StopCovid: הסודות של אתגר טכני! אנחנו מספרים לכם הכל!

החל מהשבוע הבא יחלו הבדיקות הראשונות של אפליקציית StopCovid, בעוד שהאפליקציה הרשמית תשוחרר ב-2 ביוני לקהל הרחב - אלא אם חברי פרלמנט יחליטו אחרת.

תוכנית זו אמורה לאפשר לדעת (באופן אנונימי ובהתנדבות)אם נדבקת בפוטנציה על ידי הנגיף, על ידי מפגש עם אדם חולהמספיק זמן בנסיעה. כמובן שהנושא הוא טכני, אך גם מעלה שאלות הנוגעות להגנת הפרטיות, שני מרכיבים הקשורים זה בזה. לכן מענייןלדעת איך התוכנית פועלת, ואת הבחירות שנעשו-גם בצד של אפל וגם של המדינות השונות.

לא נתייחס כאן לבעיות בריאותיות., כמו התועלת של אפליקציה כזו במאבק נגד המגיפה, שאלות שעדיין מתלבטות ברחבי העולם. הרעיון הוא דווקא להסביר לך איך התוכנית תעבוד מזווית טכנית ומהן הגישות השונות. אתה גם תביןמדוע iOS מטיל כל כך הרבה הגבלות על אנדרואיד וגם את הבחירות של אפל וגוגל מבחינת מעקב.

מאמר זה הופק עםהשתתפותו של Mathieu Hausherr, מפתח ראשי בVirtuo - השכרת רכב, מערכת ידועה להשכרת רכב בצרפת, המשתמשת ב-Bluetooth כדי לפתוח כלי רכב. מתייה ערך כנס מקוון בנושא זה לפני מספר ימים, תוך ניצול מומחיותו וכדי להבין את הנושאים.תודה גם לתומס ז'וסיין,לונבי, שמשתתפת בפרויקט StopCOVID לצד Inria, ANSSI, Capgemini, Dassault Systèmes, Inserm, Orange, Santé Publique France ו- Withings.

למה להשתמש ב-Bluetooth?

בלוטות' היא ללא ספק הטכנולוגיה הפשוטה ביותר להכנהאיתור מגעבאופן אנונימי ויעיל: לא מדובר במעקב מקומי (אין נתוני GPS, או מתקבלים מ-WiFi/4G, לפחות במערב), הרעיון הוא רק לדעת אם נתקלתם באדם נגוע, ללא קשר למיקום.

Bluetooth נמצא בכל הטלפונים כבר שנים(iOS 5/Android 4.3) ובפרט בצורהBLEעבור Bluetooth Low Energy. מערכת זו צורכת מעט מאוד חשמל, עד פי שישה פחות אנרגיה מ-WiFi למשל. בניגוד למה שנכתב פה ושם, גם ברקע, ההשפעה על האוטונומיה נותרה זניחה.

Bluetooth מציע גם תכונה הנקראתמִגדַלוֹראוֹiBeaconאצל אפל. כמו מגדלור, זהו משואה שפולטת אות כל X שניות ומאפשרת לך לומר "אני כאן" לכל המכשירים מסביב. בשימוש עבור מיקום גיאוגרפי מקורה (כדי לדעת, למשל, היכן ציור ממוקם במוזיאון או דלפק בשדה תעופה, ראה להלן), ניתן להשתמש בו גם כדי לבצע איתור מגע די בקלות, הטכנולוגיה היא באמצעות פלטפורמות מרובות במקומות אחרים :פשוט להקשיב להםמשואותסביבנו כדי לדעת אם מכשירים נמצאים בקרבת מקום או לא. בעזרת אפליקציות מתקדמות, אנו יכולים לגרום לטלפונים לדבר ולהחליף נתונים - מה שקורה לעתים רחוקות עם iBeacon, כאשר כל משואה פשוטצפצופים.

Bluetooth גם מאפשר לך לקבל מושג על המרחק בין שני מכשירים. הודות לעוצמת האות (בערך), נוכל להסיק מדידה משוערת עם המכשיר השני.

זה לא מושלם, אבלמספיק מדויק כדי לדעת אם האדם נמצא לידך או בדירה למעלה. הרעיון להשתמש בו עבוראיתור מגעואז מקבל את המשמעות המלאה שלו: אנחנו יכולים לדעת בקלות אם היינו קרובים לאדם חולה ולכמה זמן.

מגבלות iOS

כדי להגן על פרטיות המשתמשים בו, אפל מטילה כמה הגבלות ב-iOS:

באנדרואיד יש פחות מגבלות: אפליקציה יכולה לשחק את התפקיד של Beacon ברקע, אנדרואיד מספקת את ה-Tx המפורסם הדרוש לחישוב מדויק יותר של המרחק ולבסוף, מאז Android 9, יש צורך בהרשאת משתמש כדי להשתמש ב-Bluetooth ברקע. בעיקרון, אפליקציית אנדרואיד יכולה בקלות להפוך טלפון למרגל, בעוד שאפל מעדיפה לבטל את הפונקציה בכל המקרים, אפילו לשימוש שמכבד פרטיות או בריאות כמו כאן. זה הכלסוגיית הדיון בין צרפת לאפל בשבועות האחרונים, תיירי ברטון מבקש חריגה מטים קוקעבור האפליקציה הצרפתית - אך הבקשה בהחלט הוגשה ברוב המדינות המציעות כיום יישומים דומים.

החדשות הטובות הן שאפליקציה מסוג StopCOVID יכולה לעבוד באייפון ללא עזרה ספציפית מאפל.התוכנית אכן יכולה לסרוק את המכשירים סביבה ולאחזר את המידע הדרוש (ראה להלן) ברקע. מצד שני, אם האייפון רדום, הוא לא יכול לשלוח נתונים לאף אחד, משחק את התפקיד של ביקון - האייפון אז הופך, באופן מסוים, לבלתי ניתן לזיהוי ונשאר ישן.

כך שאייפון מתעורר מהעייפות שלו בנוכחות מכשירים אחרים (ולכן יכול להחליף נתונים),הם חייבים לשחק את התפקיד של Beacon: זה המקרה עבור כל דגמי אנדרואיד, בין אם הם במצב המתנה או לא. האייפון יכול להתנהג גם כמגדלור, אבל לא ברקע - זו המגבלה העיקרית. בקיצור,ללא מכשיר אנדרואיד בסביבה, מכשירי האייפון יישארו אילמים אחד לשני.

לְמַעֲשֶׂה,במדינות כמו צרפת, שבהן גוגל מייצגת 60 עד 80% מהשוק, סטטיסטית כמעט תמיד יהיה מכשיר אנדרואיד במקומות עסוקים-היכן אתה צפוי להיתקל בחולה שאינך מכיר (תחבורה, מרכזי קניות, מסעדות וכו'). באזורים כמו אוסטרליה או ארה"ב, עם נתח שוק של 50%, זה כבר יותר מעצבן, כי אנחנו יכוליםדמיינו שסביבנו יש רק מכשירי אייפון במצב המתנה-בפגישות חברה למשל. זו הסיבה שתוכניות מסוימות (כמו באוסטרליה) שולחות באופן קבוע התראות למשתמשים, ומבקשות מהם להפעיל את האפליקציה בחזית.

על ידי שימוש בממשקי ה-API של אפל, המגבלות הללו קופצות בפתאומיות: האייפון יכול להשתמש ב-Bluetooth בשני הכיוונים ברקע ולהחליף נתונים ללא צורך בכךהתעורר. אז למה לא להשתמש בממשקי ה-API האלה? כי כדי שתהיה לך גישה אליו, אתה חייבחייב להשתמש בפרוטוקול החלפה מבוזרתetבַּעַל, שהוטלו על ידי אפל וגוגל, שמדינות מסוימות, כולל צרפת, סירבו עד כה.

יוֹתֵרסירוב זה אינו בהכרח אידיאולוגי, בניגוד למה שדווחו בתקשורת כלשהי, אשר יצביע על כך שצרפת פועלת לבדה נגד כולם: יצירת האפליקציות הללו לוקחת זמן וה-API של אפל היה זמין רק שבוע טוב בזמן כתיבת שורות אלה, בעוד שלעתים קרובות הרשויות כבר פיתחו את האפליקציות שלהן עם פרוטוקולים אחרים - כמו בצרפת, אוסטרליה, בריטניה, סינגפור וכו'. אם מדינות מסוימות, כמו שוויץ, גרמניה או אוסטריה, אומרות כעת שהן מוכנות לאמץ את הפתרון האמריקאי, אין ספק שזה בגללהפיתוח שלהם לא מתקדם כמו האחרים או שהפתרון שנבחר (כמו בשוויץ) די קרוב למה שאפל מציעה-ולכן, קל יותר ליישום. בעניין זה אין אפוא בהכרח מופת, אלא צירוף נסיבות.

אבל בכל מקרה, מה הפתרון הטוב ביותר? ריכוזי או לא? זה בדיוק הנושא של החלק השני שלנו.

בסין המעקב אינו אנונימי ונדרש מעקב אחר כל אדם!

ריכוזי או מבוזר: מה ההבדלים?

האם יש לנו גישה ריכוזית או לא? הוויכוח השתולל כבר כמה שבועות בין השנייםפרטיזניםשל זה או אחר, עם תוצאה של מספר לא מבוטל של אי הבנות, במיוחד בקרב ניאופיטים.

לְפִי שָׁעָה,כל המדינות עם אפליקציה (מאומתת) בחרו בגישה ריכוזית, קל ומהיר יותר להגדרה ולשליטה. זה היה המקרה בסינגפור, דרום קוריאה, אוסטרליה ואפילו אנגליה. נראה היה שצרפת וגרמניה הולכות באותו שביל, לפני שהחברים הגרמנים שלנו החליטו לחזור אחורה. בינתיים,שוויץ וכמה מדינות באירופה פיתחו מערכת בשם DP-3T שנוצרה במיוחד על ידי EPFL(בלוזאן), מבוזרת ומאז השתלטה באופן נרחב על ידי אפל וגוגל עבור ה-API המשותף המפורסם שלהם.אבל האם באמת יש מערכת טובה יותר?

בשוויץ, הצבא הוא זה שבודק את האפליקציה!

תמיד יש רשות בריאות "מרכזית".

כפי שנראה,שתי הגישות הללו אינן שונות כל כך: בכל המקרים, הנתונים העוברים בין הטלפונים השונים לרשות הבריאות נשארים אנונימיים. מעל הכל, אמצעי השידור הם שמשתנה!

במקרה של הגישה הריכוזית כמו זו של פרוטוקול ROBERT הצרפתי-גרמני, חילופי המידע מוגבלים מאודעם טלפונים אחרים (הם מחליפים באופן קבוע מזהים ארעיים, אבל זה הכל, אף אחד לא יודע מי חולה). מצד שני, אנחנו מקיימים קשר קבוע עם רשות הבריאות, שיודעת את המזהים של אנשים שנתקלו באנשים חולים, אנחנו למעשה מתקרבים לקשר שהיה לנו עם הרופא שלנו.עם זאת, אין עניין של ביצוע הקישור בין חולה למספר ת.ז שלו, למשל., אנחנו מכירים אותו רק תחת שם בדוי. מבלי להיכנס לפרטים טכניים, שיטה זו מאפשרתלקבוע במהירות אם נתקלת (או לא) באנשים נגועיםואם יש צורך (למשל), להיבדק. והפרוטוקול מבטיח שהמידע הזה לעולם לא יישמר, אתה היחיד שמודיע על כך. אחד היתרונות הוא גם ללהיות מסוגל לשנות ולהתאים את דרך חישוב הסיכון בכל עת, שכן השרת הוא הבעליםהמודיעיןשל המערכת.

פרוטוקול ROBERT, עם השרת המרכזי שלו

במקרה של גישה מבוזרת, כמו DP-3T או זו של אפל/גוגל, עדיין יש שרתמֶרכָּזִילְהַמֵר, זה של רשות הבריאות. אבל האחרון מאחסן רק את המזהים החולפים של חולים - אנו אומרים שהם ארעיים, כי הם תקפים רק לזמן מוגדר ואז מתחדשים. אלו הם שנשלחים לאחר מכן לכל הטלפונים, אשר יכולים לאחר מכן לבדוק מצדם האם הם תואמים לאלה שנשמרו במהלך התקופה. ברור ששיוך המזהה/המטופל יבוצע באופן מקומי, ולא מרחוק. לעומת זאת, כל הטלפונים אוספים את כל המזהים של כל החולים (האנונימיים) בכל רגע.

בסופו של דבר,שתי הגישות זקוקות לשרת מרכזי, ואז החלפת המזהים וחישוב הסיכון נעשים אחרת-על ידי השרת בגישה הריכוזית, בטלפון בגישה המבוזרת. יתר על כן, רשות הבריאות חייבת להיות מסוגלת לאמת שחולה... אכן חולה:אבחון עצמי יציג יותר מדי סיכונים למחלות שווא. בכל המקרים, מעורבות המדינה היא כמובן חיונית.

האם מערכת אחת טובה מהאחרת? לאחר דיון עם מספר מומחים, קשה להחליט: במקרה של גישה מבוזרת, כולם יודעים את המזהים של כל החולים. ברור שאם תצליחו להשיג מזהה מאדם שאתם מכירים (למשל, השכן שלכם, או לקוח של בנק, עסק וכדומה), יהיה די קל לדעת בדיעבד האם האדם הזה חולה. יכולנו לדמיין (ראה תמונה למעלה)שסוחר, מבטח וכו'.לְרַחְרֵחהמזהים החולפים שלך ובודק שהם ברשימה(אנחנו כבר מוצאים דוגמאות של אפליקציות,כמו כאן). לעומת זאת, יהיה כמעט בלתי אפשרי לדעת מי חולה באוכלוסיה הכללית שאיתה לא היית בקשר.

בגישה הריכוזית הסיכון הוא... ריכוזי. למעשה, השרת מאחסן הרבה יותר מידע, ואף יכול להקליט נתוני חיבור המאפשרים קישור בין מטופל לכתובת ה-IP שלו, למשל. לעומת זאת, זה יהיהקשה יותר (או אפילו בלתי אפשרי) עבור צד שלישי סביבך לדעת אם אתה חולה, כי חילופי המידע מוגבלים הרבה יותר בין טלפונים. במקרה של השרת המרכזי, יש גם פחות נתונים מאוחסנים בכל טלפון, כאשר הגישה המבוזרת היא יותר מילולית.

אפליקציית NHS האנגלית דומה למדי ל-StopCOVID

בשתי הגישות, יש אפוא פגמים וסיכונים.יש הסבורים שאפל וגוגל בחרו בגישה מבוזרת, כדי למנוע ממדינות טוטליטריות או פיראטים אפשריים להיות מסוגלים לשלוט בקלות רבה מדי בשרת מרכזי, אבל זו רק השערה. אוּלָם,אפילו במערכת מבוזרת, נוכל גם לדמיין שרשות מחליטה שהאפליקציה שלה תעקוב אחר המזהים שלךבשרת של צד שלישי, למשל, או מוסיף GPS או נתוני זהות - כפי שקורה בסין. כדי להימנע מבעיות אלו, רוב המדינות הדמוקרטיות מפרסמות את מקורות האפליקציות ומבצעות ביקורת על השרתים על ידי צדדים שלישיים, על מנת להציע ערבויות לאוכלוסיות.בדרך כלל זה יהיה המצב בצרפת.

לסיום

הבנת את זה,הפתרונות הטכניים רבים ומביאים את חלקם בערבויות... וסיכונים. בנוסף להיבט הפוליטי (האם ליצור אפליקציה או לא, והטכנולוגיה בה משתמשים), ישנה גם שאלת התפעול ההדדית: למה לא ליצור אפליקציה אירופאית? מה לגבי אינטראקציות בין מדינות, במקרה של חילופי אוכלוסין (במיוחד במהלך הקיץ)?

גם הדיון סביב ריבונות (לאומי, אירופאי) מעניין: באיזו מידה יש ​​לאפל לגיטימציה לכפות עלינו את הפרוטוקול שלה? אולי חברה פרטית יכולה להיות ניטרלית מול מדינות, שאינן תמיד דמוקרטיות? באיזו מידה ניתן לאפשר לחברות זרות פרטיות לחסום גישה לחומרה בשוק ההמוני? לעומת זאת, במיוחד מאז פרשת סנודן, יש כאלה שלא מהססים לעשות זאתלהראות חוסר רצון כלפי הרשויות במדינותיהם, ולהצדיק את הצורך בשחקן פרטי, שלדעתם נייטרלי יותר, בדיון.

בכל מקרה, וגם אם StopCOVID לא בהכרח שימושי השנה,חשיבה על פתרון יעיל למעקב אחר מגע נשארת מעניינת, רק כדי להיות מוכנים למגיפה הבאה למשל או במקרה של גל חדש בחורף הקרוב.