image

Duitse overheid kiest toch niet voor corona-app die data centraal opslaat

dinsdag 28 april 2020, 12:11 door Redactie, 9 reacties

De Duitse overheid kiest toch niet voor een corona-app die data centraal opslaat, zo hebben kabinetschef Helge Braun en minister van Volksgezondheid Jens Spahn in een verklaring laten weten. Vorige week maakte de Duitse overheid nog bekend dat het een corona-app wilde gaan inzetten gebaseerd op de PEPP-PT-technologie, waarbij gepseudonimiseerde gegevens van burgers centraal worden opgeslagen.

Volgens een woordvoerder van het Duitse ministerie van Volksgezondheid had centrale opslag van gegevens de voorkeur, omdat dit het eenvoudiger zou moeten maken om de ontwikkeling van de epidemie te volgen. Duitse oppositiepartijen waren echter fel tegen het plan. Ze stelden dat door de keuze voor centrale opslag de acceptatie van de app door het publiek zou worden ondermijnd.

Verschillende Duitse expertorganisaties, waaronder hackersclub CCC, riepen de Duitse overheid vervolgens op een andere corona-app te kiezen. Door te kiezen voor gecentraliseerde opslag zouden burgers de corona-app niet vertrouwen en daardoor ook niet gebruiken. Bij een gecentraliseerde opslag wordt het namelijk eenvoudiger om de verzamelde data naar gebruikers te herleiden, aldus de expertorganisaties.

Een ander probleem dat speelde was dat de keuze voor PEPP-PT op iOS-toestellen een probleem is. Apple staat namelijk niet toe dat apps die in de achtergrond draaien van bluetooth gebruik kunnen maken. De Duitse overheid ging in overleg met Apple om PEPP-PT op iOS volledig te ondersteunen, maar het techbedrijf weigerde te buigen, waardoor de Duitse overheid zich gedwongen zag om een andere optie te kiezen, aldus een bron tegenover Reuters.

Na de ontstane ophef kwam Spahn en Braun met een verklaring waarin ze stellen dat het belangrijk is dat veel Duitsers de app straks zullen gebruiken. "Om dat doel te bereiken zal de overheid gebruik gaan maken van een gedecentraliseerde softwarearchitectuur die de programmeerinterfaces van Apple en Google gebruikt, die binnenkort beschikbaar komt." Gebruikers kunnen er straks zelf voor kiezen om hun gepseudonimiseerde gegevens naar het Duitse RIVM te sturen.

"Met een gedecentraliseerde variant krijgt de app een echte kans", zegt het Duitse parlementslid Anke Domscheit-Berg, die toevoegt dat het venijn echter in de details zit.

Image

Reacties (9)
28-04-2020, 12:21 door karma4
De Australische methodiek lijkt me echt decentraal.
28-04-2020, 12:33 door The FOSS - Bijgewerkt: 28-04-2020, 12:34
Door karma4: De Australische methodiek lijkt me echt decentraal.

Maar die werkt ook niet op iOS indien niet op de voorgrond en unlocked [*]. Lekker voor je accuverbruik.

[*] https://www.abc.net.au/news/2020-04-26/coronavirus-tracing-app-covidsafe-apple-iphone-covid-19/12187448
28-04-2020, 12:37 door [Account Verwijderd]
Het lijkt dat Duitsland hiermee in het zelfde lijstje komt als Oostenrijk en Zwitserland, dan beide ook hebben besloten om te kiezen voor een decentrale aanpak. Waarom blijft onze minister achter? Blijkbaar is er toch niet zoveel geleerd van de 'appathon' als er beweerd wordt.

Door karma4: De Australische methodiek lijkt me echt decentraal.
In de 'Privacy Impact Analyse' van Australië staat duidelijk beschreven dat het gebruikte BlueTrace/OpenTrace protocol een centraal model is. Dat is in scherpe tegenstelling tot bijvoorbeeld de DP-3T en Google/Apple voorstellen.
28-04-2020, 13:03 door Anoniem
Door karma4: De Australische methodiek lijkt me echt decentraal.

Decentraal tot welke mate??
28-04-2020, 13:39 door Anoniem
Door iatomory:
(..)
Door karma4: De Australische methodiek lijkt me echt decentraal.
In de 'Privacy Impact Analyse' van Australië staat duidelijk beschreven dat het gebruikte BlueTrace/OpenTrace protocol een centraal model is. Dat is in scherpe tegenstelling tot bijvoorbeeld de DP-3T en Google/Apple voorstellen.

Eens met iatomory: de Australische app “Covid Safe” is gebaseerd op het BlueTrace framework, een gecentraliseerd platform. Dat is al eerder besproken met Karma4 en onderbouwd met referenties:
https://www.security.nl/posting/653658/Draft+specificaties+Apple_Google+Bluetooth+contact+tracing+API
27-04-2020, 14:16 door Anoniem
https://www.security.nl/posting/654230/Australische+overheid+lanceert+eigen+bluetooth+corona-app
28-04-2020, 02:35 door Anoniem
Die eindigt met de woorden @Karma4: "Dit is terminologie die algemeen geaccepteerd is, en eenduidig omschreven in Wikipedia. Als jij dezelfde woorden gebruikt maar er iets anders mee bedoelt kan ik het niet meer volgen".
28-04-2020, 14:09 door karma4
Door Anoniem:
Door karma4: De Australische methodiek lijkt me echt decentraal.
Decentraal tot welke mate??
Het verzamelen van de contacten is niet afhankelijk van een server.

Het downloaden van de app is gekoppeld aan centrale servers. Niet te voorkomen.
Het uploaden van data NA besmetting en met validaties, dat gaat naar centrale servers. Niet te voorkomen.

Als je het contactonderzoek niet op centrale servers kan laten doen is het enige andere een schaduw persoon die jou constant volgt. Ik heb het niet zo op stasi methoden wegens het privacy argument. Ja de DDR hanteerde daarvoor de bescherming van de vrijheden waarmee je een persoonlijke begeleider kreeg.
28-04-2020, 14:30 door [Account Verwijderd] - Bijgewerkt: 28-04-2020, 14:30
@Karma4
Het centraal/decentraal slaat op de vraag waar de 'mogelijke besmetting' bepaalt wordt. Is dat op een centrale server van de GGD die je dan belt, of is dat om je telefoon lokaal nadat je een lijst met contact momenten hebt gedownload. In dat eerste geval is het duidelijk dat de GGD kan bepalen wie met wie in contact is geweest, naast het eerder genoemde massa surveillance risico met behulp van bluetooth tracking. In het tweede geval is de GGD niet op de hoogte van wie met wie contact heeft, het bepalen van of je risico loopt gebeurt op je eigen telefoon. Het lijkt mij dus niet alleen te gaan om de vraag of je wel of geen contact moment op je telefoon bijhoudt, maar óók om te vraag of er een centrale server is die bepaalt of je mogelijk in contact bent geweest met iemand die positief is getest.
28-04-2020, 16:25 door karma4 - Bijgewerkt: 28-04-2020, 16:27
Door iatomory: @Karma4
Het centraal/decentraal slaat op de vraag waar de 'mogelijke besmetting' bepaalt wordt. Is dat op een centrale server van de GGD die je dan belt, of is dat om je telefoon lokaal nadat je een lijst met contact momenten hebt gedownload
..
Het lijkt mij dus niet alleen te gaan om de vraag of je wel of geen contact moment op je telefoon bijhoudt, maar óók om te vraag of er een centrale server is die bepaalt of je mogelijk in contact bent geweest met iemand die positief is getest.
Dat verhaal met de centrale server is een goede vraag.

Centraal: Als je bij het vastleggen van contacten een centrale server nodig hebt. … De Google/Apple benadering dan zeg ik dat het om een centrale server oplossing gaat. Hier ziet het massasurveillance risico via de regelmatige verplichte contacten.

Decentraal: Heb je bij het vastleggen van de contacten geen centrale server nodig (Australie Singapore) dan is de vastlegging echt decentraal. Omdat er in de basis GEEN data uitgewisseld is dat met de data minimalisatie de minste kans op ander gebruik. Hier is de GGD en ook niemand anders van iets op de hoogte tenzij er een vastgestelde besmetting is.

BIj het contactonderzoek moet alles via de GGD lopen, verspreiding tijd / locaties kun je alleen via een centrale aanpak doen. Juist het idee van ieder voor zich god voor ons allen heeft de verspreiding in de hand gewerkt.
Je moet goed bedenken in welke fases iets enkel decentraals volstaat en wanner een centrale aanpak gewenst en proportioneel is.

Niet alles is wat op het eerste gezicht lijkt. Denk aan de matrix, minority report, 1984.
Denk verder na, doe meer onderzoek.
30-04-2020, 19:51 door Anoniem
Door karma4:
Door iatomory: @Karma4
Het centraal/decentraal slaat op de vraag waar de 'mogelijke besmetting' bepaalt wordt.
Is dat op een centrale server van de GGD die je dan belt, of is dat op je telefoon lokaal nadat je een lijst met contact momenten hebt gedownload.
(*)Centraal: In dat eerste geval is het duidelijk dat de GGD kan bepalen wie met wie in contact is geweest, naast het eerder genoemde massa surveillance risico met behulp van bluetooth tracking.
(**)Decentraal In het tweede geval is de GGD niet op de hoogte van wie met wie contact heeft, het bepalen van of je risico loopt gebeurt op je eigen telefoon.
Het lijkt mij dus niet alleen te gaan om de vraag of je wel of geen contact moment op je telefoon bijhoudt, maar óók om te vraag of er een centrale server is die bepaalt of je mogelijk in contact bent geweest met iemand die positief is getest.
Centraal: Als je bij het vastleggen van contacten een centrale server nodig hebt. … De Google/Apple benadering dan zeg ik dat het om een centrale server oplossing gaat. Hier ziet het massasurveillance risico via de regelmatige verplichte contacten.

Decentraal: Heb je bij het vastleggen van de contacten geen centrale server nodig (Australie Singapore) dan is de vastlegging echt decentraal. Omdat er in de basis GEEN data uitgewisseld is dat met de data minimalisatie de minste kans op ander gebruik. Hier is de GGD en ook niemand anders van iets op de hoogte tenzij er een vastgestelde besmetting is.

BIj het contactonderzoek moet alles via de GGD lopen, verspreiding tijd / locaties kun je alleen via een centrale aanpak doen. Juist het idee van ieder voor zich god voor ons allen heeft de verspreiding in de hand gewerkt.
Je moet goed bedenken in welke fases iets enkel decentraals volstaat en wanner een centrale aanpak gewenst en proportioneel is.

Niet alles is wat op het eerste gezicht lijkt. Denk aan de matrix, minority report, 1984.
Denk verder na, doe meer onderzoek.

Karma4 in jouw reactie van 16:25 laat je delen van de reactie van "iatomory" weg die juist essentieel zijn. Wat er niet klopt aan jouw reactie staat onderaan.

Iatomory heeft het correct omschreven:
Door iatomory:
centraal/decentraal slaat op de vraag waar de 'mogelijke besmetting' bepaalt wordt.
Dus of een platform centraal of decentraal wordt genoemd is afhankelijk van:
- de plaats waar de verwerking van gegevens plaatsvindt: namelijk ben ik als deelnemer in contact geweest met een positief geteste deelnemer. Wordt deze “match” iedere dag lokaal uitgerekend op de smartphone van iedere deelnemer dan is het platform decentraal. Als deze "match" wordt uitgerekend op een centrale server dan is het een "centraal platform".
- de plaats waar de berekening plaats vindt van de “Rolling Proximity Identifiers (RPIDs)” of ook wel genoemd “Ephemeral (NL: vergankelijk, tijdelijk) Identifier (EphID)”. Deze berekening vindt ook lokaal op de smartphone zelf plaats bij een decentraal systeem.
Daarom heb ik dat antwoord van "iatomory" weer volledig weergegeven; de "bold" accentuering en de herhaling van de woorden:
(*) centraal en
(**) decentraal heb ik toegevoegd.

Er zijn nu ongeveer vijftig Corona-Apps bekend:
https://en.wikipedia.org/wiki/COVID-19_apps
Deze apps draaien op een platform. Daarvan zijn in dit Wikipedia artikel een paar genoemd. De citaten in deze reactie die aanduiden of het platform centraal of decentraal is ingericht zijn uit dit Wikipedia artikel over de Corona-apps afkomstig, of uit een artikel over het platform zelf. Hieronder staan PEPP-PT, DPPPT ook wel DP3T genoemd, Google+Apple, en BlueTrace.

PEPP-PT Pan-European Privacy-Preserving Proximity Tracing
https://en.wikipedia.org/wiki/Pan-European_Privacy-Preserving_Proximity_Tracing
is a co-ordination effort which contains both centralised and decentralised approaches.(…) unlike DP-3T, it uses a centralized reporting server to process contact logs and individually notify clients of potential contact with an infected patient
Vanwege de mix van centrale en decentrale elementen heeft een aantal wetenschappers deze groep verlaten.
Gebruikers: Frankrijk (Robert), Duitsland (***), Engeland (****) Italie (Immuni)
(***) https://www.security.nl/posting/654458/Duitse+overheid+kiest+toch+niet+voor+corona-app+die+data+centraal+opslaat
Duitsland koos dus eerst voor PEPP-PT, en later voor het platform van Google+Apple:
… zal de overheid gebruik gaan maken van een gedecentraliseerde softwarearchitectuur die de programmeerinterfaces van Apple en Google gebruikt, die binnenkort beschikbaar komt
(****) Volgens Huib Modderkolk in Op1 dinsdag 28 april 2020, zie hieronder bij Google+Apple voor een link.

DPPPT ook wel DP3T genoemd: Decentralised Privacy-Preserving Proximity Tracing
https://en.wikipedia.org/wiki/Decentralized_Privacy-Preserving_Proximity_Tracing
The protocols differ in their reporting mechanism, with PEPP-PT requiring clients to upload contact logs to a central reporting server and whereas with DP-3T, the central reporting server never has access to contact logs nor is it responsible for processing and informing clients of contact. Because contact logs are never transmitted to third parties, it has major privacy benefits over the PEPP-PT approach, however this comes at the cost of requiring more computing power on the client side to process infection reports
De verwerking van matches vindt dus op de smartphone van iedere deelnemer plaats, en het systeem heet daarom per definitie “DEcentraal”
Gebruikers van DP3T zijn Oostenrijk (StoppCorona), Zwitserland, Estonia.
Ook twee van de uitgenodigde deelnemers aan de Appathon van VWS zijn gebaseerd op DP3T;
namelijk de App van Deus (1 van de 7 deelnemers aan de Appathon), en PrivateTracer (nummer 8 van de Appathon). Meer info over de technische details van de deelnemende Apps aan de Appathon is te vinden in de spreadsheet van Henri ter Hofte:
https://docs.google.com/spreadsheets/d/1S22jSACupa4PEW_pxQhKBLvezjawk8CdFfXq26B9rgg/edit#gid=605550150

Google+Apple (de titel “contact tracing” is vervangen door “exposure notification service”)
https://en.wikipedia.org/wiki/Google_/_Apple_contact_tracing_project
According to Google, the Google / Apple contact tracing project was "heavily inspired" by the DP-3T protocol.
Gebruikers: onbekend want het protocol is (nog ) niet beschikbaar, Duitsland wil dit gaan gebruiken.(***)
Het verrassende is dus dat Google+Apple zeggen een decentraal privacy-vriendelijk platform in te gaan richten terwijl je misschien verwacht dat juist zij alle informatie in een centraal systeem willen verzamelen.
Huib Modderkolk, onderzoeksjournalist van de Volkskrant, zei op dinsdag 28 april in het talkprogramma Op1 ongeveer het volgende: "Apple en Google kunnen ook veel winnen in deze Corona-tijd, door een functionele Corona-App te bouwen die alleen doet wat hij moet doen"
https://www.npostart.nl/google-en-apple-slaan-handen-ineen-en-maken-samen-de-onderliggende-techniek-voor-corona-apps/28-04-2020/POMS_BV_16106769

BlueTrace / Open Trace
https://en.wikipedia.org/wiki/BlueTrace
Once a user tests positive for infection, the health authority requests the contact log. If the user chooses to share their log, it is sent to the health authority where they match the temporary ID with contact information.
De verwerking van matches vindt hier dus op een centrale server plaats, en dat is bepalend voor de definitie van “centraal systeem”
Gebruikers: Singapore (TraceTogether), Australie (CovidSafe),

En dan een aspect dat misschien tegen ieders intuitie in gaat. Er zijn bij alle platforms en dus ook bij de decentrale platforms, altijd centrale servers aanwezig, maar die bevatten geen privacygevoelige informatie:
1. er is altijd een centrale server voor download van de Corona-App, dat zal de Google PlayStore of AppleStore zijn. Deze servers bevatten geen persoonlijke informatie.
2. er is altijd een centrale “reporting" server die uitwisseling van versleutelde “besmette Corona-contacten RPID's of EphID's” mogelijk maakt. Deze centrale “reporting” servers zijn nodig voor het functioneren van de Corona-App. Deze reporting servers bevatten bij een decentraal systeem alleen de versleutelde “Rolling Proximity Identifiers (RPIDs)” of ook wel genoemd “Ephemeral Identifier (EphID)” en bevatten dus geen onversleutelde persoonlijke informatie, en bepalen ook niet of er een “match” is.
Of de privacy hier gewaarborgd is hangt af van de sterkte van de encryptie. AES 256 lijkt voldoende sterk. Gebaseerd op het Principe van Kerckhoffs:
https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle
A cryptosystem should be secure even if everything about the system, except the key, is public knowledge

De enige plaats waar in een decentraal systeem wel privacy-gevoelige informatie is opgeslagen is:
3. er is altijd een centrale server voor de ondersteuning van de GGD waarop informatie over door de Corona-App gewaarschuwde en positief geteste personen wordt verzameld nadat zij een waarschuwing hebben ontvangen van hun Corona-app en nadat zij toestemming hebben gegeven voor upload van hun RPID's of EphID's naar de GGD server. Deze GGD server bevat dus wel privacy-gevoelige informatie over positief geteste personen en hun Corona-app contacten, maar dat verschilt in dat opzicht niet van een klassiek BCO bron-en contactonderzoek door de GGD.

Wat klopt er nu niet aan de reactie van Karma4:
Door Karma4
Centraal: Als je bij het vastleggen van contacten een centrale server nodig hebt. … De Google/Apple benadering dan zeg ik dat het om een centrale server oplossing gaat.
Google+Apple zeggen een systeem te ontwerpen, "heavily inspired by the DP-3T protocol”. Dus een decentraal systeem. We zullen het zien als de API binnenkort wordt gepubliceerd.

Door Karma4
Decentraal: Heb je bij het vastleggen van de contacten geen centrale server nodig (Australie Singapore) dan is de vastlegging echt decentraal
Australie en Singapore gebruiken dus beide het centrale BlueTrace platform.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.