Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



neu laden

Mich würde folgendes Angriffsszenario im dezentralen Modell DP3T interessieren:

Ein Arbeitgeber platziert bei Haupteingang ein Mobiltelefon mit aktiver Tracing App, und daneben eine Kamera die alle vorbeigehenden Personen filmt. Wenn die Tracing App von einem infizierten Kontakt erfährt kann der Zeitstempel mit der Videoaufnahme abgeglichen und die Person identifiziert werden.

Würde dieser Angriff funktionieren?

0
/
0

Grüezi Herr B.
Ja dieser Angriff würde theoretisch funktionieren. Je mehr Abstand zwischen den vorbeigehenden Personen und je fokusierter die empfangende Bluetooth Antenne, desto besser. Wenn die Mitarbeiter einzeln durch eine Turnhalle gehen müssten und in der Mitte aufgezeichnet würde, wäre die Treffsicherheit nahezu 100%.
Genauer ausgeführt wird das Szenario in Adrienne Fichter's Die pragmatischen Puristen.

0
/
0

Abgesehen davon: Was haben wir denn für eine Garantie, dass das nicht zu einer Überwachungs-App wird? Keine, genau. Und was lehren uns Geschichte, jüngste Geschichte und Erfahrung? Genau. Was dem Überwachungsstaat nutzt, das macht er auch. Früher oder später. Zweifel sind angebracht. Im Notfall lassen wir die Smartphones halt daheim oder binden es der Katze um den Hals, dann nutzt alles nix. ;-)

2
/
4

Ich bin nicht der Meinung, dass die App mit irgendwelchen Grundrechten vereinbar ist, SOFERN sie installiert werden muss oder Bestandteil eines Software-Updates ist. Denn: Die Benutzung eines Smartphones (SM) ist freiwillig, wir haben keine Tragepflicht wie einen Ausweis. Wer also ein SM besitzt wäre im Nachteil (im Sinne von Bevormundung) gegenüber jemandem ohne SM. Da der Kauf, Besitz und das Tragen freiwillig ist, UND ich das Teil mit meinem Geld erworben habe, gehört es allein mir und niemand kann entscheiden, was ich dort drauf habe oder wie ich es nutze. Es ist so privat wie alles andere. Es schreibt mir ja auch niemand vor, welche Musik auf meinem Plattenspieler läuft – egal, ob man weiss, dass es meiner oder irgendeiner ist. Wenn es freiwillig ist, dann ist die ganze Diskussion obsolet. Oder habe ich etwas nicht verstanden? Ist die App Teil des OS? Sicher ist, dass ein Grossteil der Menschen, den Vorgang des Meldens einer Infektion nicht machen werden und damit das System sabotieren. Ich hoffe, es sind viele.

2
/
2

Mag sein, dass in den vorangehenden Beiträgen und Antworten meine Sorge bereits zum Ausdruck kam (und dann sicher besser formuliert als der Fachlaie, der ich bin, es hier tun kann). Aber ich habe jetzt gerade keine Zeit,, mich durch die angesammelten Texte durchzulesen.
Hier also meine Frage : Ist eine solche von Patrick Reber beschriebene Tracing-App in Bezug auf Privatsphärenschutz auch dann sicher, wenn das Betriebssystem eines Smartphones (iOS, Android,...) eine Sicherheitslücke aufweist (sog. Backdoor), egal, ob es sich dabei um einen echten Bug handelt oder ob das absichtlich eingeschleust wurde ?

4
/
4

Guten Tag Herr B.
Danke für Ihre Frage. Grundsätzlich: nein. Wenn das Betriebsystem eine Sicherheitslücke hat, dann sind praktisch alle Sicherheitsgarantien verloren. Hat eine Angreiferin Zugriff auf das System, kann sie alles machen: Screenshots auslösen und herunterladen, die Position des Geräts bestimmen, das Mikrofon abhören, Nachrichten auslesen und so weiter. Heisst, das Contact-Tracing App ist für die Angreiferin, dann gar nicht mehr interessant, weil die Privatsphäre sowieso schon ausgehebelt ist.
Bezogen auf das Tracing App, könnte die Angreiferin den Schlüssel auslesen und auf den zentralen Server schicken, was den Besitzer als infizierten melden würde. Aber viel mehr schaden könnte sie in dem System wohl nicht anrichten.
Das Gute ist, dass iOS und Android sehr sichere Systeme sind und veröffentlichte Lücken sehr schnell (innerhalb von Tagen) geschlossen werden. Bewusst eingebaute Backdoors sind natürlich ein ganz anderes Thema. Aber da iOS und Android eine grosse Verbreitung haben, versuchen auch viele Hacker Lücken zu finden. Die Chance, dass eine bewusst eingebaute Backdoor, schnell von einer Hackerin gefunden und ausgenützt würde, wäre gross. Zumindest Apple stellt sich daher bereits seit langem gegen die Forderung, eine Backdoors für Nachrichtendienste einzubauen. Aber "Absence of evidence is not evidence of absence".

4
/
0

Punkt 7 funktioniert nicht einfach so, resp nur unter als optimal angedachten Bedingungen. Je nach Internationalitaet der App, resp wieviele Laender daran beteiligt sind koennen's viele Eintraege werden. Jetzt, also Grenzen geschlossen, viele Leute zuhause, die öffentlichen Verkehrsmittel unter kleiner Last, keine Veranstaltungen, eine kleine Zahl Infizierter, eine kleine Zahl Tests, selektiv nur in der Risikogruppe, passen die gedachten Bedingungen.
Irgendwann sind wir aber zurueck zu normal. Dh, Veranstaltungen, offene Grenzen, die Leute fliegen wieder, usw. Vielleicht sind dann Tests Standard für kleines Geld am Kioskautomaten machbar. Wenn dann eine neue Welle kommt zeigt sich wie robust so ein System ist.
Wir sollten uns vergewaertigen, dass so eine App nichts Schnelles für jetzt grad ist. Sie wird bleiben, denn die Viren bleiben.

2
/
0

Ein interessanter Punkt. Die infizierten Laden Ihren Schlüssel auf einen zentralen Server und sämtliche Smartphones, die das App installiert haben, müssen diese herunterladen. Sie haben recht, das können viele Einträge werden. Aber vergleichen mit der Menge an Daten, die unsere Geräte sonst so verarbeiten (videos, bilder) ist das ein Klacks. Mögen Sie Servietten-Mathematik?

Im Maximum, mit einer naiven Herangehensweise:
7 800 000 000 Menschen: alle haben das App
100% Ausbreitung: alle infizieren sich und melden das
256 bit: so viel Speicher braucht ein Schlüssel

7.8 * 10^9 * 256 bit = 249.6 GB (Gigabyte 10^9)

Ein USB-Stick mit 256 GB Speicher kostet etwa 50 Franken. Der Server könnte ohne Problem für jeden Mensch einen Schlüssel speichern. Ein einigermassen aktuelles Smartphones könnte sogar alle (in Pakete aufgeteilt) herunterladen und alle lokalen Kontakt Einträge damit durchrechnen. Aber es wäre ganz schön lange damit beschäftigt.

10 000 gepeicherte Kontakte: [zeitstempel, prüfsumme] Einträge
7 800 000 000 Schlüssel: von jedem Menschen einen
200 nano Sekunden: so lange dauert es etwa um eine Prüfsumme auszurechnen (iPhone ~5MH/s)

1 * 10^3 * 7.8 * 10^9 * 200 * 10^-9 = 18 Tage 1 Stunde und 20 Minuten

Jedes Smartphone würde also mindestens 18 Tage damit verbringen, für 10 000 gespeicherte Kontakte, alle 7.8 Milliarden Schlüssel durchprobieren. Machbar aber unwahrscheinlich.

Je flacher die Kurve desto besser. Auch für den Server und die Apps: Es werden nicht alle Schlüssel gleichzeitig hochgeladen. Bis anhin wurden noch nie über 100 000 Ansteckungen an einem Tag gemeldet. Sind wir "grosszügig": 300 000 Meldungen pro Tag weltweit.

3 * 10^5 * 256 bit = 9.6 (Megabyte 10^6)

Die Schlüssel die an einem Tag anfallen, bräuchten run 10 MB Speicher. Also fast nichts. Ein Smartphone hat locker ein paar Giga davon.

3 * 10^5 * 1 * 10^3 * 200 * 10^-9 = 60 Sekunden

Alle 300 000 Schlüssel eines Tages mit 10 000 gespeicherten Kontakten abzugleichen würde ca. 1 Minute dauern.

Bei allen obigen Rechnungen haben wir darauf verzichtet die teilnehmenden Apps irgendwie örtlich einzugrenzen und immer für die ganze Welt gerechnet. Hier könnte man weiter optimieren, müsste dabei aber aufpassen, dass die Privatsphäre weiterhin geschützt bleibt.

Dazu kommt, dass der Informationswert der Schlüssel mit der Zeit abnimmt. Je näher eine Person am Ausbruch der Krankheit ist, desto ansteckender ist sie. Beim Zeitpunkt des Ausbruchs haben die Kontakte welche in den letzten 2-7 Tagen statt gefunden haben ein höheres Ansteckungsrisiko, als die, die vor 7-14 Tagen statt gefunden haben. DP-3T löscht alle Einträge die älter sind als 14 Tage. Damit läuft der Speicher weder auf dem Server noch auf dem Smartphone über: alte Einträge werden gehen einfach vergessen.

Dass Information, welche zum erfüllen des Zwecks nicht nötig sind, auch nicht gespeichert werden ist ein Grundpfeiler des Systems.

Data use: Data collection and user should be limited to the purpose of the data collection: procimity tracing and proximity graph reconstruction. This implies that the design should avoid collecting and using any data, such as for example geolocation data, that is not directly related to the task of detecting a close contact between two individuals.
Erasure: the system should respect best practices in terms of data retention periods and delete any data that is not relevant.
DP3T Whitepaper

Fazit: Durch den Grundsatz nur für den Zweck absolut notwendige Daten zu speichern und solche, die ihren Informationswert verlieren auch wieder zu löschen und der Tatsache, dass starke Kryptografie im Vergleich mit sonstigen Anwendungen (Videos), nicht sehr Datenintensiv ist, sollte das System weltweit funktionieren.

5
/
0
F. G.
· editiert

Ja, danke für die Übung. Wir werden's sehen. Mein Smartphone ist seltsamerweise immer voll. Alle Anwendungen wollen in den internen Speicher schreiben, die Option die SD auch zu verwenden scheint weniger populär zu sein. Ich merke, dass der Speicher voll ist wenn keine emails mehr kommen. Das geschieht häufig.
Allenfalls sollte ein alternativer Server Service angedacht werden. Bedeutet, ich lade meine taeglichen Daten hoch, und der Server macht den Abgleich für mich. Allenfalls kostenpflichtig im Abo.

1
/
0

Normalerweise muss ich mein Bluetooth Geraet mit Etwas'em paaren. zB einem Kopfhoerer. Da ist nichts mit auto(-re-)connect. Kann die Bluetooth Schnittstelle gleichzeitig den Kopfhoerer bedienen UND ein Bisschen mit anderen Smartphones kommunizieren ?

5
/
0

Ja das ist möglich. Und das Betriebsystem (iOS, Android) sorgt dafür, dass die Musik App nichts von der Tracing App mitbekommt. Ein Detail noch: hier wird Bluetooth Low Energy verwendet, welches eine Kommunikation erlaubt ohne sich vorher paaren zu müssen.

14
/
1

Schöne Theorie, wird aber nicht funktionieren:

  1. Bluetooth hat eine Reichweite von gut 20m. Man sammelt Kontaktsignale von vielen, vielen Leuten, bei denen man eine Ansteckung eigentlich ausschliessen kann.

  2. Hacker oder Trolle können aber Kontaktsignale sammeln, beispielsweise von Personen einer bestimmten Firma, Behörde oder eines Parlaments, oder einfach von den nervigen Nachbarn und dann sich Coronapositiv melden.

Ergebnis ist, dass man sich bei einem Alarm nicht sicher sein kann, welche echte oder virtuelle Begegnung die Ursache für den Alarm ist. Man muss dann doch gezielt nachfragen. Das wird viel Verunsicherung erzeugen, wenn plötzlich alle in der Firma sich gegenseitig anrufen und fragen, ob man positiv getestet wurde, aber eigentlich niemand erkrankt ist. Das macht man dann nur einmal.

Die ganze Krypto und Anonymität der vorgestellten App ist zynisch betrachtet Augenwischerei, weil in Zeiten von Apple-, Google- und Microsoft-Betriebssystemen und -konten mit permanenter Telemetrie von Audiodaten, Internetverbindungen, Funkzellen, WLAN und GPS-Daten ist unsere Privatsphäre ganz nah bei 0 ist - zumindest für manche Firmen. Hier gäbe es wichtigere Baustellen.

3
/
7
  • BLE (um das es hier geht) hat weniger Reichweite, und kann Distanzen ungefähr erkennen

  • Für den Upload der Daten braucht es eine Zusatzautorisierung, welche man nach positivem Test in Form eines anonymen Codes vom Arzt etc kriegt. Damit lässt sich #2 zwar nicht völlig ausschliessen aber so einfach als Jux wird da dann kaum jemand Kontakte "sammeln".

Soweit ich das verstanden habe, ist die Idee bei einem Alarm nicht unbedingt, dass man die Begegnung nachvollziehen kann. Vielmehr sollen Verhaltensweisen und weiterführende Hilfen angezeigt werden, also zB "Bitte lassen Sie sich testen", "Verwenden Sie in der Öffentlichkeit einen Mundschutz" etc.

6
/
0
S. M.
· editiert

Danke Herr Seemann für die Informationen. Verzeihen Sie bitte meinen negativen Kommentar, manchmal schreibt man düsterer als man tönen mag.

Sie sagen 5m - wobei ich für BLE die Angabe 10m finde - das macht im Alltag des mobilen digital Natives immer noch viele erfasste Kontakte - und grenzt alle anderen ohne Smartphones erst mal aus.

Dass die Gesundheitsfachpersonen "autorisierte" Krankmeldungen rausgeben müssen, bedeutet, dass per Gesetz alle Gesundheitsfachpersonen an diese Infrastruktur angeschlossen werden müssen. Das bedeutet Gesetzgebung, Lobbyismus und eine Hintertür, wie man diese Kontakdaten wieder sukzessive de-anonymisieren kann.

Das nächste Problem ist das Vertrauen, dass ich dem App-Entwickler und der Sicherheit seiner Infrastruktur schenken muss.

Ich bin gegen jeden Versuch, ohne richterliche Anordnung im Einzelfall das Leben der Menschen digital zu verfolgen, auch wenn ich gerne zugebe, dass der Ansatz von STAR sicherlich einer der besseren ist.

Aber da wir ohnehin schon von vorne bis hinten getrackt werden, sollte es wie in Korea von den entsprechenden Unternehmen (Apple, Microsoft, Google, den Netzanbietern, Kreditkartenanbietern) eingesammelt und veröffentlicht werden. Das hätte auch einen Lerneffekt. Kann doch nicht sein, dass jeder seinen Datenschatz heimlich für sich hegt und pflegt ;).

4
/
0
Tobias Oetiker
Full Stack Engineer
·

Frage an die Experten, welche Rolle spielt die 48bit Bluetooth HW Address in diesem System, denn über diese ist die "Gegenseite" ja auch identifizierbar.

3
/
0

Die meisten BLE Implementationen sollten schon die MAC Adressen zufällig rotieren. Das Wichtige wäre dann, dass die MAC Adressen und Tracing IDs gleichzeitig rotieren, damit durch die Überlappung kein Link entsteht.

4
/
0

Vielen Dank für die Ergänzung Herr S. Wir haben diesen Teil zur Vereinfachung weggelassen. Richtig, iOS und Android wechseln Ihre Bluetooth MAC-Adresse in unregelmässigen Abständen um ein Tracking des Geräts zu verhindern. Dies ist im Kapitel 5.4.5 der Bluetooth Spezifikation beschrieben.

5
/
0

Ein sehr gute Frage, der ich auch schon nachgehen wollte. Ich habe es noch nicht genau analysiert, aber so weit ich im Code gesehen habe, wird das zusammen mit anderen Werte für die Schlüsselerzeugung verwendet. Damit wäre die Gegenseite wohl nicht mehr in sinnvoller Zeit identifizierbar.
Die kritischen Code Zeilen könnten hier sein: https://github.com/SecureTagForAppr…abase.java (Zeile 100) . Mit diesem Commit https://github.com/SecureTagForAppr…f5c80b444b wurden scheinbar bereits ein paar kritische Teile angepasst.
Offenbar wurde das Problem auch von anderen erkannt und zumindest teilweise korrigiert. Bei mir auf dem Handy ist immer noch die alte Version, wenn Sie versuchen wollten mich zu Testzwecken zu identifizieren ;-)

1
/
0

Weltklasse! Jetzt verstehe ich als interessierter Laie, wie so etwas funktioniert und traue mir eine Meinung zur Frage zu, ob wir als Gesellschaft eine solche Tracing App benutzen wollen. Meine Antwort lautet ja, denn sie würde uns massiv helfen, mit dem neuen Corona-Virus zu leben.

22
/
1
A. N.
· editiert

Schritt 6: Das Versenden des Schlüssels ist nur dann unproblematisch, wenn auch tatsächlich nur der Schlüssel versendet wird und nicht noch mit einem Etikett versehen wird, wem der Schlüssel gehört.
Genau deshalb ist der letzte Absatz zentral: Nur open source apps vertrauen!

16
/
0

Richtig. Nur wird der Code der App ja dann kompiliert und via Google Play / App-Store veröffentlicht. Ob das veröffentlichte App tatsächlich dem veröffentlichten Code entspricht lässt sich meiner Meinung nach, zumindest unter iOS, nicht vollständig überprüfen. Ein bisschen vertrauen ist also nach wie vor nötig.

11
/
0
T. G.
· editiert

Guter Artikel, aber vielleicht ein wenig zu unkritisch. TL;DR: Heute existierende Smartphones erhöhen nicht den Schutz meiner Privatsphäre und Grundrechte.

"Begegnungen speichern, Infekte melden, Alarm schlagen – ohne Nennung von Namen oder zentraler Speicherung von persönlichen Daten: Apps wie «Next Step» bieten dafür eine fast schon verblüffend einfache Lösung."

Das ist so vielleicht nicht ganz richtig ─ «Next Step» erwartet zum Beispiel ein Android-Smartphone. Ich besitze kein Smartphone, und wenn die Verwendung eines Smartphone zur offiziellen oder inoffiziellen Vorbedingung wird, dass ich mich in der Öffentlichkeit frei bewegen kann und ich deshalb gezwungen werde, so ein Gerät zu kaufen, wird das durchaus zu einer Erhöhung der von mir ungewollten zentralen Speicherung von meinen persönlichen und identifizierbaren Daten führen. Ausserdem habe ich keinen Weg, sicher zu sein, dass diese Daten sich nicht mit meinem geheimen Schlüssel in Verbindung bringen lassen. Diese Geräte haben Schwachstellen und Hintertüren, die nichts mit der App zu tun haben, also reicht es nicht aus, dass nur diese Open Source ist.

"Die Frage, ob digitales Contact Tracing mit den Grund­rechten vereint werden kann, hat somit eine eindeutige Antwort: ja. Rüstet man Smart­phones mit Epidemie­software aus, so landet man also nicht zwingend in einem Überwachungsstaat."

Solange man dann diese Smartphones nicht benutzt ist das vielleicht schon der Fall, aber dann funktioniert auch das Contact Tracing nicht. In Xinjiang landen Leute die kein Smartphone verwenden auf einer Liste von verdächtigen Personen: https://www.eff.org/deeplinks/2019/…e-xinjiang

15
/
3
(durch User zurückgezogen)

Viele Ihrer Falschannahmen lassen sich mithilfe eines Smartphone in wenigen Minuten widerlegen und die restlichen sind beinahe so unvorsichtig. Ich bin ausserdem nicht sicher, ob Ihr Beitrag tatsächlich der Etikette entspricht. Trotzdem vielen Dank, dass Sie mein Argument mit einem praktischen Beispiel unterstreichen.

2
/
0

Freiwilligkeit gehört mE zu einer gesellschaftlich akzeptablen Tracking-Lösung dazu, dies impliziert auch, dass man durch Nicht-Teilnahme keine wesentlichen Nachteile erleiden darf (also zB genauso an Veranstaltungen teilnehmen darf wie Menschen die Tracking eingeschaltet haben, aber halt vielleicht seine Körpertemperatur messen lassen muss). Ob die Nicht-Teilnahme dann aus Skepsis/Überzeugung oder mangels Gerät erfolgt, ist da zweitrangig.

Der zweite angesprochene Punkt

Diese Geräte haben Schwachstellen und Hintertüren, die nichts mit der App zu tun haben, also reicht es nicht aus, dass nur diese Open Source ist.

ist natürlich grundsätzlich korrekt, das kann aber kein noch so defensiv entworfenes Tracking-Protokoll lösen. Wer dieses Risiko ausschliessen will, darf grundsätzlich gar nicht erst ein Telefon mit sich rumtragen (auch über ein simples Old Style Nokia kann man ja grundsätzlich getrackt und überwacht werden).

7
/
0
T. G.
· editiert

Einverstanden, allerdings bleibt die Verwendung von neuer Technologie selten wirklich nachhaltig freiwillig, da die Nachteile schleichend wesentlicher werden. (Die UBS verweigert mir jetzt schon bestimmte Transaktionen mit meiner Kreditkarte, aufgrund der Tatsache, dass ich kein Mobiltelefon besitze ─ einen technischen Grund gibt es dafür nicht.)

Es ist wichtig, dass ich als Benutzer meine Geräte selber unter Kontrolle haben darf und ich habe dann etwas Mühe, wenn diesbezüglich sehr unausgereifte Technologien in einem Kontext von Sicherheit/Privatsphäre zu unkritisch angepriesen werden. Natürlich kann man mehr oder weniger bereit sein, einen Kompromiss einzugehen, aber er sollte immer explizit bleiben.

(Es steht auch ausser Frage, dass die beschriebene Lösung weit besser ist, als alle Daten von Beginn an mit voller Absicht Zentral zu speichern, auch wenn es nur dazu beitragen sollte, dass solche Lösungsansätze bekannter werden. Der Artikel leistet in diesem Sinn einen wertvollen Beitrag.)

5
/
0
Patrik Eschle
Physikdozent an der ZHAW.
·

Danke. Klar, nachvollziehbar und mit genügend Hintergrund, um vertieft nachzulesen.

21
/
0
seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source