Skip to main content
QUICK REVIEW

[論文レビュー] Decentralized Privacy-Preserving Proximity Tracing

Carmela Troncoso, Mathias Payer|arXiv (Cornell University)|May 25, 2020
COVID-19 Digital Contact Tracing被引用数 157
ひとこと要約

この論文は、SARS-CoV-2への潜在的接触をBluetoothベースの一時的IDを用いて匿名で検出できる分散型でプライバシーを尊重する近接追跡システム(DP-3T)を提案する。接触データをデバイスにローカルに保存し、診断が確定した場合にのみ匿名化された鍵をアップロードすることで、データ漏洩を最小限に抑え、追跡を防ぎ、パンデミック終了後にスムーズに無効化される。中央集権的信頼を必要とせず、強力なプライバシー保証を実現する。

ABSTRACT

This document describes and analyzes a system for secure and privacy-preserving proximity tracing at large scale. This system, referred to as DP3T, provides a technological foundation to help slow the spread of SARS-CoV-2 by simplifying and accelerating the process of notifying people who might have been exposed to the virus so that they can take appropriate measures to break its transmission chain. The system aims to minimise privacy and security risks for individuals and communities and guarantee the highest level of data protection. The goal of our proximity tracing system is to determine who has been in close physical proximity to a COVID-19 positive person and thus exposed to the virus, without revealing the contact's identity or where the contact occurred. To achieve this goal, users run a smartphone app that continually broadcasts an ephemeral, pseudo-random ID representing the user's phone and also records the pseudo-random IDs observed from smartphones in close proximity. When a patient is diagnosed with COVID-19, she can upload pseudo-random IDs previously broadcast from her phone to a central server. Prior to the upload, all data remains exclusively on the user's phone. Other users' apps can use data from the server to locally estimate whether the device's owner was exposed to the virus through close-range physical proximity to a COVID-19 positive person who has uploaded their data. In case the app detects a high risk, it will inform the user.

研究の動機と目的

  • パンデミック発生時におけるプライバシーおよびセキュリティリスクを最小限に抑える近接追跡システムを設計すること。
  • ユーザーの身元や位置情報を暴露せずに、SARS-CoV-2への潜在的接触を検出できること。
  • 中央機関がユーザーの接触履歴や追跡をリンクできないこと。
  • インfraストラクチャーや当局への信頼を最小限に抑えつつ、スケーラブルで分散型の展開を可能にすること。
  • パンデミック終了後にシステムが自己解体され、14日以内にデータが削除されることを保証すること。

提案手法

  • 各スマートフォンは暗号的に安全な擬似乱数関数を用いて、回転する一時的識別子(EphID)を生成し、ブロードキャストする。
  • デバイスは、近隣のデバイスから受信したEphIDをローカルに保存し、メタデータを含まずに近接イベントの履歴を保持する。
  • ユーザーが陽性と判明した場合、感染期間中に使用したEphIDの生成に使った暗号的シードのみをアップロードする。
  • 中央サーバーはシードのみを保存し、近接データやユーザーの身元と関連付けない。
  • 他のユーザーのアプリは定期的にシードをダウンロードし、自身が保持するEphIDのうち一致するものがあるかをローカルでチェックし、一致した場合はアラートを発動する。
  • 本システムは複数のプロトコルバージョンをサポートしており、帯域幅を最小限に抑えるバージョンと、盗聴やリプレイ攻撃に対する耐性を高めたバージョンが存在する。

実験結果

リサーチクエスチョン

  • RQ1中央機関がユーザーの身元や接触履歴にアクセスできない分散型の近接追跡をどのように実装できるか?
  • RQ2ユーザーが感染していない場合でも追跡されないよう、どのような暗号的およびシステムレベルのメカニズムが必要か?
  • RQ3信頼できる中央機関に依存せずに、誤検出や悪意ある接触報告に対してどのように耐性を確保できるか?
  • RQ4帯域幅のオーバーヘッド、プライバシー保護、およびリプレイ攻撃やジャミング攻撃に対する耐性の間にはどのようなトレードオフがあるか?
  • RQ5データ最小化と自動削除をどのように実現し、長期的なプライバシーリスクを防げるか?

主な発見

  • 中央サーバーは匿名化されたシードのみを受信し、近接データやユーザーの身元を一切受け取らないため、データ露出が最小限に抑えられる。
  • サーバーやネットワークの盗聴者を含め、誰もEphIDをユーザーにリンクしたり、陽性報告をしなかった個人を追跡したりできない。
  • リンク不能な設計により、なりすましや誤った接触報告の主張が不可能となり、EphIDはユーザーのシードに暗号的に束縛されており、偽造ができない。
  • Cuckooフィルタとビーコン送信のランダム化タイミングを用いることで、トラフィック解析や盗聴攻撃に対しても耐性を持つ。
  • 地域間の相互運用性をサポートし、最小限のローカル計算と帯域幅で数百万人のユーザーにスケーラブルに展開可能である。
  • 14日後には、サーバーおよびクライアントデバイスの両方ですべてのデータが自動的に削除され、パンデミック後にはシステムが自己解体する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。