Una coalición de científicos y tecnólogos de la UE que está desarrollando lo que se denomina un estándar de "preservación de la privacidad" para el seguimiento de proximidad basado en Bluetooth, como un proxy del riesgo de infección por COVID-19, quiere manzana y Google para realizar cambios en una API que están desarrollando con el mismo propósito general.
El seguimiento paneuropeo de proximidad para preservar la privacidad (PEPP-PT) no ocultado en 1 de abril, pidiendo a los desarrolladores de aplicaciones de rastreo de contactos que respalden un enfoque estandarizado para procesar los datos de los usuarios de teléfonos inteligentes para coordinar las intervenciones digitales a través de las fronteras y reducir el riesgo de que las herramientas de rastreo de ubicación demasiado intrusivas ganen impulso como resultado de la pandemia.
PEPP-PT dijo hoy que tiene siete gobiernos suscritos para aplicar su enfoque a las aplicaciones nacionales, con una cartera reclamada de otros 40 en discusiones sobre unirse.
"Ahora tenemos muchos gobiernos interactuando", dijo Hans-Christian Boos de PEPP-PT, durante un seminario web para periodistas. “Algunos gobiernos declaran públicamente que sus aplicaciones locales se construirán sobre la base de los principios de PEPP-PT y también de los diversos protocolos suministrados dentro de esta iniciativa.
"Sabemos de siete países que ya se han comprometido a hacer esto, y actualmente estamos conversando con 40 países que se encuentran en varios estados de incorporación".
Boos dijo que una lista de los gobiernos se compartiría con los periodistas, aunque al momento de escribir esto no la habíamos visto. Pero le hemos pedido información a la empresa de relaciones públicas de PEPP-PT y actualizaremos este informe cuando lo obtengamos.
"El enfoque paneuropeo ha funcionado", agregó. “Los gobiernos han decidido a una velocidad previamente desconocida. Pero con 40 países más en la cola de la incorporación, definitivamente hemos superado solo el enfoque europeo, y para nosotros esto muestra que la privacidad como modelo y como punto de discusión … es una declaración y es algo que podemos exportar porque estamos creíble en eso ".
Paolo de Rosa, CTO del Ministerio de Tecnología de Innovación y Transformación Digital para el gobierno italiano, también participó en el seminario web, y confirmó que su aplicación nacional se construirá sobre PEPP-PT.
"Tendremos una aplicación pronto y obviamente se basará en este modelo", dijo, sin ofrecer más detalles.
El reclamo central de "preservación de la privacidad" de PEPP-PT se basa en el uso de arquitecturas de sistemas que no requieren que se recopilen datos de ubicación. Más bien, los dispositivos que se acercan compartirían identificaciones seudonimizadas, que luego podrían usarse para enviar notificaciones a un individuo si el sistema calcula que se ha producido un riesgo de infección. Los contactos de una persona infectada se cargarían en el punto de diagnóstico, lo que permitiría enviar notificaciones a otros dispositivos con los que habían entrado en contacto.
Boos, portavoz y coordinador de PEPP-PT, dijo a TechCrunch a principios de este mes El proyecto apoyará enfoques tanto centralizados como descentralizados. Los ID de significado anteriores se cargan en un servidor de confianza, como uno controlado por una autoridad sanitaria; este último significa que las ID se mantienen localmente en los dispositivos, donde también se calcula el riesgo de infección: un servidor de fondo solo está en el bucle para transmitir información a los dispositivos.
Es un sistema de rastreo de contactos tan descentralizado que Apple y Google están colaborando en el apoyo – PEPP-PT de seguimiento rápido la semana pasada al anunciar un plan para el seguimiento de contactos COVID-19 multiplataforma a través de una API próxima y luego un sistema (opcional) para el seguimiento de proximidad basado en Bluetooth.
Esa intervención, realizada por las dos únicas plataformas de teléfonos inteligentes que importan cuando la ambición es la adopción de la aplicación principal, es un desarrollo importante, que está impulsando en el mundo occidental el seguimiento de contactos descentralizados para responder digitalmente a la crisis del coronavirus, ciertamente a nivel de plataforma.
en un resolución Aprobada hoy, el Parlamento Europeo también pidió un enfoque descentralizado para el seguimiento de proximidad COVID-19. Los eurodiputados están presionando para que la Comisión y los Estados miembros sean "totalmente transparentes en el funcionamiento de las aplicaciones de rastreo de contactos, para que las personas puedan verificar tanto el protocolo subyacente de seguridad como la privacidad, y verificar el código en sí para ver si la aplicación funciona como las autoridades están reclamando ". (Los La Comisión ha señalado previamente una preferencia por la descentralización también.)
Sin embargo, los partidarios de PEPP-PT, que incluyen al menos siete gobiernos (y la afirmación de muchos más), no se dan por vencidos con la opción de una opción centralizada de "preservación de la privacidad", que algunos en su campamento apodan 'pseudo- descentralizado ', con Boos afirmando hoy que están en curso conversaciones con Apple y Google sobre la realización de cambios en su enfoque.
Tal como está, las aplicaciones de rastreo de contactos que no utilizan una infraestructura descentralizada no podrán llevar a cabo el rastreo de Bluetooth en segundo plano en Android o iOS, ya que las plataformas limitan la forma en que las aplicaciones generales pueden acceder a Bluetooth. Esto significa que los usuarios de dichas aplicaciones tendrían que tener la aplicación abierta y activa todo el tiempo para que funcione el seguimiento de proximidad, con impactos asociados (negativos) en la vida útil de la batería y la usabilidad del dispositivo.
También existen restricciones (intencionales) sobre cómo se pueden centralizar los datos de seguimiento de contratos, como resultado del despliegue del modelo de servidor de retransmisión en el modelo conjunto Apple-Google.
"Apreciamos mucho que Google y Apple estén avanzando para hacer que la capa del sistema operativo esté disponible, o poniendo lo que debería ser el sistema operativo realmente allí, que es la medición de Bluetooth y el manejo de criptografía y la ejecución en segundo plano de tales tareas que deben sigan funcionando con capacidad de recuperación todo el tiempo: si observan sus protocolos y si observan a quién los proporcionan, los dos actores dominantes en el ecosistema móvil, entonces creo que desde una perspectiva gubernamental especialmente, o desde muchas perspectivas gubernamentales, hay muchos puntos abiertos para discutir ”, dijo Boos hoy.
"Desde una perspectiva PEPP-PT, hay algunos puntos para discutir porque queremos elegir e implementar opciones en términos de modelo: descentralizado o centralizado sobre su protocolo crea en realidad lo peor de ambos mundos, por lo que hay muchos puntos para discutir. Pero, contrariamente al comportamiento que muchos de nosotros que trabajamos con compañías tecnológicas, estamos acostumbrados a Google y Apple, somos muy abiertos en estas discusiones y todavía no tiene sentido levantarse en armas porque estas discusiones están en curso y parece que se puede llegar a un acuerdo con ellos."
No estaba claro qué cambios específicos quiere PEPP-PT de Apple y Google: solicitamos más detalles durante el seminario web pero no obtuvimos respuesta. Pero el grupo y sus patrocinadores del gobierno pueden tener la esperanza de diluir la postura de los gigantes tecnológicos para facilitar la creación de gráficos centralizados de contactos Bluetooth para alimentar las respuestas nacionales de coronavirus.
Tal como está, la API de Apple y Google está diseñada para bloquear la coincidencia de contactos en un servidor, aunque todavía puede haber formas para los gobiernos (y otros) para solucionar parcialmente las restricciones y centralizar algunos datos.
Nos comunicamos con Apple y Google con preguntas sobre las discusiones alegadas con PEPP-PT. Al momento de escribir ninguno de los dos había respondido.
Además de Italia, los gobiernos alemán y francés se encuentran entre los que han indicado que respaldan el PEPP-PT para las aplicaciones nacionales, lo que sugiere que los poderosos Estados miembros de la UE podrían estar luchando con los gigantes tecnológicos, en la línea de Apple contra el FBI, si la presión para ajustar la API falla.
Otro aspecto clave de esta historia es que PEPP-PT continúa enfrentando críticas estridentes de expertos en privacidad y seguridad en su propio patio trasero, incluso después de que eliminó una referencia a Un protocolo descentralizado para el rastreo de contactos COVID-19 eso está siendo desarrollado por otra coalición europea, compuesta por expertos en privacidad y seguridad, llamada DP-3T.
Coindesk informó ayer sobre la edición silenciosa del sitio web de PEPP-PT.
Los partidarios de DP-3T también han preguntado en repetidas ocasiones por qué PEPP-PT no ha publicado códigos o protocolos para su revisión hasta la fecha, e incluso ha ido tan lejos como para duplicar el esfuerzo de un "caballo de Troya".
El Dr. Kenneth Paterson de ETH Zürich, quien es parte del esfuerzo de PEPP-PT y diseñador de DP-3T, no pudo arrojar ninguna luz sobre los cambios exactos que la coalición espera extraer de "Gapple" cuando preguntamos.
"Todavía no han dicho exactamente cómo funcionaría su sistema, por lo que no puedo decir qué necesitarían (en términos de cambios en el sistema de Apple y Google)", nos dijo en un intercambio de correos electrónicos.
Hoy, Boos expresó la eliminación de la referencia a DP-3T en el sitio web de PEPP-PT como un error, lo que atribuyó a la "mala comunicación". También afirmó que la coalición todavía está interesada en incluir el protocolo descentralizado del primero dentro de su paquete de tecnologías estandarizadas. Entonces, las líneas ya difusas entre los campamentos continúan siendo redibujadas. (También es interesante notar que los correos electrónicos de prensa a Boos ahora están siendo evaluados por Hering Schuppener; una empresa de comunicaciones que vende servicios de publicidad, incluidas las relaciones públicas de crisis).
"Realmente lamentamos eso", dijo Boos sobre la escisión DP-3T. “En realidad, solo queríamos poner las diversas opciones en el mismo nivel que existen. Todavía hay todas estas opciones y apreciamos mucho el trabajo que están haciendo colegas y otros.
"Sabes que hay una discusión candente en la comunidad criptográfica sobre esto y de hecho alentamos esta discusión porque siempre es bueno mejorar los protocolos". Lo que no debemos perder de vista es … que no estamos hablando de criptografía aquí, estamos hablando de la gestión de pandemias y siempre que una capa de transporte subyacente pueda garantizar una privacidad lo suficientemente buena porque los gobiernos pueden elegir lo que quieran ".
Boos también dijo que PEPP-PT finalmente publicaría algunos documentos técnicos esta tarde, optando por divulgar información unas tres semanas después de su presentación pública y un viernes por la noche (desde entonces se ha publicado una "descripción general de alto nivel" de 7 páginas) Github aquí – pero aún está muy lejos del código para su revisión) – mientras hace una petición simultánea para que los periodistas se centren en la "imagen más amplia" de combatir el coronavirus en lugar de seguir obsesionándose con los detalles técnicos.
Durante el seminario web de hoy, algunos de los científicos que respaldan PEPP-PT hablaron sobre cómo están probando la eficacia de Bluetooth como proxy para rastrear el riesgo de infección.
"El algoritmo en el que hemos estado trabajando analiza la cantidad acumulada de tiempo que las personas pasan cerca unas de otras", dijo Christophe Fraser, profesor del Departamento de Medicina de Nuffield y Líder de Grupo Senior en Dinámica de Patógenos en el Instituto Big Data. , Universidad de Oxford, que ofrece una introducción general sobre el uso de datos de proximidad Bluetooth para rastrear la transmisión viral.
“El objetivo es predecir la probabilidad de transmisión desde los datos de proximidad del teléfono. Por lo tanto, el sistema ideal reduce la cuarentena solicitada a las personas con mayor riesgo de infección y no da la notificación, aunque se haya registrado algún evento de proximidad, a aquellas personas que no corren el riesgo de infectarse ".
"Obviamente será un proceso imperfecto", continuó. "Pero el punto clave es que, en este enfoque innovador, deberíamos poder auditar el grado en que esa información y esas notificaciones son correctas, por lo que necesitamos ver realmente, de las personas a las que se les ha enviado la notificación cuántas ellos en realidad estaban infectados. Y de aquellas personas que fueron identificadas como contactos, cuántas no lo fueron.
"La auditoría se puede hacer de muchas maneras diferentes para cada sistema, pero ese paso es crucial".
Evaluar la efectividad de las intervenciones digitales será vital, según Fraser, cuya presentación podría haber sido interpretada como un argumento para que las autoridades de salud pública tengan mayor acceso a los gráficos de contactos. Pero es importante tener en cuenta que Protocolo descentralizado de DP-3T establece claramente que los usuarios de la aplicación opten por compartir voluntariamente datos con epidemiólogos y grupos de investigación para que puedan reconstruir el gráfico de interacción entre usuarios infectados y en riesgo (también conocido como acceder a un gráfico de proximidad).
"Es realmente importante que si va a realizar una intervención que va a afectar a millones de personas, en términos de estas solicitudes de (cuarentena), que esa información sea la mejor ciencia posible o la mejor representación posible de la evidencia en el punto en el que da la notificación ", agregó Fraser. “Y, por lo tanto, a medida que avanzamos, esa evidencia, nuestra comprensión de la transmisión del virus, va a mejorar. Y, de hecho, la auditoría de la aplicación puede permitir que eso mejore y, por lo tanto, parece esencial que esa información se retroalimente ".
Ninguno de los PEPP-PT alineado las aplicaciones que se están utilizando actualmente para pruebas o referencias están interactuando con los sistemas de las autoridades nacionales de salud, según Boos, aunque citó una prueba en Italia que se ha conectado al sistema de salud de una empresa para ejecutar pruebas.
“Hemos proporcionado a los creadores de aplicaciones el back-end, les hemos proporcionado un código de muestra, les hemos proporcionado protocolos, les hemos proporcionado la ciencia de la medición, y así sucesivamente. Tenemos una aplicación que simplemente no tiene integración en el sistema de salud de un país, en Android e iOS ", señaló.
En sus sitio web PEPP-PT enumera una serie de "miembros" corporativos que respaldan el esfuerzo, incluidos los de Vodafone, junto con varias instituciones de investigación, incluidas las de Alemania Instituto Fraunhofer Heinrich Hertz para telecomunicaciones (HHI) que se ha informado como líder del esfuerzo.
El director ejecutivo de HHI, Thomas Wiegand, también estuvo en la llamada de hoy. En particular, su nombre apareció inicialmente en la lista de autores del Libro Blanco del DP-3T. Sin embargo, el 10 de abril fue eliminado de la lista README y de autoría, según su historial de documentos de Github. No se dio ninguna explicación para el cambio.
Durante la conferencia de prensa de hoy, Wiegand hizo una intervención que parece poco probable que lo haga llegar a la comunidad de criptografía y derechos digitales más amplia, describiendo el debate en torno a qué sistema de criptografía usar para los contactos de COVID-19 como un "espectáculo secundario" y expresando preocupación por lo que él llamado "debate público abierto" de Europa podría "destruir nuestra capacidad de salir de esto como europeos".
"Solo quería que todos fueran conscientes de la dificultad de este problema", dijo también. “La criptografía es solo uno de los 12 componentes básicos del sistema. Así que realmente me gustaría que todos regresen y reconsideren qué problema tenemos aquí. Tenemos que ganar contra este virus … oTenemos otro bloqueo o tenemos muchos problemas importantes. Me gustaría que todos lo tengan en cuenta y piensen en ello porque tenemos una oportunidad si actuamos juntos y realmente ganamos contra el virus ".
La conferencia de prensa tuvo un comienzo aún más desfavorable después de que la llamada de Zoom fue interrumpida por spam racista en el campo de chat. Justo antes de eso, Boos había iniciado la llamada diciendo que había escuchado de "algunas personas más expertas en tecnología que no deberíamos estar usando Zoom porque es inseguro – y para una iniciativa que quiere seguridad y privacidad es la herramienta incorrecta ".
“Desafortunadamente descubrimos que muchos de nuestros colegas internacionales solo tenían esto en sus PC corporativas, por lo que con el tiempo Zoom tiene que mejorar, o necesitamos obtener mejores instalaciones. Ciertamente no es nuestra intención filtrar los datos en este Zoom ", agregó.
