Skip to main content
QUICK REVIEW

[论文解读] Anonymous Collocation Discovery: Harnessing Privacy to Tame the Coronavirus

Ran Canetti, Trachtenberg, Ari|arXiv (Cornell University)|Mar 30, 2020
Internet Traffic Analysis and Secure E-voting参考文献 12被引用 28
一句话总结

该论文提出了一种基于蓝牙匿名令牌的去中心化、隐私保护型移动系统,用于在新冠疫情暴发期间检测与感染者之间的密切接触。通过避免集中存储位置或身份数据,该系统能够在最小化隐私风险的前提下实现及时的匿名警报,支持快速检测和隔离决策,同时不损害用户匿名性,也无需信任中心化权威机构。

ABSTRACT

Successful containment of the Coronavirus pandemic rests on the ability to quickly and reliably identify those who have been in close proximity to a contagious individual. Existing tools for doing so rely on the collection of exact location information of individuals over lengthy time periods, and combining this information with other personal information. This unprecedented encroachment on individual privacy at national scales has created an outcry and risks rejection of these tools. We propose an alternative: an extremely simple scheme for providing fine-grained and timely alerts to users who have been in the close vicinity of an infected individual. Crucially, this is done while preserving the anonymity of all individuals, and without collecting or storing any personal information or location history. Our approach is based on using short-range communication mechanisms, like Bluetooth, that are available in all modern cell phones. It can be deployed with very little infrastructure, and incurs a relatively low false-positive rate compared to other collocation methods. We also describe a number of extensions and tradeoffs. We believe that the privacy guarantees provided by the scheme will encourage quick and broad voluntary adoption. When combined with sufficient testing capacity and existing best practices from healthcare professionals, we hope that this may significantly reduce the infection rate.

研究动机与目标

  • 解决集中式密钥追踪系统所引发的隐私问题,此类系统会收集并关联个人的详细位置历史记录。
  • 设计一种去中心化、由用户主动触发的系统,实现在不存储个人信息的情况下,及时通知用户可能接触过感染者。
  • 通过保证强匿名性并最大限度减少对任何中心实体或基础设施的信任,确保广泛公众采纳。
  • 通过匿名、可验证的近距离接触检测,支持有效的公共卫生干预措施,如针对性检测和隔离。
  • 在保持低误报率和抵抗欺骗或重放攻击的同时,实现最小化基础设施部署。

提出的方法

  • 系统利用短距离蓝牙通信在附近设备之间交换匿名、限时的令牌,以保护用户身份和位置隐私。
  • 每个用户的设备本地存储接收到的令牌数据库,这些令牌经过密码学哈希处理,并与一个唯一、非持久的标识符关联。
  • 感染者通过安全、经过认证的通道将其令牌上传至公共注册表,有效期限定为14天,以确保数据新鲜度。
  • 用户定期使用私有信息检索(PIR)或私有集合交集(PSI)技术检查注册表,以确认其接收到的任何令牌是否与感染者的令牌匹配。
  • 系统采用零知识证明、基于时间或位置的哈希验证等密码学原原子,防止重放攻击并确保令牌的真实性。
  • 通过私有发布-订阅机制,用户可在不下载整个注册表的情况下接收暴露通知,从而提升效率和隐私性。

实验结果

研究问题

  • RQ1去中心化、隐私保护的系统能否在不存储个人数据或位置历史记录的情况下,检测与感染者的密切接触?
  • RQ2如何向曾与感染者近距离接触的用户发送匿名、及时的警报,同时确保抵抗欺骗和重放攻击?
  • RQ3密码学技术如PIR和PSI在多大程度上可实现对暴露令牌公共注册表的私密访问,而不会暴露用户身份?
  • RQ4哪些机制可确保暴露令牌的真实性与新鲜度,同时保持用户匿名性?
  • RQ5在缺乏集中数据收集的情况下,系统如何实现广泛的自愿采纳?

主要发现

  • 所提出的系统仅使用蓝牙和极少基础设施,即可实现匿名、去中心化的接触追踪,无需存储个人信息或位置历史记录。
  • 通过基于时间和位置的令牌哈希技术,系统可防止重放攻击,并在不保留敏感数据的情况下确保令牌的新鲜度。
  • 私有信息检索(PIR)和私有集合交集(PSI)使用户能够在不向注册表服务器暴露其身份或所持令牌的情况下,检查是否存在暴露风险。
  • 与其它接触检测方法相比,该系统具有较低的误报率,从而提升了可靠性与用户信任度。
  • 该方案设计简洁、可扩展且可升级,14天的数据生命周期支持通过‘硬分叉’更新来改进隐私或功能。
  • 系统具备强大的隐私保障且无集中数据收集,预计可促进高比例的自愿采纳,这对有效控制疫情传播至关重要。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。