Troppo lungo; non ho letto
Questo articolo parla dello standard dell’app Immuni. L’app in questione non registrerà la vostra posizione GPS e non condividerà nessun dato con nessun server centrale. Condividerà dei dati anonimi solo nel momento in cui siete positivi al Covid e solo con un’esplicita azione. L’articolo è in modifica da quando lo ho scritto, qui potete trovare le integrazioni.
Premessa
Se pensate che lo Stato possa fare cose a caso senza rispettare leggi, questo articolo è una perdita di tempo. In questo caso vi consiglio di procurarvi un’arma e di autotutelarvi dagli abusi statali, perché da domani (o da oggi) potremmo svegliarci in un regime totalitario. Altrimenti, forse lo Stato non può proprio fare tutto quello che vuole e forse è nel suo interesse avere una popolazione sana e lavorante.
Analisi dello standard
Su facebook la malfidenza è alle stelle, e subito in seconda posizione viene lo sfottò alla malfidenza (date la posizione a facebook/runtastic/tinder ma non la date ad un’app che selve a salvare la vita).
Da informatico voglio contribuire alla cosa dando qualche dato tecnico in più. L’app non esiste ancora, parliamo dello standard utilizzato dall’app Immuni, ma quando esisterà probabilmente sarà nell’interesse di chi la rilascia renderla il più anonima possibile – altrimenti nessuno la installerà.
Sono qui per spiegarvi come funziona il tracing anonimo, che sarà con una probabilità altissima il modo con cui sarà progettata l’app in questione. No, non ve lo prometto, sì, è una mia speculazione su un altro progetto che cerca di stabilire un protocollo per il tracing anonimo.
Come funziona
Alice e Bob sono a cena insieme (benvenuta fase 2!), e hanno entrambi l’app Immuni. I cellulari si scambiano ogni pochi minuti dei numeri casuali (token) molto lunghi e univoci – vedeteli come dei numeri di serie delle banconote, con associata una data e un’ora.
Ogni cellulare memorizza tutti i numeri che riceve e che trasmette. I dati sono solo sul cellulare e viaggiano in bluetooth, quindi:
- non sono e non passano su nessun server
- il trasmittente non sa chi li riceve – potrebbero anche essere più dispositivi
- il GPS non gioca nessun ruolo
Quindi mentre alice va in giro per il Mondo (benvenuta fase 3!) il suo cellulare manda in giro token e ne riceve anche di più: va a fare la spesa e prende un sacco di token, va a fare un giro in centro e ne prende ancora di più, sta a casa e se li scambia con tutti i famigliari e magari anche i vicini.
I token sono anonimi quindi anche se qualsiasi hacker, governo, matusa (cit), rubasse il cellulare ad Alice vedrebbe due noiosissime liste di numeri senza senso.
Passano una decina di giorni dalla tenera cena e Bob si ammala, è positivo al covid19. Bob è una persona coscienziosa, prende la sua app e schiaccia il pulsante rosso “sono positivo” ottiene un codice per poter schiacciare (se lo desidera) il pulsante rosso sulla sua app, ed a mio avviso non avrebbe motivo per non farlo in quanto l’app è anonima.
Ecco cosa succede
- l’app di Bob invia al server per la prima volta delle informazioni: cioè tutti i token che Bob ha inviato nei 15 giorni precedenti
- il server condivide con tutti la red list dei token di Bob
- tutti i cellulari scaricano periodicamente le red list dei positivi
- il cellulare di Alice la avverte che negli ultimi 15 giorni lei è stata in prossimità di un positivo, e le dice anche per quanto tempo
- il cellulare di Alice non le dice chi è positivo, le dice solo che è a rischio
- Alice si fa fare un test ma qui entriamo nell’ambito sanitario, non oggetto di questa digressione
Integrazioni
- 27/4: è uscito ieri un articolo ottimo di agenda digitale che dà un’analisi molto migliore della mia
- Questa non è un’app, è uno standard per creare delle app. Si chiama DP-3T e la ho già linkata più sopra – quindi non ha senso dire che funziona o no; l’app non esiste ancora e comunque è come discutere se una casa uscirà bene o male parlando degli standard di costruzione. Non ci sono abbastanza elementi.
- Non è un sistema bullet-proof. Qualcuno potrebbe rubare il cellulare ad Alice e cliccare il pulsante rosso. Si potrebbe mettere un pin, o un’impronta digitale, o mandare una mail che chieda la conferma di aver cliccato il pulsante rosso ma rimane comunque un sistema exploitabile come tutti i sistemi di autenticazione – dall’home banking ai 600 euro INPS.
- Ci sono casi limite in cui uno scarica l’app, la usa un’ora in cui va dal salumiere ed è da solo, poi la disinstalla e dopo una settimana la reinstalla, gli arriva la notifica della red list e chiaramente è stato il salumiere. Sì, in quel caso specifico non sarebbe anonima, sempre di essere sicuri che dal salumiere ci fosse solo lui e non anche il garzone.
- Il governo ha optato per decentralizzare i dati, quindi per seguire la linea dello standard trattato in questo articolo. Per me è un’ottima notizia. Cito testualmente dal ministero
Il sistema di contact tracing dovrà essere finalizzato tenendo in considerazione l’evoluzione dei sistemi di contact tracing internazionali, oggi ancora non completamente definiti (PEPP-PT, DP-3T, ROBERT), e in particolare l’evoluzione del modello annunciato da Apple e Google.
In conclusione
Nelle intenzioni, cioè nello standard utilizzato dall’app Immuni, non si condivide un cacchio con nessuno. È anche open source quindi si può verificare che effettivamente sia così. Non ci sono motivi reali per preoccuparsi al momento.
Se avete installato google maps sul vostro primo smartphone, plausibilmente vi stanno tracciando da dieci anni e ve lo hanno pure già chiesto.
A voi l’infografica che ho rubato dal repository github (grazie Erik), l’autore è un meraviglioso ncase.