疫苗接种护照应用程序可以帮助社会重新开放 - 首先,他们必须是安全的,私密和信任的

你如何证明人们已经接种了疫苗,而不会使他们的隐私面临风险?现实的技术和最佳实践存在。然而,如果他们被使用,它远非清楚。

塔夫茨大学劳琳威斯林格 / March 23, 2021
Shutterstock / Nattakorn_Maneerat.

您可能很快在您的手机上有一个应用程序:数字疫苗接种护照,允许已接种疫情的人进行疫苗,进入商业机构和参加活动。没有该应用程序可以拒绝人们访问。

尽管仍有高感染风险,但疫苗接种护照应用程序可以帮助社会重新开放,包括静止 冠状病毒的更传染性和致命的菌株,因为他们允许保护人员恢复正常活动,同时让人们容易受到高风险环境感染。

然而,疫苗接种护照可以拥有 意外,负面后果。除了道德问题之外,建设疫苗接种护照应用远远不如直截了当。作为一个 网络安全研究员,我看到几个挑战,包括如何最好地确保安全和隐私,并让人们信任验证系统。

模糊细节

像国籍一样,疫苗地位对他人来说是不可见的。护照和政府ID长期以来一直用于证明身份,公民身份和出生日期以及世界卫生组织’s jaune.或黄牌,已经为国际旅行证明疫苗接种的作用。这些依赖各国政府是值得信赖的第三方。

涉及疫苗接种护照应用程序时,很多仍在空中。本月,欧盟宣布 它的疫苗接种护照计划。判断从 初始文件,该系统旨在分散,依赖于卫生机构颁发仅存储必要信息的证书。值得注意的是,它允许纸张和基于应用的证书。

在任何一种情况下,验证都将基于 数字签名, 和 所有健康数据将留在发行权限或成员国。但是,虽然概念文件很有前途,但被推出的是什么,并且有谁通过存储或跟踪数据仍然可以看到规则。

公共通道 由国际非营利组织建造的应用似乎是最开发的疫苗接种护照应用程序。它目前记录了测试结果。但是,它的制造商声称记录将仅在用户身上存储’设备,应用程序是封闭的源,唯一的文档是一个肤浅的常见问题解答。

以色列推出了它的“green pass”应用程序,验证一个人已接种疫苗或从Covid-19恢复,但系统已提出 隐私和安全问题。其他几个国家也推出了用于内部使用的疫苗接种护照应用程序,包括 中国沙特阿拉伯.

理想的应用程序如何运作

App Designers面临着一项艰巨的任务:他们需要创建一个安全,隐私保存,易于使用的系统,与尽可能多的设备兼容,高度可扩展,并且能够通过边界运行。该系统将不得不追踪提供疫苗接种记录的机构和 信托链 –证明系统每个部分的数字握手是它声称的原因–将这些记录链接到应用程序。

It’对于用户和组织的优选,必须验证记录以处理更少的应用程序,这意味着每个应用程序都有许多用户。因此,这些关键申请中的安全漏洞将受到广泛影响。大量用户还增加了将受益于受信任,健康相关的政府支持的应用程序受益的攻击者的激励。

因此,它’对于疫苗护照应用来说,对于仅通过收集和保留所需的数据来最大化隐私,类似于欧盟提出的内容。这将包括身份,疫苗类型和疫苗接种日期。这不仅会降低内部滥用数据,但它也降低了违约案的风险。

信任问题

可以信任谁建立和维护这个应用程序?有些人 担心政府和私营部门监控。实际上,有理由令人担忧:疫苗护照应用可能是必需的或准必需的,对个人健康信息的链接标识,并且根据实施,可用于建立详细的个人资料,包括移动模式。

私营公司存在赚钱,因此,通常通过数据挖掘或销售将Passport应用程序提供激励。政府支持的应用可能会引起监视和监测的担忧 公民’ rights.

因此,建立信任,它’事先澄清概念和设计的重要性,记录将收集和处理的数据以及如何。正如德国联系跟踪应用程序所练习,任何护照申请’后端和前端需要完全 开源 安全专家通过安全专家来测试公众信任。

有许多挑战,但是可以提供可信,安全和隐私的疫苗接种护照应用的技术。但是,技术只是图片的一部分。它’在Covid-19和整体社会的背景下考虑疫苗护照系统也很重要。

棘手的问题

各国政府需要考虑更深入需要疫苗接种护照应用程序的后果 接入餐厅或健身房 在疫苗剂量不容易和廉价的每个人的地方,这是世界上大多数世界的。

护照应用程序创建 接种疫苗和未接种疫苗的个人之间的不等式。第一次接种疫苗的政府选出的那些享有疫苗的疫苗。在美国,这些人往往持续不成比例, 富裕白色的。年轻的人和社区的颜色–两组都受到大流行影响的特别困难–更有可能被遗弃。因此,这些应用可能会增加社会紧张局势。

感知的安全收益也可能具有各种意外的后果。例如,早产的开口可能会增加疫苗的传播,但受感染的人或通过增加的惠顾,要求在现场上的更加未接种的工作人员。

最后但并非最不重要的是,需要护照应用程序 可能会鼓励未被解雇的歪曲他们的身份,是否结束结局,坚持工作,或只是避免被遗弃,进一步增加感染风险。

因此,在美国的地方,在所有愿意疫苗的人那里,我会在大家有机会接种疫苗之前才会接种疫苗,这将是有意义的,直到每个人都有机会接种疫苗。其次,需要清楚,公开和公开讨论这些应用程序所提供的内容以及如何工作。

更具模拟方法,不需要智能手机或应用程序将更可访问,更便宜,更隐私保留。欧盟’由于目前代表,允许使用纸质记录,验证QR码。一个类似的系统也在开发 麻省理工学院非营利组织。这些半数字方法可以被黑攻击,但应用程序也可以。

Laurin Weissinger,网络安全的讲师, 塔夫茨大学

本文已重新发布 谈话 在创造性的公共许可证下。阅读 来源文章.


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs