En række kryptografer har fremsat anklager om lukkethed overfor det europæiske samarbejde PEPP-PT, der skal udvikle en app til smitteopsporing i forbindelse med Covid-19.
Den franske kryptograf Nadim Kobeiss har i et blogindlæg redegjort for synspunktet.
Den 3. april 2020 offentliggjorde et team af 26 europæiske forskere, ledet af professor Dr. Carmela Troncoso fra det schweiziske universitet EPFL, et dokument om protokollen Decentralized Privacy-Preserving Proximity Tracing protocol (DP-3T), som er beregnet til at muliggøre privatlivsbeskyttende mekanismer til kontaktsporing i stor skala.
DP-3T har tiltrukket sig betydelig opmærksomhed med mange frugtbare diskussioner på projektets Github-side, blandt andet med kvalificeret kritik fra en håndfuld i det kryptografiske miljø, herunder blogindlæggets forfatter Nadim Kobeiss.
Den 10. april blev det annonceret, at en variant af DP-3T skal anvendes af Apple og Google til udrulning på alle deres mobile enheder.
Tidligere i april meddelte organisationen Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), der blandt andre har professor Sune Lehmann fra DTU Compute som deltager, at man ville kigge nærmere på DP-3T, som et bud på en protokol, der både kan beskytte privatlivets fred og benyttes til opsporing.
»Deres system er lukket«
Men omkring d. 16 april fjernede PEPP-PT alle henvisninger til DP-3T.
»Deres system er lukket og ikke åbent for gennemgang af eksterne eksperter. Vi kan ikke se specifikationen,« har én af forskerne bag DP-3T, Kenneth Paterson, udtalt, ifølge Nadim Kobeiss.
»Vi kan ikke se koden. Så systemet kan være fuld af fejl. Det kan have en bagdør for sikkerhedstjenester. Ingen uden for deres lukkede projekt kan sige det.«
Flere kryptografer har siden vendt PEPP-PT ryggen.
Bekymringen blandt kryptograferne er, ifølge Nadim Kobeiss, at PEPP-PT forsøger at styre sine partnere ind i en uigennemsigtig, centraliseret tilgang til kontaktsporing, i stedet for at følge den offentlige akademiske tilgang, som DP-3T benytter.
For at tackle situationen bør PEPP-PT gøre følgende, mener Nadim Kobeiss:
»Forklare dets kontaktsporingsindsats, og retfærdiggøre skiftet væk fra offentligt dokumenterede, åbne design som DP-3T og nævne, hvilke alternativer man vil anvende i stedet. Afslør navnene på de præcise teknologer og videnskabsfolk, der arbejder med alternative sporingsprotokoller, hvis nogen, såvel som deres trusselmodeller, sikkerhedsgarantier og andre designelementer. Offentliggør en styringsproces og et styrende organ, der er mere nuanceret og legitimt end en håndfuld virksomheder og institutioner forenet under Hans-Christian Boos (lederen af PEPP-PT, red. ) til et ubestemt formål og under lukkede omstændigheder.«
Version2 bringer mandag et interview med Sune Lehmann fra DTU om appen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
