分散型プライバシー保護近接追跡

分散型プライバシー保護近接追跡

開発者	エコール ポリテクニック連邦ローザンヌ校 チューリッヒ工科大学 ルーヴェン・カトリック大学 デルフト工科大学 ユニバーシティ・カレッジ・ロンドン ヘルムホルツ情報セキュリティセンター トリノ大学 ISI財団 INESCテック[ 1 ]
紹介された	2020年4月4日[ 2 ] ( 2020-04-04 )
業界	デジタル接触追跡
互換性のあるハードウェア	AndroidおよびiOSスマートフォン
物理的な範囲	約10メートル（33フィート）[ 3 ]
Webサイト	https://github.com/DP-3T/ドキュメント

分散型プライバシー保護近接追跡（DP-3T 、 dp ³ tと表記）は、COVID-19パンデミックへの対応として開発されたオープンプロトコルで、感染した参加者のデジタル接触追跡を容易にする。^{[ 4 ] [ 5 ]}このプロトコルは、競合プロトコルであるPan-European Privacy-Preserving Proximity Tracing（PEPP-PT）と同様に、Bluetooth Low Energyを使用して他のユーザーとの接触を追跡および記録する。^{[ 6 ] [ 7 ]}これらのプロトコルはレポートメカニズムが異なり、PEPP-PTではクライアントが接触ログを中央レポートサーバーにアップロードする必要があるのに対し、DP-3Tでは中央レポートサーバーは接触ログにアクセスすることはなく、接触を処理してクライアントに通知する責任もない。^{[ 1 ]}接触ログは第三者に送信されることがないため、PEPP-PTアプローチに比べてプライバシーの面で大きな利点がある^{。[ 8 ] [ 9 [ 10 ]}

Apple/Googleの曝露通知プロジェクトはDP-3Tプロトコルと同様の原理に基づいており、2020年5月からその変種をサポートしています。^{[ 11 ] [ 12 ] [ 13 ]} Huaweiは2020年6月に「コンタクトシールド」として知られるHuaweiモバイルサービスAPIにDP-3Tの同様の実装を追加しました。^{[ 14 ]}

DP-3T SDKとキャリブレーションアプリは、iOSおよびAndroidデバイス向けにリリースされ次第、Apple/Google APIをサポートする予定です。^{[ 15 ] [ 16 ]}

2020年4月21日、スイス連邦保健局は、スイスの国家コロナウイルス接触追跡アプリがDP-3Tをベースにすると発表した。^{[ 17 ]} 2020年4月22日、国家デジタル接触追跡アプリを主導しているオーストリア赤十字社は、DP-3Tアプローチへの移行を発表した。^{[ 18 ]}エストニアも、自国のアプリがDP-3Tをベースにすることを確認した。^{[ 19 ]} 2020年4月28日、フィンランドが「Ketju」と呼ばれるDP-3Tのバージョンを試験運用していると発表された。 ^{[ 20 ]}ドイツでは、プロトコルの作成団体の一つであるCISPAと共同で、 SAP SEとドイツテレコムがDP-3Tをベースに国家アプリを構築している。 ^{[ 21 ]} 2020年9月30日現在、DP-3Tを使用した接触追跡アプリは、オーストリア、ベルギー、クロアチア、ドイツ、アイルランド、イタリア、オランダ、ポルトガル、スイスで利用可能です。^{[ 22 ]}

DP-3Tプロトコルは、クライアントを一意に識別する半ランダムなローテーション文字列であるエフェメラルID（EphID）に基づいて動作します。^{[ 23 ]} 2つのクライアントが遭遇すると、EphIDを交換し、ローカルのコンタクトログに保存します。^{[ 24 ]}その後、ユーザーが感染検査で陽性反応を示すと、レポートが中央サーバーに送信されます。ネットワーク上の各クライアントは、サーバーからレポートを収集し、レポートに含まれるEphIDをローカルのコンタクトログで個別に確認します。一致するEphIDが見つかった場合、ユーザーは感染者と濃厚接触したことになり、クライアントから警告が送信されます。各デバイスはコンタクトログをローカルで検証するため、コンタクトログが第三者に送信されることはありません。そのため、中央レポートサーバーは、ネットワーク内のどのクライアントのIDやコンタクトログも独自に特定できません。これは、中央レポートサーバーがクライアントのコンタクトログを受信して​​処理するPEPP-PTなどの競合プロトコルとは対照的です。^{[ 25 ]}

TCNプロトコルとその一時連絡先番号と同様に、DP-3Tプロトコルは16バイトのエフェメラルID （EphID）を使用して、クライアントの近くにあるデバイスを一意に識別します。これらのEphIDは受信側クライアントのデバイスにローカルに記録され、第三者に送信されることはありません。^{[ 1 ]}

EphID を生成するには、まずクライアントがを計算して毎日 ( )更新される秘密鍵を生成します。ここではSHA-256などの暗号化ハッシュ関数です。はEd25519などの標準の秘密鍵アルゴリズムによって計算されます。クライアントは日中にを使用して EphID のリストを生成します。1 日の初めに、クライアントは1 日を通してブロードキャストするサイズの新しい EphID のローカルリストを生成します。ここで は EphID の有効期間 (分単位) です。悪意のある第三者が広い範囲で静的 ID を追跡して移動パターンを確立するのを防ぐため、EphID は頻繁に更新されます。秘密の日次鍵 が与えられると、各デバイスは を計算します。ここではグローバル固定文字列、はHMAC-SHA256のような疑似乱数関数、 はバイトを生成するストリーム暗号です。このストリームは 16 バイトのチャンクに分割され、ランダムにソートされてその日の EphID が取得されます。^{[ 1 ]}${\displaystyle SK_{t}}$${\displaystyle SK_{t}=H(SK_{t-1})}$${\displaystyle H()}$${\displaystyle SK_{0}}$${\displaystyle SK_{t}}$${\displaystyle t}$${\displaystyle n=(24*60)/l}$${\displaystyle l}$${\displaystyle SK_{t}}$${\displaystyle S\_EphID(BK)=PRG(PRF(SK_{t},BK))}$${\displaystyle BK}$${\displaystyle PRF()}$${\displaystyle PRG()}$${\displaystyle n*16}$

DP-3Tプロトコルは、他のユーザーとの近距離接触の追跡と記録（デバイスハンドシェイク）と、他のクライアントが感染者と接触したかどうかを判断できるようにそれらの接触を報告すること（感染報告）という2つの別々の役割から構成されています。ほとんどのデジタル接触追跡プロトコルと同様に、デバイスハンドシェイクはBluetooth Low Energyを使用してローカルクライアントの詳細を検索および交換し、感染報告段階ではHTTPSを使用して中央報告サーバーにレポートをアップロードします。さらに、他の分散型報告プロトコルと同様に、中央報告サーバーはどのクライアントの接触ログにもアクセスできません。レポートは、クライアントが個別にレポートから接触を導き出せるように構成されています。^{[ 1 ]}

デバイスの近くにあるクライアントを見つけて通信するために、このプロトコルはBluetooth LEのサーバーモードとクライアントモードの両方を利用し、頻繁に切り替えます。^{[ 26 ]}サーバーモードでは、デバイスはクライアントが読み取れるようEphIDをアドバタイズし、クライアントはサーバーをスキャンします。^{[ 27 ]}クライアントとサーバーが出会うと、クライアントはEphIDを読み取り、その後、自身のEphIDをサーバーに書き込みます。2つのデバイスは、大まかなタイムスタンプと信号強度に加えて、それぞれの接触ログに遭遇を保存します。信号強度は、後に感染報告プロセスの一部として使用され、感染者とユーザー間の距離を推定します。^{[ 1 ]}

感染を報告する際には、地方保健当局が管理する中央報告サーバーが存在します。ユーザーが報告を提出する前に、保健当局はまず感染を確認し、クライアントが報告をアップロードすることを許可するコードを生成する必要があります。保健当局はさらに、患者に報告を開始する日（ と表記）を指示します。クライアントは と のペアを中央報告サーバーにアップロードし、ネットワーク内の他のクライアントが後日ダウンロードします。元のEphIDを生成するために使用されたのと同じアルゴリズムを使用することで、クライアントは 過去および を含む期間に使用されたすべてのEphIDを再現し、それをローカルの接触ログと照合して、ユーザーが感染患者と近接していたかどうかを判断できます。^{[ 1 ]}${\displaystyle t}$${\displaystyle SK_{t}}$${\displaystyle t}$${\displaystyle t}$

プロトコル全体を通して、保健当局は接触記録にアクセスすることはなく、患者の検査と報告書の提出の承認のみを行う。^{[ 1 ]：p.11}

ユーザーがDP-3Tアプリをインストールすると、疫学者へのデータ共有に同意するかどうかを尋ねられます。ユーザーが同意した場合、感染者との濃厚接触が確認されると、その接触に関する接触ログが中央統計サーバーに送信されます。悪意のある第三者がこれらのアップロードを検知して潜在的な感染を発見するのを防ぐため、レポートは定期的に送信され、送信するデータがないときは区別がつかないダミーレポートが送信されます。^{[ 1 ]}

異なる保健当局が管理するDP-3Tアプリ間の互換性を確保するため、アプリはユーザーが訪問した地域のローカルリストを保持しています。地域とは、保健当局の管轄区域に直接対応する広大な地域であり、正確な位置は記録されません。アプリは後日、これらの地域をそれぞれの海外中央報告サーバーに接続し、通常のホーム報告サーバーに加えてこれらのサーバーからもレポートを取得します。ユーザーが感染検査で陽性反応を示した場合、アプリはこれらの海外報告サーバーにもレポートを送信します。^{[ 1 ]}

暗号学とセキュリティの学者セルジュ・ヴォードネは、DP-3Tのセキュリティを分析して^{[ 28 ]}次のように主張した。

DP3Tによるプライバシー保護策の中には、本来の意図とは逆の効果をもたらすものもあるかもしれません。具体的には、感染者や通報者の匿名性が失われ、個人的な接触が明らかになり、収集した個人データを開示するよう強要される可能性があります。

ヴォードネイの研究では、DP-3Tや類似のシステムに対する複数の攻撃が提示されている。これに対し、DP-3Tグループは、ヴォードネイが提示する12のリスクのうち、8つは集中型システムにも存在し、3つは機能せず、電話への物理的アクセスを伴う1つのリスクは機能するが軽減可能であると主張している。^{[ 29 ]} その後の論文^{[ 30 ]}で、ヴォードネイは集中型および分散型の両方の追跡システムに対する攻撃を検証し、診断された人物に対する身元確認攻撃に言及して、次のように結論付けている。

集中型アーキテクチャと分散型アーキテクチャを比較すると、分散型システムへの攻撃は検知不可能であり、大規模に実行可能であり、提案されている対策はせいぜい限られたシナリオにおける攻撃を軽減する程度であることが分かります。一方、集中型システムは、アカウンティングや監査といった多くの対策手段を提供しています。

同じ研究^{[ 30 ]}で、ヴォードネーは、集中型アプローチも分散型アプローチも十分なレベルのプライバシー保護を提供しないため、異なる解決策を検討すべきであると主張し、特に「第三の道」としてコントラコロナ^{[ 31 ]} 、エピオーネ^{[ 32 ]}、プロントC2 ^{[ 33 ]}システムを提案している。

タン^{[ 34 ]}は主要なデジタル接触追跡システムを調査し、DP-3Tがいわゆる「標的型識別攻撃」の対象となっていることを示している。

DP-3Tに対する理論的な攻撃はシミュレーションによって検証されており^{[ 35 ]}、自発的に識別子をアップロードしたDP-3Tシステムの最初のバージョンのユーザーを永続的に追跡することが、Bluetooth Low Energyデバイスを大量に導入できる第三者であれば容易に実行できることが示されています。この攻撃は、ユーザーの1日中のリンク可能性を利用するため、英国で提案されているシステムのような一部の集中型システムの全ユーザーに対して1日以内に攻撃が可能です^{[ 36 ]}。しかし、感染したユーザーの識別子がキーやシードなどのコンパクトな表現を用いて送信されない「リンク不可能」なバージョンのDP-3Tでは機能しません^{[ 37 ] 。}

• ブルートレース
• TCNプロトコル
• 汎欧州プライバシー保護近接追跡
• Google / Appleの接触追跡プロジェクト

• DP-3T GitHub