Consórcio Europeu de Rastreamento de Contatos Enfrenta Onda de Deserções Devido a Preocupações com a Centralização

Pesquisadores europeus estão alertando sobre a direção do rastreamento de contatos na UE em meio a preocupações de que países como França e Alemanha possam escolher um sistema centralizado que coloque a Política de Privacidade pessoal em risco.

O grupo de acadêmicos, organizações e empresas que ajudam a desenvolver a Tecnologia subjacente para diversas nações da UE, conhecido como consórcio Europeu de Rastreamento de Proximidade para Preservação da Privacidade (PEPP-PT), enfrentou uma onda de críticas de pesquisadores no fim de semana.

Prestigiosas universidades de investigação como a ETH Zurique, o Instituto Federal Suíço de Tecnologia de Lausanne (EPFL) e a KU Leuven, entre outras – que formaram a Rastreamento de proximidade descentralizado com preservação de privacidade (DP3T)iniciativa – retirou-se do consórcio devido ao que chamaram de falta de transparência e comprometimento em oferecer uma solução descentralizada de rastreamento de contatos.

Veja também:Protocolo descentralizado removido do site de rastreamento de contatos da UE sem aviso prévio

“Saímos porque T podemos fazer parte de uma organização que não é transparente sobre como as decisões são tomadas, sobre seu design e sobre seu código”, disse Carmela Troncoso, professora assistente em regime de estabilidade no Instituto Federal Suíço de Tecnologia de Lausanne e que estava ajudando a liderar as negociações em torno do DP3T proposta dentro do consórcio, disse ao CoinDesk em uma mensagem direta.

O rastreamento de contato é o processo pelo qual as autoridades de saúde rastreiam a disseminação de vírus, identificando quem esteve em contato com indivíduos infectados e, portanto, deve ser colocado em quarentena. Os países estão executando esse processo por meio do rastreamento de localização de celulares, reconhecimento facial, passes de saúde digitais que restringem o movimento e rastreamento de proximidade Bluetooth.

Google e Apple anunciaramum plano para atualizar seus sistemas operacionais móveis para permitir o rastreamento Bluetooth. Esse projeto foi criticado por motivos de Política de Privacidade por deixar de fora muitas pessoas que T têm o tipo certo de smartphonese por serimpraticável na ausência de testes generalizados.A falta de testes dificultaria qualquer método de rastreamento de contato porque seria difícil dizer quem estava realmente doente, dado que muitos portadores de COVID-19 são assintomáticos. Nesse ponto, é menos rastreamento de contato e puramente rastreamento.

Não estamos focando na descentralização só porque, por princípio, achamos que seria melhor ter esse aplicativo de preservação de Política de Privacidade . É realmente que precisamos ser capazes de convencer o público em geral.

O PEPP-PT foi convocado para oferecer propostas que respeitem a privacidade e que estejam alinhadas com o recém-instituído Regulamento Geral de Proteção de Dados (RGPD), que garante maior Política de Privacidade e proteção de dados para os cidadãos da UE do que é atualmente aplicado nos EUA.

As saídas ocorrem após o PEPP-PT retirar qualquer menção à proposta do protocolo descentralizadoDP3Tde seu site na quinta-feira, incitando confusão e frustração entre a equipe do DP3T, que não foi informada com antecedência.

Em resposta a um Request de comentário, o PEPP-PT disse que isso foi uma má comunicação de sua parte e lamenta profundamente qualquer ofensa.

Em um e-mail enviado na sexta-feira à noite para Hans-Christian Boos, um dos chefes do PEPP-PT, Kenneth Paterson, que é professor do Grupo de Criptografia Aplicada no Departamento de Ciência da Computação da ETH Zurich e está trabalhando no DP3T, pediu que ele "removesse todas as menções à ETH Zurich e ao logotipo da ETH Zurich do site do PEPP-PT e de todos os outros materiais associados ao PEPP-PT imediatamente".

Veja também:Para que o rastreamento de contatos funcione, os americanos terão que confiar no Google e na Apple

No mesmo e-mail, Paterson disse que os objetivos da ETH Zurich parecem estar mais alinhados com a iniciativa DP3T.

“A sequência de Eventos de hoje deixou minha confiança no PEPP-PT muito abalada. O PEPP-PT prometeu uma divulgação de documentos hoje. Eles divulgaram apenas um, por cinco minutos. Isso foi além de uma piada e caiu em farsa”, disse Paterson ao CoinDesk em um e-mail na sexta-feira à noite.

Paterson está se referindo a um pequeno PDF que foi carregado brevemente no GitHub do PEPP-PT, mas depois removido.

Vários criptógrafos que revisaram o PDF disseram que T podiam comentar sobre as proteções de Política de Privacidade ou segurança porque o documento era muito vago, com um ONE comparando-o ao primeiro rascunho de uma redação de calouro da faculdade, escrita pouco antes do prazo final.

No dia seguinte, o PEPP-PT divulgou umalista completa de documentose uma versão mais detalhada do seu protocolo.

“Os países e seus desenvolvedores de aplicativos devem ser capazes de escolher uma opção que melhor se ajuste às suas necessidades de gerenciamento de pandemia. Todos os modelos oferecidos ou em discussão pelo PEPP-PT são de aplicação de Política de Privacidade ”, disse um funcionário de relações públicas do PEPP-PT quando a CoinDesk perguntou se uma alternativa ao método descentralizado havia sido decidida.

Uma abordagem descentralizada significa que uma agência governamental T poderia abusar dessa confiança, mesmo que quisesse.

O funcionário disse que o sistema PEPP-PT tem muitos componentes e os países terão modelos de transferência de dados descentralizados e centralizados para seus desenvolvedores de aplicativos escolherem.

Os críticos há muito dizem que uma abordagem centralizada pode ser um abuso, mesmo com vários países dizendo que planejam criar aplicativos no protocolo PEPP-PT.

“Agora temos muitos governos interagindo”, disse Boos, do PEPP-PT, a jornalistas em uma ligação na sexta-feira,de acordo com o TechCrunch. “Alguns governos estão declarando publicamente que seus aplicativos locais serão construídos com base nos princípios do PEPP-PT e também nos vários protocolos fornecidos dentro desta iniciativa."

No rastreamento de contato Bluetooth, dispositivos que se aproximam compartilham IDs pseudonimizados. A diferença entre uma abordagem centralizada e descentralizada se resume a onde esses dados são armazenados – no servidor confiável de uma organização governamental ou estadual de saúde ou localmente no dispositivo de uma pessoa, com um servidor apenas retransmitindo as informações quando necessário.

Em um cenário centralizado, espera-se que os usuários confiem que qualquer estado ou agência de segurança não abusaria das informações armazenadas em um servidor. Para os defensores da Política de Privacidade , leis como o GDPR não são suficientes para um sistema nacional sensível. Eles querem Política de Privacidade por design. Uma abordagem descentralizada significa que uma agência governamental T poderia abusar dessa confiança, mesmo que quisesse, porque não haveria um repositório centralizado de dados.

Veja também:Europa debate rastreamento de contatos da COVID-19 que respeita a Política de Privacidade

“O servidor gera os pseudônimos na fase de configuração, os envia ao cliente por meio da segurança da camada de transporte e os armazena permanentemente no servidor em um banco de dados relacional vinculado às informações do usuário”, disse um criptógrafo, Nadim Kobeissi, que dirige a empresa de consultoria em criptografia aplicada Symbolic Software, após revisar a documentação do protocolo do PEPP-PT.

“Como isso pode preservar a Política de Privacidade ? Quero dizer, por que se preocupar em construir um conjunto de medidas em torno disso se é assim que você está começando? Por que começar com uma montanha de handicap?”

O INRIA, instituto nacional francês de investigação em ciências digitais e membro fundador do PEPP-PT, está a trabalhar numa abordagem centralizada, que publicou emGitHubno fim de semana. Ele argumenta que o debate centralizado vs. descentralizado é “enganoso” e que uma abordagem “totalmente descentralizada” não é realista para rastreamento de proximidade.”

Os defensores de uma abordagem centralizada dizem que a Política de Privacidade pode ser protegida sob esse modelo e que os dados podem ser melhor analisados ​​e levar a melhores modelos epidemiológicos.

Mas na manhã de segunda-feira, um grupo de mais de 300 académicos de mais de 25 paísespublicou uma declaração conjuntarecomendando que abordagens descentralizadas sejam adotadas quando se trata de aplicativos de rastreamento de contatos.

James Larus, reitor da Escola de Ciência da Computação e Comunicações do Instituto Federal Suíço de Tecnologia de Lausanne, que ajudou a elaborar a declaração, disse que ela se refere claramente à proposta PEPP-PT e à pequena variante emitida pelo INRIA (ROBERT), "ambas propostas centralizadas que exigem um alto grau de confiança no servidor centralizado, com o claro potencial de 'expansão da missão', quando o sistema é redirecionado para vigilância".

Tais sistemas podem “prejudicar catastroficamente a confiança e a aceitação de tal aplicativo pela sociedade em geral” e, assim, prejudicar a eficácia de qualquer aplicativo COVID-19, que depende de quantas pessoas o utilizam.

“As pessoas precisam acreditar que não perderão sua Política de Privacidade”, disse Larus. “É voluntário usar esses aplicativos. Não estamos focando na descentralização só porque, por princípio, achamos que seria melhor ter esse aplicativo que preserva a privacidade. É realmente que precisamos ser capazes de convencer o público em geral.”