分享

暴露通知是填補防疫漏洞,還是成為資安漏洞

近期疫情的突然升溫造成全台灣上下人心惶惶,而早在2020年4月時,Apple與Google已經合作開發接觸史工具,只要有需要,各國的衛生單位都可以配合該功能並推出相關app來做防疫。
而台灣衛福部也是於今年4月份推出「台灣社交距離」app 即是該功能的實際應用,只要通過設定開啟「暴露通知」的功能就可以使用。

該圖片為本人手機操作畫面

運作原理:

當你跟別人接近時,雙方的手機就會透過藍芽來交換一組識別碼,交換了以後你的手機就會把這組識別碼保存起來14天,用來記錄你曾經跟哪些人有接觸。
當有人確診了以後,他們透過暴露通知系統回報,並且把自己的識別碼上傳到暴露通知系統的伺服器。
每一個有開啟暴露通知系統的人的手機都會定時跟伺服器連線(根據本人使用大約一天會比對一次),下載所有這段時間在你所在區域的確診者的識別碼,接著比對你手機紀錄裡面你過去14天有接觸過的人,如果兩者有任何相符合的話,就會跳出通知警告你,讓你知道你曾經跟確診者接觸過,代表你可能已經暴露在風險之中了。
而其中手機產生識別碼的技術就是上課時所提到的雜湊函數的技術。

技術層面解釋

  1. 手機每天會生成一組臨時金鑰  
  2. 臨時金鑰透過雜湊函數生成一組識別碼金鑰 
  3. 識別碼金鑰利用AES-128的加密方式來產生識別碼,也就是手機藍牙交換的識別碼。
  4. 每到固定時間就會重新產生一組識別碼,來避免別人追蹤位置
  5. 而一開始說的臨時金鑰過了24小時就會重新產生,並重複步驟1.~4.
解釋到這邊,我想應該還是很多人不了解該功能的安全性如何,以現今的技術來說,要在短時間內破解AES-128是很難的。即使真的被破解被對方拿到識別碼金鑰,他也無法拿到臨時金鑰,因為是使用雜湊函數來產生識別碼金鑰,更不要說利用該功能盜取我們的手機資訊了。
當然隱私的暴露不只有手機內的資訊,有些人可能會擔憂開啟藍芽會不會被別人追蹤位置?
首先要說到,此暴露通知為利用手機"低功耗藍芽"的功能,而低功耗藍芽的傳輸距離根據"藍牙版本有哪些?"這篇文章內文就有提及大約為20~40公尺,而當兩部裝置要交換資訊時,可能需要更近的距離,因此不需要使用手機的定位功能就可以交換識別碼。
甚至因為傳輸距離的限制,更可以確保兩人是在一定範圍內有所接觸,而減少誤判的情況,也大大降低有人在遠方監控裝置的可能。
舉例來說,當有2人位於地下室時,可能因為訊號屏蔽的問題而無法定位。但藍芽只要兩人都在附近,就可以交換資訊,就可以知道其實這兩人是有接觸史的。

優點與缺點:

如果將暴露通知的功能最大化利用(理想是所有人都持有行動裝置並啟動該功能),那肯定政府在防疫上一定是更省時省力。
假設發現自己與確診者有接觸,立馬去做篩檢,萬一不幸確診,馬上更新資料後上傳,讓政府馬上匡列可能感染的群眾,盡早做隔離治療,既保護自己,又保全社會。
而最大的缺點就是普及率,首先該系統並不強制人民全部安裝,但若安裝的人數太少,它的追蹤效果會很有限,只有自己開啟,而身邊的人都不開啟的話也沒用。再者就是即便他人安裝了軟體,但該軟體是確診者可以選擇要不要上傳自己的臨時金鑰,若不上傳,對防疫一樣沒有作用。

總結:

  

比起實名制登記追蹤與公布個案足跡,暴露通知應該是更為方便且準確的方式,但正如上述所說,該軟體是越多人加入越能發揮防疫的效果,且我個人認為政府若有必要,其實應該強制上傳確診者的資訊,已達更強大的防疫效果。並且在安全性的部分其實不必太過擔心,該軟體透過多層手段來保護使用者的隱私,讓我們可以放心使用軟體。

參考資料:
有關台灣社交距離:
有關暴露通知技術&官方文件:
有關AES-128:
有關藍芽資訊
分類:科技

評論
下一篇
  • 通識作業 #隨身碟開機 MS-16K4
  • 更多文章
    載入中... 沒有更多了