Cara Menjaga Data Peribadi Dengan Aplikasi Jejak Kenalan Google dan Apple

Sebagai contoh kerjasama, Google dan Apple, dua tonggak industri teknologi global, diumumkan usaha bersama untuk membuat aplikasi penelusuran pendedahan COVID-19 untuk telefon bimbit bersama dengan pemerintah dunia. Aplikasi ini, yang akan tersedia di kedua-dua telefon Android dan iOS, bergantung pada teknologi Bluetooth untuk memberi amaran terhadap kemungkinan pendedahan kepada orang yang dijangkiti COVID-19.

Oleh kerana organisasi yang mengambil bahagian, ketiga-tiganya mempunyai rekod prestasi buruk mengenai privasi, aplikasi tersebut segera menimbulkan kecurigaan penyokong privasi. The Electronic Frontier Foundation, penyokong privasi digital yang kuat, berpose mengemukakan soalan kepada pembangun dan meminta mereka untuk mempertanyakan implikasi keselamatan siber dan privasi dari aplikasi pengesanan kenalan bersama.

Google dan Apple dibalas oleh bermain-main dengan kunci penjejakan dan penyulitan aplikasi untuk meningkatkan privasi, tetapi soalan masih berlanjutan.

Khususnya, banyak kelebihan aplikasi penelusuran kenalan dihambat oleh masalah logistik sederhana seperti Bluetooth yang tidak dirancang untuk mengesan hubungan (tidak dapat menggambarkan antara penyakit dan jarak); ramai orang tidak membawa telefon bimbit yang serasi Bluetooth; dan kebanyakan orang tidak akan memuat turun aplikasi secara sukarela.

Sekiranya kita mempertimbangkan kemungkinan faedah berbanding ancaman privasi, adakah aplikasi itu benar-benar berbaloi? Mungkin tidak, tetapi versi token akan lebih enak. Mari kita cari sebabnya.

Kesalahan privasi

Aplikasi pelacakan Google dan Apple bergantung pada penggulungan pengenal jarak, atau RPID, yang digunakan untuk melakukan ping pada peranti Bluetooth lain. RPID diubah setiap beberapa minit, dan pengguna yang percaya bahawa mereka dijangkiti dapat berkongsi RPID sebelumnya dengan registri awam yang mengesahkan sama ada pengguna itu dijangkiti, dan kemudian, memberi amaran tentang “ping” yang baru-baru ini disambungkan ke peranti pengguna tersebut.

Apple dan Google, diakui, berusaha untuk mengurangkan pemusatan dengan memperuntukkan sebahagian besar kunci penyulitan ke peranti pengguna dan bukannya pelayan pusat, tetapi beberapa masalah utama tetap ada. Sebagai contoh, sebagai terperinci oleh EFF:

“Musuh yang mempunyai sumber yang baik dapat mengumpulkan RPID dari berbagai tempat sekaligus dengan menyiapkan suar Bluetooth statik di tempat awam, atau dengan meyakinkan ribuan pengguna untuk memasang aplikasi. […] Tetapi setelah pengguna memuat naik kunci diagnosis harian mereka ke pendaftaran awam, pelacak dapat menggunakannya untuk menghubungkan semua RPID orang itu dari satu hari. “

Akibatnya, penggodam dapat memetakan setiap pergerakan kehidupan pengguna, secara sepele menentukan siapa orang itu. Sama seperti mempunyai lensa masa nyata ke dalam pergerakan harian seseorang. EFF terus menjelaskan bahawa masalahnya tidak terbatas secara eksplisit pada Bluetooth tetapi Bluetooth sebahagian besarnya tidak terjamin, dan permukaan serangannya harus dikurangkan ke minimum.

Selain itu, pemerintah dan polis dapat memiliki akses langsung ke metrik pelacakan jarak untuk pengguna, mengambil maklumat yang relevan tentang keberadaan dan kegiatan mereka, jika mereka memilih. Tidak ada masalah ini bahkan mengambil kira keselamatan pendaftaran awam atau data yang dibocorkan ke pelayan Apple dan Google.

Kita boleh mempercayai masalah yang ada pada sistem penjejakan Google dan Apple untuk dipercayai.

Percayalah kepada kerajaan dan syarikat teknologi untuk tidak menyalahgunakan data, percaya bahawa RPID yang dimuat naik ke pendaftaran bukan spam (mereka tidak mempunyai cara untuk mengesahkan muat naik sebenar dari individu), dan mempercayai bahawa pembangun pihak ketiga tidak akan mengendap sistem untuk tujuan pengawasan.

Keseluruhan sistem berdasarkan kepercayaan, dan apa token cryptocurrency yang terdesentralisasi sesuai? Pengesahan yang cepat – mis., Kebolehauditan – dan pengurangan kepercayaan.

Kelebihan tokenisasi

Pertama, sukar untuk diabaikan bahawa Apple dan Google telah beralih ke kriptografi sumber terbuka dan kelasnya yang disertakan sebagai permulaan dan aktivis berorientasikan privasi yang bersedia keluar dari pintu. Orang akan berasa lebih selesa. Tetapi mereka tidak – tidak menghairankan.

Sebilangan besar istilah yang digunakan oleh kedua-dua syarikat itu juga tidak jelas. Terdapat juga kekhawatiran mengenai aspek aplikasi yang syarikat ini dapat kendalikan langsung, seperti mematikan pemberitahuan dan pelacakan jarak, bahkan setelah krisis berakhir.

Kuasa tersebut harus dikeluarkan sepenuhnya dari tangan entiti korporat yang berorientasikan keuntungan ini. Cara yang ideal untuk melakukan itu adalah pengesahan token dan enkripsi terhadap RPID jarak yang dijangkiti.

Sebagai contoh, menggunakan parameter yang disesuaikan untuk penjejakan jarak dapat dimasukkan ke dalam setiap token. Token tidak berada di bawah naungan pengembangan entiti tunggal, dan token dapat dibakar oleh pengguna token setelah utiliti token selesai. Tidak ada peralihan payung di bawah kawalan syarikat yang terus menjalankan aplikasi – aplikasi ini sepenuhnya terdesentralisasi dan mengekalkan akses tanpa izin.

Setiap pengguna tertentu akan mempunyai token yang diperuntukkan kepada mereka, dengan RPID yang dienkripsi dan diuruskan hanya pada peranti pengguna tersebut. Sekiranya pengguna percaya bahawa mereka positif COVID-19, mereka boleh menghantar pengesahan ke pendaftaran awam. Oleh itu, klinik atau hospital yang bertauliah dapat mengeluarkan sijil yang menunjukkan diagnosis positif bagi pengguna tersebut. Oleh kerana tidak ada data pengenalpastian publik yang perlu diserahkan, proses membebankan perkhidmatan pemerintah digantikan oleh teknologi yang lebih cepat.

Dari sana, data lokasi sebenar individu dapat dibuat dalam tanda sementara butiran yang berkaitan – misalnya, pertukaran COVID-19 yang tidak dikenal pasti – untuk mengesahkan status jangkitan dapat dilepaskan. TokenScript bertindak sebagai titik komunikasi antara perkhidmatan yang memerlukan data dan data sebenar yang tidak pernah meninggalkan telefon bimbit. Ini mendorong kecenderungan kedua-dua kerajaan dan pemaju pihak ketiga asas untuk menggunakan data lokasi dengan cara yang tidak beretika.

Perincian yang relevan untuk mengesahkan diagnosis, tidak dipasangkan dengan data lokasi, dapat dikirimkan ke organisasi pihak ketiga, seperti Organisasi Kesehatan Dunia, tanpa rasa takut mereka menyalahgunakan privasi. Dalam praktiknya, ini dapat dilakukan oleh pesakit yang mengunjungi laman web WHO, yang akan meminta pengiraan berbilang pihak atau bukti pengetahuan sifar mengenai data yang relevan. Kawasan keselamatan di TokenScript memastikan bahawa laman web tidak mempelajari data asal tetapi hanya hasil pengiraan. Keseluruhan industri perubatan harus bergantung pada data pesakit yang tidak dikenal pasti untuk mencegah pelanggaran etika syarikat farmasi. Penyelesaian ini yang kami cadangkan juga menganonimkan data pesakit, secara tempatan di telefon bimbit pengguna, tanpa menganggap organisasi itu jujur ​​dan aman. Walau bagaimanapun, ia akan tahan sensor dan lebih cepat – begitu cepat sehingga laman web dapat mengemas kini statistik dan pelaporannya dengan serta-merta ketika pengguna menggunakan token mereka untuk berpartisipasi dalam pengiraan laporan baru di laman web.

Contohnya, seseorang yang bernama Michael ingin mengetahui sama ada dia pernah menyeberangi jalan dengan orang yang positif COVID-19. Dia dapat memulai putaran perhitungan berbilang pihak yang mengenal pasti pengguna aplikasi lain yang telah dinyatakan positif. Peranti mudah alih bagi mereka yang telah dikenal pasti positif COVID-19 dapat berpartisipasi dalam MPC, sehingga membantu Michael untuk mengetahui apakah dia telah berhubungan dengan mereka tanpa membiarkan pendedahan maklumat sensitif kepada orang itu, seperti kapan dan di mana kemungkinan penularan berlaku . Semakin besar ukuran kedua-dua kumpulan (pengguna biasa dan kes positif yang dikenal pasti), semakin tinggi tahap privasi. Dengan beberapa kemajuan masa depan dalam kriptografi, kita bahkan dapat menantikan hari ketika ini dapat dilakukan tanpa telefon bimbit pesakit berada dalam talian untuk mengambil bahagian dalam pengiraan dan hanya melalui data yang dikaburkan yang diserahkan ke pendaftaran awam.

Sebilangan besar masalah yang timbul dari aplikasi berasaskan kedekatan berorientasikan privasi. Dan walaupun token hari ini tidak memberikan privasi yang sempurna tanpa terlalu membebankan, ada ruang untuk diperbaiki. Tidak ada preseden untuk aplikasi pengawasan berskala besar seperti yang sedang dibangun, dan deskripsi yang tidak jelas mengenai beberapa ciri-cirinya sangat memprihatinkan. Mungkin menyedari tindak balas yang akan mereka terima, Apple dan Google telah berusaha untuk menyebarkan banyak data, tetapi kebocoran keselamatan dan privasi banyak – terutamanya melalui pemindahan pengesahan antara pendaftaran awam dan individu.

Versi tokenized dari sijil pengesahan, rujukan silang RPID, dan penggunaan di pelbagai sistem akan menjadi pilihan yang lebih baik untuk pengesahan pada skala tanpa mengorbankan privasi atau kawalan data kepada pihak ketiga. Oleh kerana data dikira secara tempatan, nasihat tidak banyak dapat diperoleh dengan mengikuti Google atau Apple. Ini mungkin bukan mujarab, tetapi menjelajahi bagaimana tokenisasi berfungsi dalam kasus penelusuran penyakit harus menjadi bidang penelitian dan pengembangan yang terkenal – jangan sampai kita kehilangan privasi untuk keselamatan pada kehendak pemerintah.

Atau, mungkin dengan mempertimbangkan keterbatasan dan ketidakpastian Bluetooth, dengan mengelakkan aplikasi pengawasan yang dikeluarkan oleh pemerintah bersama dan inisiatif teknologi besar sama sekali jauh lebih mudah.

Pandangan, pemikiran dan pendapat yang dinyatakan di sini adalah pengarang semata-mata dan tidak semestinya menggambarkan atau mewakili pandangan dan pendapat Cointelegraph.

Victor Zhang adalah CEO dan pengasas bersama AlphaWallet. Dia telah menghabiskan lima tahun terakhir bekerja untuk mengubah cara perbankan dan teknologi blockchain berpotongan. Sebelum menceburi bidang teknologi blockchain, Zhang bekerja selama 17 tahun dalam perniagaan antarabangsa di Asia dan Australia.