Kryptografer anklager europæisk smitte-app for lukkethed

Illustration: Lasse Gorm Jensen
Organisation bag europæisk smitte-app holder kortene tæt til kroppen, lyder kritik.

En række kryptografer har fremsat anklager om lukkethed overfor det europæiske samarbejde PEPP-PT, der skal udvikle en app til smitteopsporing i forbindelse med Covid-19.

Den franske kryptograf Nadim Kobeiss har i et blogindlæg redegjort for synspunktet.

Den 3. april 2020 offentliggjorde et team af 26 europæiske forskere, ledet af professor Dr. Carmela Troncoso fra det schweiziske universitet EPFL, et dokument om protokollen Decentralized Privacy-Preserving Proximity Tracing protocol (DP-3T), som er beregnet til at muliggøre privatlivsbeskyttende mekanismer til kontaktsporing i stor skala.

DP-3T har tiltrukket sig betydelig opmærksomhed med mange frugtbare diskussioner på projektets Github-side, blandt andet med kvalificeret kritik fra en håndfuld i det kryptografiske miljø, herunder blogindlæggets forfatter Nadim Kobeiss.

Den 10. april blev det annonceret, at en variant af DP-3T skal anvendes af Apple og Google til udrulning på alle deres mobile enheder.

Tidligere i april meddelte organisationen Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), der blandt andre har professor Sune Lehmann fra DTU Compute som deltager, at man ville kigge nærmere på DP-3T, som et bud på en protokol, der både kan beskytte privatlivets fred og benyttes til opsporing.

»Deres system er lukket«

Men omkring d. 16 april fjernede PEPP-PT alle henvisninger til DP-3T.

»Deres system er lukket og ikke åbent for gennemgang af eksterne eksperter. Vi kan ikke se specifikationen,« har én af forskerne bag DP-3T, Kenneth Paterson, udtalt, ifølge Nadim Kobeiss.

»Vi kan ikke se koden. Så systemet kan være fuld af fejl. Det kan have en bagdør for sikkerhedstjenester. Ingen uden for deres lukkede projekt kan sige det.«

Flere kryptografer har siden vendt PEPP-PT ryggen.

Bekymringen blandt kryptograferne er, ifølge Nadim Kobeiss, at PEPP-PT forsøger at styre sine partnere ind i en uigennemsigtig, centraliseret tilgang til kontaktsporing, i stedet for at følge den offentlige akademiske tilgang, som DP-3T benytter.

For at tackle situationen bør PEPP-PT gøre følgende, mener Nadim Kobeiss:

»Forklare dets kontaktsporingsindsats, og retfærdiggøre skiftet væk fra offentligt dokumenterede, åbne design som DP-3T og nævne, hvilke alternativer man vil anvende i stedet. Afslør navnene på de præcise teknologer og videnskabsfolk, der arbejder med alternative sporingsprotokoller, hvis nogen, såvel som deres trusselmodeller, sikkerhedsgarantier og andre designelementer. Offentliggør en styringsproces og et styrende organ, der er mere nuanceret og legitimt end en håndfuld virksomheder og institutioner forenet under Hans-Christian Boos (lederen af PEPP-PT, red. ) til et ubestemt formål og under lukkede omstændigheder.«

Version2 bringer mandag et interview med Sune Lehmann fra DTU om appen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Godt at der råbes vagt i gevær.. Hvem står bag https://github.com/SecureTagForApproachRecognition

Det er en komplet implementation af et SDK - til contractracing vha. bluetooth - med god privacy beskyttelse (data ligger på telefonen kun) - og hvor hvert land kan have sin "egen app" - og stadigvæk kan alle apps - samarbejde om at få af vide hvilke "bluetooth id'er" der er konstateret smittet - og advare lokalt på telefonen, hvis denne telefon har været i kontakt med den konstateret smittede's telefon-id.

Jeg håbede/troede, åbenbart naivt, at ovenstående var pepp-pt's implementation..

Jeg kan se at forfatteren bag ovenstående, nu har lagt betydeligt arbejde i DP-3T app SDK - som altså så tydeligvis IKKE er relateret til pepp-pt.org's.. Så please everyone - use the dp-3t app sdk. Når forfatteren bag den forrige, skifter - bør alle andre nok også :)

  • 5
  • 0
Log ind eller Opret konto for at kommentere