Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Rządowa aplikacja ProteGo Safe będzie jednak zdecentralizowana oraz wykorzysta API Google/Apple. Co to oznacza dla użytkownika?
Historię samej aplikacji w kontekście rozwoju/bezpieczeństwa/prywatności można zobaczyć w nowo założonej sprawie – tutaj. Chyba najważniejszą informacją jest docelowe przejście do modelu zdecentralizowanego i używanie mocno restrykcyjnego API od Apple/Google, co należy traktować jako krok w dobrą stronę.
Tutaj po raz kolejny wyjaśniamy działanie tego tajemniczego „API”. Z jednej strony iPhone-y/telefony oparte o Androida dostaną pewne funkcje umożliwiające wymianę poprzez Bluetooth pewnych ~losowych ciągów znaków. Z drugiej – udostępnią one pewne funkcje aplikacjom, które mają być opracowane przez kraje.
Samo API ma być domyślnie wyłączone na poziomie telefonu, czyli żeby uczestniczyć w projekcie muszę zainstalować appkę oraz dodatkowo włączyć wspomniane API.
Ważne jest to, że samo API nie wysyła w normalnym działaniu danych do clouda. Może to wydarzyć się tylko w jednym momencie – kiedy użytkownik będzie sam chciał (może wzruszyć ramionami i nie chcieć) poinformować system, że otrzymał wynik pozytywny w teście na koronawirusa – a i tutaj mają być wysyłane tylko losowe ciągi znaków. Ten krok będzie dodatkowo musiał być ręcznie potwierdzony przez użytkownika.
Cały system ma zatem kilka elementów:
- Funkcje mobilnego systemu operacyjnego (wymiana komunikatów z innymi urządzeniami za pomocą Bluetootha. Sam mechanizm jest mocno inspirowany projektem DP-3T, który dostarcza m.in. sensowne analizy dotyczące zarówno bezpieczeństwa jak i prywatności tej klasy rozwiązań)
- API programistyczne zapewniające dostęp do ww. komunikatów – dla aplikacji (też po stronie OS)
- Aplikacja mobilna (tworzona przez dany kraj)
- Backend (zwany czasem „cloudem”, również dostarczany przez dany kraj)
Na koniec niespodzianka, pewnym fragmentom gotowego rozwiązania przyjrzymy się dokładniej (ekipą Securitum), wskazując które elementy stanowią ew. zagrożenie dla bezpieczeństwa rozwiązania. Oczywiście takie tematy zaraportujemy – w ten sposób żeby developerzy otrzymali jasny przekaz co jest nie tak i ew. jak to naprawić.
–ms
Niby tak, ale „niesmak pozostał”
W sumie cieszę się, że poszło to w tą stronę.
Podejrzewałem, że brak wyboru dp-3t wynikał z tego, że rozwiązanie Singapurskie po prostu było sprawdzone, a inicjatywa G+A wyszła w trakcie rozwoju. Niemniej dużo hejtu w issues się polało :/
No wszystko się zmienia tutaj dość dynamicznie :)
Niemcy zrobili ~podobny zwrot: https://techcrunch.com/2020/04/27/germany-ditches-centralized-approach-to-app-for-covid-19-contacts-tracing/
Ciekawe co będzie z UK: https://www.theregister.co.uk/2020/05/05/uk_coronavirus_app/
Miło słuchać o aplikacji rządowej, która jest prowadzona w tak fajny sposób, czyli otwarty dla programistów i specjalistów. Powodzenia w zgłaszaniu uwag!
Kiedy analogiczna apka, która bedzie wskazywać kontakt np z:
– chorym na AIDS
– chorym na raka
– LGBT
– wpisz dowolna zmienna
Ludzie co z Wami?
Co ciekawe była (jest) taka appka np. do eboli.