ACM通信gydF4y2Ba

贡献的文章gydF4y2Ba

部署去中心化、保护隐私的接近跟踪gydF4y2Ba

文/ Carmela Troncoso, Dan Bogdanov, Edouard Bugnion, Sylvain Chatel, Cas Cremers, Seda Gürses, Jean-Pierre Hubaux, Dennis Jackson, James R. Larus, Wouter Lueks, Rui Oliveira, Mathias Payer, Bart Preneel, Apostolos Pyrgelis, Marcel Salathé， Theresa Stadler, Michael VealegydF4y2Ba
ACM通信，2022年9月，第65卷第9期，第48-57页gydF4y2Ba
10.1145 / 3524107gydF4y2Ba
评论gydF4y2Ba

接触者追踪是一种经过时间验证的打破传染病感染链的技术。公共卫生官员采访那些接触过传染性病原体(如病毒)的人，以确定暴露的、可能被感染的人。这些接触者会被告知他们有风险，并应采取措施避免传染他人——例如，隔离、检测、持续佩戴口罩或采取其他预防措施。gydF4y2Ba

回到顶部gydF4y2Ba

关键的见解gydF4y2Ba

2020年3月，随着COVID-19大流行第一波疫情达到顶峰，许多国家传统的人工接触者追踪工作被庞大的病例数量所淹没;SARS-CoV-2传播速度之快;还有很大一部分无症状但具有传染性的个体。gydF4y2Ba

许多人迅速而独立地提出使用无处不在的智能手机来实现gydF4y2Ba数字接触追踪gydF4y2Ba．在这种新方法中，用户手机上的应用程序可以记录足够长的时间内的联系人(与他人的接触)。如果身体近距离接触者被诊断为感染者，该应用程序会通知潜在的感染者。设想中的技术将通过更快地通知人们来补充人工接触追踪;减轻训练有素的合同跟踪人员的负担;提高可伸缩性;寻找匿名联系人，比如那些在商店和交通工具等公共场所的人，这些人通过传统系统是无法联系到的。gydF4y2Ba

由于疫情发展迅速，DCT的需求非常迫切，必须在高度压缩的时间内设计、开发和部署。这种压力限制了设计范围，并限制了许多决策。例如，制造和向公众分发新硬件会造成大量的延迟，因此可行的解决方案只能利用已经广泛应用于消费者移动电话和现有通信基础设施的传感器技术。gydF4y2Ba

另一个挑战是确保为DCT部署的基础设施组件不会被用来侵犯个人隐私或促进侵犯人权。例如，收集和共享人们身体接触的时间戳和地理位置记录的DCT应用程序很容易被用于公共卫生以外的非法、压迫性用途。这种情况发生在以纸质形式收集接触者追踪信息时gydF4y2Ba^{19gydF4y2Ba，gydF4y2Ba39gydF4y2Ba}并导致了监控的增加gydF4y2Ba^2gydF4y2Ba和偏见。gydF4y2Ba^25gydF4y2Ba此外，记录人们位置的数据库很容易被有意或无意地泄露。gydF4y2Ba^34gydF4y2Ba在需要国际协调应对的活动中，在设计阶段不能忽视新技术被滥用的可能性，特别是在不同的政治和政府制度以及法治方面(特别是在紧急状态期间)。gydF4y2Ba

此外，可靠和透明的技术对于实现最大程度的公共卫生影响所必需的高度自愿采用至关重要，特别是在数据管理历来不佳的国家。获得和保持信任是一项国际努力——一个国家的数据泄露或滥用可能在全世界引起共鸣。因此，限制滥用对实现公共卫生目标至关重要。gydF4y2Ba

作者代表了设计去中心化隐私保护接近跟踪(DP-3T)协议的团队的主要部分，该协议严重影响了大多数DCT应用程序使用的谷歌和苹果曝光通知(GAEN)框架，我们帮助部署了5个应用程序:SwissCOVIDgydF4y2Ba^{一个gydF4y2Ba}(瑞士)，科罗纳警告应用程序gydF4y2Ba^bgydF4y2Ba(德国)、STAYAWAY COVIDgydF4y2Ba^cgydF4y2Ba(葡萄牙),CoronalertgydF4y2Ba^dgydF4y2Ba(比利时),HOIAgydF4y2Ba^egydF4y2Ba(爱沙尼亚)和欧洲联邦网关服务器。gydF4y2Ba^fgydF4y2Ba在本文中，我们描述了在设计、开发和部署数字接触跟踪方面所获得的经验教训。我们详细介绍了其中的障碍和挑战，包括底层加密协议的设计、确保用户端到端隐私的机制开发，以及公共卫生系统内应用程序的集成。我们还讨论了媒体提出的一些问题，包括接触追踪应用程序的有效性、安全性以及对设备制造商的独立性。最后，我们提出了一些建议，以帮助在技术上为下一次紧急情况做好准备。gydF4y2Ba

回到顶部gydF4y2Ba

数字隐私保护，近端跟踪协议gydF4y2Ba

为了应对DCT抗击COVID-19大流行的迫切需求，会议提出了大量建议，使用了蓝牙、超声波和全球卫星导航系统(GNSS)等多种技术。其中，蓝牙被广泛采用，很大程度上是由于对访问麦克风和位置信息的隐私问题的担忧。在本文中，我们专门介绍了使用蓝牙低能信标来检测接近，而不知道接触者的位置或身份的建议。gydF4y2Ba

这些提议的共同点是，智能手机运行一个接触追踪应用程序，该应用程序执行蓝牙接触追踪协议，也被称为近距离追踪协议。因此，设备使用BLE信标广播临时标识符。广播，而不是点对点连接，确保能够接收标识符的设备数量不受手机蓝牙连接速率的限制。接收到这种标识符的手机会记录下它，以及信号功率的信息，这些信息可以用来估计发射设备的距离。随后，这些记录为根据估计的与传染性个体的接近程度进行风险计算提供了基础。gydF4y2Ba

这些提议在如何进行风险计算以及对移动电话和通信基础设施的能力要求方面存在分歧。几十个未部署的学术提案探讨了不同的隐私/安全权衡——例如使用更复杂的密码gydF4y2Ba^{7gydF4y2Ba，gydF4y2Ba9gydF4y2Ba，gydF4y2Ba37gydF4y2Ba}或者要求目前不存在或不可伸缩的基础设施作为他们强大的隐私保障的基础。gydF4y2Ba^{1gydF4y2Ba，gydF4y2Ba3.gydF4y2Ba，gydF4y2Ba9gydF4y2Ba}

我们只讨论基于ble的协议，其设计允许立即部署。我们根据他们的风险计算将他们分为集中式和分散式。在前者中，一个中央服务器代表所有用户进行风险计算，并通知那些它认为有风险的用户。在后者中，每个用户的设备进行个人风险计算，以决定是否通知用户。对于这两者，我们都提供了其操作及其安全性和隐私属性的高级描述。至于更多，我们请读者参阅我们的详细分析和比较。gydF4y2Ba^14gydF4y2Ba

集中proximity-tracing协议。gydF4y2Ba这类接触者追踪协议，gydF4y2Ba^{4gydF4y2Ba，gydF4y2Ba13gydF4y2Ba，gydF4y2Ba28gydF4y2Ba，gydF4y2Ba32gydF4y2Ba}由新加坡的BlueTrace应用开创，gydF4y2Ba^4gydF4y2Ba使用中央服务器生成手机下载并定期广播的临时标识符。当用户收到阳性的COVID-19诊断结果时，该用户的手机应用程序将其收到的所有标识符上传至服务器。服务器对这些标识符执行匹配过程，以确定谁曾长期与covid -19阳性患者接触，并通知这些人潜在的接触。gydF4y2Ba

安全与隐私。gydF4y2Ba在一个gydF4y2Ba集中gydF4y2Ba在设计时，服务器生成临时标识符，并将它们与发送通知所需的长期标识相关联。因此，可以访问服务器的对手可以对任何观察到的BLE信标进行反匿名化。此外，可以影响服务器的对手可以错误地通知用户感染。此外，服务器的信息允许推断用户之间的关系(他们遇到了谁，在什么时候，见面了多长时间)。即使测试结果不是阳性的用户也可以推断出这些信息，只要他们接触了阳性用户。这可能导致范围蔓延，系统或明或暗地被重新利用，比如在新加坡，警察被允许访问与应用程序相关的数据库，用于执法目的。gydF4y2Ba^23gydF4y2Ba

分散proximity-tracing协议。gydF4y2Ba为了避免集中式方法的安全性和私密性缺点，出现了一些分散协议gydF4y2Ba^{8gydF4y2Ba，gydF4y2Ba10gydF4y2Ba，gydF4y2Ba31gydF4y2Ba，gydF4y2Ba36gydF4y2Ba，gydF4y2Ba38gydF4y2Ba}移动BLE信标中短暂标识符广播的生成和匹配过程，使其完全在个人的智能手机上运行。这种设计将中央服务器的作用限制在检查用户是否被医疗保健提供商诊断和分发公共信息，从而降低了它的功能。gydF4y2Ba

---

由于疫情发展迅速，DCT的需求非常迫切，必须在高度压缩的时间内设计、开发和部署。gydF4y2Ba

---

现在我们展示我们的设计，DP-3T协议。gydF4y2Ba^38gydF4y2Ba同时出现的其他协议也非常相似。gydF4y2Ba^{10gydF4y2Ba，gydF4y2Ba13gydF4y2Ba，gydF4y2Ba36gydF4y2Ba}在设置阶段，手机会创建一个秘密种子gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba．之后，DP-3T协议的运行分为三个步骤:gydF4y2Ba

1. 本地临时标识符的创建。gydF4y2Ba手机应用程序使用以下步骤创建它的临时标识符(EphIDs):gydF4y2Ba
   • 每天，秘密种子都会通过简单的、不可逆的转换来旋转:gydF4y2BaSKgydF4y2Ba_{t + 1gydF4y2Ba}= HgydF4y2Ba（gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba),gydF4y2BaHgydF4y2Ba是一个哈希函数。gydF4y2Ba
   • 手机中gydF4y2BangydF4y2Ba= (24 * 60)/gydF4y2BalgydF4y2Ba来自每日种子的短暂标识符(EphIDs):gydF4y2BaEphIDgydF4y2Ba1gydF4y2Ba| |…| |gydF4y2BaEphIDgydF4y2BangydF4y2Ba= PRG(脉冲重复频率(gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba，“broadcast key”))，其中PRF是一个伪随机函数(例如，HMAC-SHA256)，“broadcast key”是一个固定的公共字符串，PRG是一个伪随机生成器(例如，计数器模式的AES)。gydF4y2Ba

每个EphID被广播gydF4y2BalgydF4y2Ba分钟。的值gydF4y2BalgydF4y2Ba是公共的。智能手机随机选择发送这些ephid的顺序。在不知道密钥的情况下，不能链接两个这样的标识符gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba．gydF4y2Ba

1. 操作:存放信标和种子。gydF4y2Ba对于每一个接收到的信标，一个电话存储:gydF4y2Ba
   • 接收到的临时蓝牙标识符EphID。gydF4y2Ba
   • 曝光测量(如信号衰减)。gydF4y2Ba
   • 收到此信标的日期(例如“4月2日”)。gydF4y2Ba

手机存储由EphID索引的信标。此外，每个设备还储存种子gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba它的生成时间为卫生当局建议的时间(例如，14天)。gydF4y2Ba

1. 当地通知程序。gydF4y2BaCOVID-19检测呈阳性的用户经卫生当局授权可以上传种子gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba到中央服务器，对应于病毒可能会传染的第一天。上传后，用户设备随机生成一个新的秘密种子gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba防止与以前的密钥相关联。gydF4y2Ba

所有手机都会定期从该服务器下载covid -19阳性用户的种子。有了每一颗种子，智能手机就可以在当地重建一个被诊断者广播一天的EphIDs列表。应用程序匹配这些EphIDs来检查两件事:如果手机观察到一个带有这些EphIDs的信标，以及观察是否发生在相应的种子之前gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba被发布(以避免重放攻击，其中evid是重新派生从发布gydF4y2BaSKgydF4y2Ba_tgydF4y2Ba和转播的)。利用观察到的信标集的信号强度，智能手机在本地计算其用户与covid -19阳性患者接触的时间和距离。如果时间范围很长，距离足够近，手机就会通知用户一个高风险接触者，表明可能存在传染。gydF4y2Ba

安全与隐私。gydF4y2Ba在这种分散设计中，服务器没有信息来链接临时标识符。服务器也不能影响标识符的生成，也不能随意将用户标记为有风险的用户。这些协议的大多数实现都试图减少服务器传输的信息量，以节省带宽。不幸的是，更有效的带宽实现(如前面描述的)允许积极用户在感染的日子里连接信标广播。协议完全保护非阳性用户。对加密协议的轻微改变可以以增加带宽为代价来对抗可链接性(参见Troncoso等人的不可链接方案)。gydF4y2Ba^38gydF4y2Ba）.gydF4y2Ba

从DP3T到GAEN。gydF4y2Ba谷歌和苹果随后实施了一个去中心化的DCT框架，非常类似于DP-3T，gydF4y2Ba^38gydF4y2Ba在GAEN框架中。gydF4y2Ba^18gydF4y2Ba主要的区别是每天创建一个新的密钥和使用不同的派生来创建EphIDs。gydF4y2Ba

---

可靠和透明的技术对于实现最大程度的公共卫生影响所必需的高度自愿采用至关重要。gydF4y2Ba

---

该框架目前是欧洲和北美和南美40多个DCT应用的基础;据估计，这款游戏的下载量至少有9000万次。几乎所有的欧洲国家和美国都采用了去中心化的方法，因为它具有强大的隐私优势，并且得到了移动操作系统供应商的支持。目前，来自欧盟14个国家的应用程序通过欧洲联邦网关系统连接。gydF4y2Ba^17gydF4y2Ba该网关允许使用GAEN去中心化框架在应用程序之间进行交换(参见“跨卫生系统集成”一节)。在整个大流行病期间，作为国家检测和追踪战略的一部分，采用了国家应用。在大多数欧洲国家，在2022年上半年，DCT应用程序与检测和跟踪一起被暂停。gydF4y2Ba

回到顶部gydF4y2Ba

从协议到系统:集成挑战gydF4y2Ba

尽管近距离追踪协议有助于DCT应用程序的运行以及安全和隐私保障，但在减少COVID-19传播这一更大挑战中，它只是一小部分。该协议必须在移动应用程序中实现，这些应用程序运行在大量不同的手机上，不同的固件和硬件。反过来，应用程序和服务器必须集成到公共卫生系统中，作为卫生服务和用户之间的接口。集成的每一步都给维护端到端安全和隐私带来了新的操作挑战和困难。gydF4y2Ba

与现有硬件的集成。gydF4y2Ba蓝牙的普及为建立广泛部署的隐私保护系统提供了坚实的基础。然而，蓝牙也带来了许多限制。例如，硬件和操作系统中的支持差异很大，通常会向应用程序暴露具有有限功能的不同api。苹果的gydF4y2BaCoreLocationgydF4y2BaAPI允许BLE比它的泛型在后台更广泛地发挥作用gydF4y2BaCore-BluetoothgydF4y2BaAPI只能在专有的“iBeacons”上使用，因此禁止与非苹果设备交互。同样，关于传输功率、标签选项或权限的功能在不同的Android版本中也有所不同。更复杂的是，确保系统对电池寿命的影响最小，同时保持可靠的信息接收和传输。gydF4y2Ba

许多提案选择了一种无连接的广播系统，要求每部电话都产生持续不断的广播信息流。虽然理论上可以使用基于连接的方法，但它将需要更多的电池电量来维持与附近每个手机的连接，并且在拥挤的环境中会遇到干扰问题。此外，最广泛使用的蓝牙广播标准只支持相对较小的信标载荷，这带来了另一个设计约束。另一个隐私问题是对蓝牙隐私扩展的高度不同的支持，比如旋转MAC地址。虽然地址轮换被建议用来减少用户跟踪，但是很多设备不支持它。没有它，对手可以跟踪用户(因为MAC地址保持不变，效果相当于广播一个静态ID)，尽管DCT提议中包含了加密预防措施。gydF4y2Ba^14gydF4y2Ba

集成在移动操作系统中。gydF4y2Ba当设计DCT协议时，设计者假定这些协议将是DCT应用程序的一部分，并且将独立于移动操作系统运行。然而，手机平台的高度集成设计意味着DCT协议必须集成到手机的操作系统中。这是必要的，以保证信标将可靠地发送和接收，以限制电池消耗，并确保在硬件级别的保护(例如，MAC旋转)应用。接下来，我们将描述这种整合的结果如何强烈影响应用的运行和部署方式。gydF4y2Ba

GAEN APIgydF4y2Ba^18gydF4y2Ba超越了必要的整合。它提供了一个应用程序，其API的参数非常有限。这些限制极大地限制了应用程序开发人员在隐私、安全和流行病学效用之间进行权衡的设计选择。gydF4y2Ba

例如，GAEN API的第一个版本只向应用程序提供了大量关于观测信标的汇总信息，操作系统执行曝光计算，并通过API调用提供结果。最初的API版本只允许有限形式的聚合。具体来说，它不允许计算每天的病毒接触积累。因此，早期版本的SwissCovid、Radar COVID(西班牙)、STAYAWAY COVID和HOIA，其流行病学专家选择了基于日的计算，不得不通过执行多个API查询来绕过限制，从而导致通知延迟长达8小时。这个问题最终在GAEN 1.6版本中得到了解决。gydF4y2Ba

再举一个例子，GAEN API的早期版本不允许每日密钥的释放，直到它们过期。这种安全机制旨在降低重放攻击的可能性，它影响了应用程序向中央服务器上传密钥的方式。授权用户仍然可能具有传染性;因此，该用户应该上传截至并包括上传当天的密钥。因此，大多数应用程序不得不改变原来的授权方案，在没有用户干预的情况下，在第二天进行第二次授权上传。这不仅改变了应用程序的功能流程，也改变了安全分析:在用户背后再次上传会带来风险，用户的授权可能被滥用，从而将未经授权的加密材料上传到服务器。gydF4y2Ba

最后，GAEN API如何以及何时集成到操作系统中严重影响了DCT应用程序的可用性。例如，旧版本的iOS，如iPhone 6，在该框架最初发布6个月后才得到支持。这影响了数量不可忽视的用户，他们失去了使用该应用程序的兴趣。其他较老的iOS版本，即使是那些最初支持该框架的版本，也没有很好的后台任务管理，这阻碍了应用程序，不允许它们定期醒来，下载有关感染用户的新信息。gydF4y2Ba

纳入卫生系统。gydF4y2Ba在所有DCT应用程序中，该过程中的一个关键步骤是，covid -19阳性的人将临时标识符种子上传到服务器。为了确保只有受感染的用户上传标识符种子，最大限度地降低虚假警报的可能性，应用程序需要卫生系统提供授权密钥。但是，只有少数提案指定了如何安全地提供此密钥。gydF4y2Ba^{9gydF4y2Ba，gydF4y2Ba15gydF4y2Ba}

虽然这一过程看似简单，但事实证明是一项重大挑战，因为大多数国家的卫生系统缺乏一个全面的数字化框架来管理大流行应对措施的各个方面，包括检测结果和与人的互动。通常情况下，这些系统甚至没有计算机化，只有几个不相连的数据库和无法与患者进行数字化交流的工作人员。为了应对这种情况，大多数应用程序使用一种非常简单的授权机制，通过电话或短信与用户沟通。此外，需要经常由缺乏经验或能力直接经营此类服务的政府部门不断发展、维持和保障发展、维持和保障DCT基础设施。gydF4y2Ba

跨卫生系统整合。gydF4y2Ba最后，这一流行病是一个全球性问题。在世界各地，人们经常在州或国家之间旅行和通勤。在这种情况下，应用程序必须能够触发跨境通知。gydF4y2Ba

在设计DCT协议时，容易的互操作性是一个考虑因素。原则上，分散协议的隐私保障促进了跨国界的信息交换。在这些协议中，只有受感染用户的密钥必须交换。这些密钥并不敏感，因为它们不包含关于个人、其位置或与其他人的交互的信息。gydF4y2Ba

在实践中，法律专家已经将上传的种子归类为GDPR下的匿名个人数据，这意味着法律规则会影响它们如何共享以及与谁共享。这样的法律考虑阻碍了欧洲联邦网关服务器(EFGS)的快速部署。gydF4y2Ba^17gydF4y2Ba欧洲大多数国家的去中心化应用都使用它来交换钥匙。gydF4y2Ba

当各国以不同的方式配置GAEN API以估计暴露风险时，互操作性也变得复杂。即使一个国家为自己的风险函数使用了一组简单的参数，例如SwissCovidgydF4y2Ba^35gydF4y2Ba-它的服务器可能需要收集额外的信息来支持其他国家更复杂的风险功能，例如CoronaWarnApp。gydF4y2Ba^11gydF4y2Ba这就需要创建公共标准来交换与键相关的元数据，并使解释和支持其他风险函数的逻辑复杂化。gydF4y2Ba

不断增加的复杂性也会影响一个国家的应用程序向其公民承诺的隐私。当其他国家发布额外的信息来进行风险评估时，这些信息就会被对手获取，他们可以利用这些信息来减少用户的匿名集。减轻这种泄漏需要开发人员仔细选择共享的信息，以最小化推断，同时仍然支持有意义的风险评估。gydF4y2Ba

回到顶部gydF4y2Ba

部署大规模DCT:经验教训gydF4y2Ba

上一节提到的挑战阻碍了这些应用在许多步骤上的部署，需要额外的工程来大规模构建和部署应用。在多个国家的部署过程中，我们吸取了许多宝贵的经验教训，这凸显了研究和学术工作往往与现实需求不一致。学术研究有时旨在达到超越现实情况要求的完美水平。此外，学术工作通常专注于系统的一个方面，并需要额外的机制来确保安全和隐私属性包含部署系统的所有元素，从手机到云。gydF4y2Ba

隐私必须在各个层面得到保障。gydF4y2Ba学术界和公共论坛的长时间讨论集中在竞争性DCT协议及其安全性和隐私属性上。然而，正如我们前面提到的，加密协议只是DCT系统的一小部分。补充低级协议的信息流可能导致隐私泄露，必须使用其他机制来防止。gydF4y2Ba

网络层的隐私。gydF4y2Ba上传至服务器的信息不能与报告其积极状态的用户的身份联系起来。然而，只要有上传这些信息的连接，就会向任何可以看到用户IP地址的对手(例如Wi-Fi网络上的窃听者或互联网服务提供商)透露用户的健康状况(sars - cov -2阳性)。gydF4y2Ba

在学术界，典型的缓解措施是让应用程序在真实流量的基础上生成虚拟流量，以帮助模糊真实行为何时发生。即使虚拟流量是众所周知的，并且经常被提出，但要正确地实现它也并非微不足道。例如，配置流量需要了解必须模拟的实际使用模式。实际上，这种模式通常是未知的，尤其是对于DCT这样的新服务。一个简单的选择是过度提供虚拟流量，但这会减少电池寿命和消耗数据带宽，从而影响用户体验。为了平衡这些要求，与其让虚拟流量和真实流量难以区分，貌似合理的推诿是一个更容易实现的目标。这使系统能够否认某些操作是真实的(在本例中，通过声称上传是假的来否认实际发生的上传)。它在学术出版物中通常被认为是薄弱的，但在实践中往往足够。gydF4y2Ba

认证方案的隐私性。gydF4y2Ba除了隐藏与上传相关的流量模式外，认证机制不提供关于(1)用户身份或(2)用户和用户上传信息之间的链接的额外信息也是很重要的。gydF4y2Ba^15gydF4y2Ba

虽然存在强大的加密工具，可以同时实现安全性和断开链接能力，例如匿名凭证或加密承诺，但在实践中使用它们需要高度数字化的卫生系统，而大多数国家无法提供这种系统。而且，即使使用匿名凭据的系统，对手也可以使用许多正交的推断方法，例如计时或IP-address元数据。由于后一类元数据很难隐藏，gydF4y2Ba^ggydF4y2Ba大多数应用程序使用一种简单的基于代码的认证方案，并相信服务器不会记录将用户的ip和他们的临时标识符链接起来的信息。gydF4y2Ba

接触跟踪应用程序在广泛使用时最有价值，因此一些国家选择将其服务器托管在公共云中以支持高负载。其他国家在政府或当地公司拥有的基础设施中本地托管服务器。无论托管是公共的还是私有的，大量用户都需要一些技术，比如负载平衡器和防火墙，这些技术可以记录应用程序设计者无法控制的信息。仔细设计应用服务器的日志记录策略是至关重要的，以确保云基础设施记录的任何信息都不会被用来侵犯应用用户的隐私。gydF4y2Ba

曝光估计超越了距离测量。gydF4y2Ba另一个在学术界和公众讨论的争论点是BLE测量距离的准确性和它是否适合作为DCT的底层技术。gydF4y2Ba^{27gydF4y2Ba，gydF4y2Ba41gydF4y2Ba}在实践中，虽然准确性很重要，蓝牙层距离测量的改进也很有价值，gydF4y2Ba^{22gydF4y2Ba，gydF4y2Ba29gydF4y2Ba}重要的是要记住，接触者追踪应用程序的目标不是测量某个时间点的精确距离，而是估计一个人在一段时间内与其他covid -19阳性人群的接触情况。gydF4y2Ba

同样重要的是要记住，计算暴露程度的流行病学基础并不是一门精确的科学。这种技术解决方案模仿了接触者追踪访谈，要求患者回忆密切接触者，通常定义为在2米(6英尺)内接触时间超过15分钟的人。在这种情况下，病人对距离的估计自然受到人类感知和记忆的精度和准确性的限制。此外，2-m准则本身就是一个近似。病毒停止传播的具体距离并不确定，而高危区在很大程度上取决于环境条件，比如空气流通。在这篇文章的后面，我们讨论了在通风不良的地方通报污染的补充协议，在那里，传染可能会发生在远远超过2米的地方。gydF4y2Ba

第三，GAEN框架的曝光计算受到测量频率和通过框架API暴露给应用程序的信息的限制，这限制了信息的组合方式。因此，现有的联系人追踪应用程序采用了多种策略，包括非常简单的方法gydF4y2Ba^35gydF4y2Ba复杂的公式。gydF4y2Ba^{6gydF4y2Ba，gydF4y2Ba11gydF4y2Ba}这些对曝光计算的约束也降低了距离测量精度的重要性，因为它在聚合函数中被稀释，并被测量频率降低。gydF4y2Ba

即使是最好的技术，如果不使用也会表现不佳。gydF4y2Ba研究人员和开发人员专注于通过提高测量精度来优化技术，并提出了许多方案的变体。这些替代方案在安全、隐私和设备功能(例如，电池消耗、传感器使用和手机以外设备的使用)之间提供了不同的权衡。然而，最终，没有任何改进可以增加缺乏广泛采用的技术的价值。实现这一目标需要良好的集成，不仅在技术意义上，而且在广泛的环境中与过程和个人进行集成。gydF4y2Ba

---

谷歌和苹果随后在他们的曝光通知框架中实现了一个去中心化的DCT框架，非常类似于DP-3T。gydF4y2Ba

---

联系人追踪应用的环境很复杂，涉及许多利益相关者:政府、公共卫生服务和员工、移动运营商、移动操作系统开发人员，当然还有用户。在本文中，我们讨论了这些应用程序对操作系统的强烈依赖以及移动系统开发人员的更改所导致的技术集成困难。然而，在世界各地，这些应用程序面临的主要困难出现在程序和社会融合方面:gydF4y2Ba

由公共实体推出。gydF4y2Ba在许多国家，卫生当局推出这一技术是一个复杂的过程，涉及公共卫生系统的许多方面，以及对技术基础设施和公共应用程序的陌生部署。首先，每个卫生当局需要为其当地市场采购或以其他方式建立DCT系统。DP-3T和其他项目开发的开源软件有助于资源较少国家的发展。此外，苹果和谷歌支持许多国家的开发工作，并将Express应用程序整合到他们后来的操作系统版本中。即使有了这种支持，也不是所有国家都能迅速推出应用支持的DCT系统或正确地维护它。gydF4y2Ba

外部依赖。gydF4y2Ba追踪接触者app的运行周期并不完全是技术性的。gydF4y2Ba^5gydF4y2Ba协议之外有两个关键步骤:向用户交付授权码，并在通知后联系卫生系统。在大多数国家，这些过程需要人工干预，并已被证明是系统中最不可靠的部分。将这些步骤纳入现有医疗实践的困难会导致延迟和沟通失败，从而降低对健康的影响，并可能最终导致用户放弃应用程序，导致公众认为该应用程序没有用处或功能。gydF4y2Ba

瓶颈也出现在不使用授权代码，而是与保存测试结果的国家电子健康记录集成的系统中。在爱沙尼亚，对感染确诊要求强有力的认证被证明是限制因素。尽管提供了多种身份验证方法，但并非所有COVID-19检测结果呈阳性的患者都能获得至少一种确认感染的方法，从而阻止他们通知其他人。gydF4y2Ba

传播策略。gydF4y2Ba采用追踪联系人的应用程序取决于多种因素。gydF4y2Ba^{21gydF4y2Ba，gydF4y2Ba24gydF4y2Ba}其中包括用户对该应用的效用和使用该应用所带来的风险的感知。两项研究和实践结果都表明，由于该应用使用了蓝牙(一种不用于距离测量的技术)，以及对其隐私属性的担忧，其准确性受到了极大的阻碍。gydF4y2Ba

考虑到我们努力尽量减少应用程序使用的数据，隐私问题的重要性令人惊讶。不幸的是，这些应用程序的隐私属性只有专家才了解。此外，早期公众对中心化和去中心化应用利弊的激烈辩论可能加剧了这种困惑。大多数用户没有验证应用程序的手段，很难相信它不会收集数据(考虑到他们手机上几乎所有其他应用程序都不是这样)。要使非专家积极参与这类公共讨论，数字素养越来越重要。gydF4y2Ba

---

手机平台的高度集成设计意味着DCT协议必须集成到手机的操作系统中。gydF4y2Ba

---

对该应用程序的准确性和有效性的担忧很难解释。此外，应用程序强大的隐私保护不允许立即收集统计数据来显示其价值。然而，在应用程序之外收集有关DCT的数据是可能的。gydF4y2Ba^5gydF4y2Ba通过使用这些其他手段，研究人员已经在至少三个国家证明了这些应用程序的有效性。gydF4y2Ba^{12gydF4y2Ba，gydF4y2Ba16gydF4y2Ba，gydF4y2Ba33gydF4y2Ba，gydF4y2Ba40gydF4y2Ba}除此之外，这些研究表明，应用程序的二次攻击率与手动追踪相似，为不住在同一家庭的用户提供比手动追踪联系人更快的通知，并比手动报告病例的联系人覆盖更广的圈子。这些发现虽然可以让人们对这些应用的价值和有效性建立信心，但也很难让大众清楚地理解这些发现。在一些国家，迄今为止通信主要局限于研究人员而不是当局，限制了它在增加DCT使用方面的价值。gydF4y2Ba

回到顶部gydF4y2Ba

展望未来:为下一个紧急情况铺平尊重技术的道路gydF4y2Ba

DP3T项目证明了在不收集可能被滥用的数据的情况下构建和部署实用的、可伸缩的和有用的保护隐私的应用程序是可能的。与此同时，我们的部署经验表明，很难实现高度的端到端隐私。在设计中交付高保证要求几个月的迭代工作，以克服在当今面向服务的软件工程实践中根植于隐私的许多实际障碍。gydF4y2Ba^26gydF4y2Ba

这种困难很大程度上源于我们对智能手机生态系统的依赖，而这个生态系统被苹果和谷歌紧紧控制着。这两家巨头的参与带来了显著的优势:它迅速建立了事实上的国际标准，并迅速汇集了两家公司的资源，以构建和部署高效的GAEN实现。然而，他们的参与意味着这两家公司决定哪些DCT应用程序是允许的，以及如何操作。gydF4y2Ba

有两个变化可以使未来的公共卫生部署更快，减少对大型技术的依赖。在公共部门方面，迫切需要改善独立的基础设施和软件开发能力。在平台方面，移动应用程序开发模式的出现在架构上必须与谷歌和Apple提供的核心操作系统分离，这样关键的控制点(应用程序交付、更新、通知等)就不再完全由操作系统提供商控制了。gydF4y2Ba^20.gydF4y2Ba这并不意味着完全删除所有控制点，这可能会导致安全漏洞。但是考虑到软件开发和分发中的安全问题并不一定需要给少数公司我们目前所做的巨大的决策权。对于研究界和社会来说，这些专有平台的替代品的出现是非常重要的，这样，未来的公共卫生软件就可以是有效的、完全负责的和可审计的。反思当前格局的必要性越来越受到政治关注，比如欧盟的第三方应用商店条款gydF4y2Ba数码市场行为。gydF4y2Ba

尽管分散式DCT协议中嵌入了强有力的保护措施，但一些国家对这些应用的采用有限，阻碍了它们的有效性。然而，其他国家(英国、芬兰、荷兰、爱尔兰和德国)的应用水平相当高，有证据表明，这款应用程序警告了数百万用户，在很多情况下比手动追踪联系人更快。gydF4y2Ba^{33gydF4y2Ba，gydF4y2Ba40gydF4y2Ba}未来，重要的是要从一开始就通过整合隐私保护指标，加速收集有效性证据，从而提高采用率。然而，计算这些指标的机制很难在实践中集成。gydF4y2Ba^26gydF4y2Ba

可以利用DCT应用程序背后的设计原则构建其他应用程序，以帮助控制大流行。例如，越来越多的证据表明，SARS-CoV-2可以通过近距离接触传播。去中心化技术还可用于有效地通知访客有sars - cov -2阳性参与者的场馆和活动。gydF4y2Ba^30.gydF4y2Ba

同样的设计理念以限制应用的目的为中心，也可以应用于其他新技术，特别是在其影响不确定的情况下，如缓解大流行的技术解决方案。通过这条道路，我们可以利用技术的潜在好处，而不会危及自由、自由和隐私权等基本社会价值。gydF4y2Ba

回到顶部gydF4y2Ba

致谢gydF4y2Ba

作者要感谢所有参与部署和评估COVID-19 DCT应用程序的个人研究人员、公司、组织和公共卫生官员。该项目已得到瑞士巴塞尔Botnar基金会的部分资助。gydF4y2Ba卡梅拉TroncosogydF4y2Ba（gydF4y2Bacamela.troncoso@epfl.chgydF4y2Ba)是本文的联系作者。gydF4y2Ba

数字观看作者对这部作品的独家讨论gydF4y2Ba通信gydF4y2Ba视频。gydF4y2Ba//www.eqigeno.com/videos/proximity-tracinggydF4y2Ba

回到顶部gydF4y2Ba

回到顶部gydF4y2Ba

数字图书馆是由计算机协会出版的。版权所有©2022 ACM股份有限公司gydF4y2Ba

---

没有发现记录gydF4y2Ba