre, auf diese Informationen zurückzugreifen, würde er am Ende immer noch weniger wissen als die meisten Apps auf Ihrem Telefon.
Könnte jemand dies benutzen, um herauszufinden, mit wem ich in Kontakt gekommen bin?
Das wäre wesentlich schwieriger. Wie bereits erwähnt, führt Ihr Telefon ein Protokoll aller Näherungs-IDs, die es erhält, aber die Spezifikation macht deutlich, dass das Protokoll Ihr Telefon niemals verlassen sollte. Solange Ihr spezifisches Protokoll auf Ihrem spezifischen Gerät verbleibt, ist es durch die gleiche Geräteverschlüsselung geschützt, die auch Ihre Texte und E-Mails schützt.
Selbst wenn ein Hacker Ihr Telefon gestohlen und es geschafft hätte, diese Sicherheit zu durchbrechen, hätte er nur die Codes, die Sie erhalten haben, und es wäre sehr schwierig, herauszufinden, von wem diese Schlüssel ursprünglich stammen. Ohne einen täglichen Schlüssel hätten sie keine Möglichkeit, eine Proximity ID mit einer anderen zu korrelieren, so dass es schwierig wäre, einen einzelnen Akteur im Durcheinander der Bluetooth-Tracker zu unterscheiden, geschweige denn herauszufinden, wer sich mit wem getroffen hat. Und entscheidend ist, dass die robuste Kryptographie es unmöglich macht, den zugehörigen Tagesschlüssel oder die zugehörige persönliche ID-Nummer direkt abzuleiten.
Was, wenn ich nicht möchte, dass mein Telefon dies tut?
Installieren Sie die App nicht, und wenn die Betriebssysteme im Laufe des Sommers aktualisiert werden, lassen Sie einfach die Einstellung „Kontaktverfolgung“ ausgeschaltet. Apple und Google bestehen darauf, dass die Teilnahme freiwillig ist, und wenn Sie keine proaktiven Schritte zur Teilnahme an der Ermittlung von Kontaktpersonen unternehmen, sollten Sie Ihr Telefon ohne jegliche Beteiligung benutzen können.
Ist dies nur ein getarntes Überwachungssystem?
Dies ist eine heikle Frage. In gewissem Sinne ist die Ermittlung von Kontaktpersonen eine Überwachung. Die Arbeit im öffentlichen Gesundheitswesen ist voll von medizinischer Überwachung, einfach weil dies die einzige Möglichkeit ist, Infizierte zu finden, die nicht krank genug sind, um zu einem Arzt zu gehen. Es bleibt zu hoffen, dass die Menschen angesichts der katastrophalen Schäden, die die Pandemie bereits angerichtet hat, bereit sind, dieses Maß an Überwachung als vorübergehende Maßnahme zur Eindämmung der weiteren Ausbreitung des Virus zu akzeptieren.
Eine bessere Frage ist, ob dieses System die Überwachung in einer fairen oder hilfreichen Weise durchführt. Es spielt eine große Rolle, dass das System freiwillig ist, und dass es nicht mehr Daten als nötig weitergibt. Dennoch haben wir im Moment nur das Protokoll, und es bleibt abzuwarten, ob die Regierungen versuchen werden, diese Idee in einer invasiveren oder übermächtigen Weise umzusetzen.
Wenn das Protokoll in konkrete Anwendungen umgesetzt wird, wird es eine Menge wichtiger Entscheidungen darüber geben, wie es genutzt wird und wie viele Daten außerhalb des Protokolls gesammelt werden. Die Regierungen werden diese Entscheidungen treffen, und es kann sein, dass sie sie schlecht treffen – oder noch schlimmer, sie treffen sie vielleicht gar nicht. Selbst wenn Sie sich also darüber freuen, was Apple und Google hier dargelegt haben, können sie nur den Ball werfen – und es hängt viel davon ab, was die Regierungen tun, nachdem sie ihn gefangen haben.