Anonym kontaktsp?rning f?r COVID-19?

I sp?ret av f?r?delsen som COVID-19 har orsakat i patienternas lungor, i deras och anh?rigas liv i ?vrigt, i v?rden, ?ldreboenden och av det tillf?lliga raset som de n?dv?ndiga ?tg?rder har orsakat i v?ra sociala kontakter, ekonomin och samh?llets sj?lvbild, har man p? en del st?llen i Europa b?rjat prata om att luckra upp samh?llet igen "med hj?lp av teknik".

Ramen som skildras: man antingen accepterar risken att smitta andra, en semipermanent nedst?ngning av det mesta eller ett litet intr?ng i sitt privatliv. N?, det blir v?l inte s? sv?rt?

F?rutom att st?llen som Sydkorea och Singapore, d?r man har sett ett mycket l?gre spridningstempo ?n i v?stv?rlden, har varit oerh?rt mycket flitigare i att testa sin befolkning, har man som bekant ?ven anv?nt appar f?r att spara och f?rmedla positioneringsdata i kampen.

Att testa flitigare ?r f?r n?gon anledning inte lika popul?rt h?r ?n s?ka hj?lp hos halvgudarna p? Olympus Mons, eh, Mountain View och Cupertino, och om man dessutom f?r dr?mma om en Europeisk l?sning, s? att vi kan visa oss som innovativa, enade och handlingskraftiga, inte l?ngre st?ndigt p? efterk?lken j?mf?rt med FAAMG och Kina...

Europas mindre IT-j?ttar och hj?ltar har i alla fall enats i tv? initiativ, PEPP-PT, https://www.pepp-pt.org/overview och DP-3T, https://github.com/DP-3T/documents. B?de pratar v?ldigt g?rna om den stora skillnaden med mer auktorit?rt sinnade, d?r man sparar r?tt platsdata som delas n?r man ?r smittat. Hur primitivt! Nej, vi har en GDPR att f?rh?lla oss till, vi ?r mer civiliserade (tyv?rr). MEN VI HAR EN L?SNING! Och den heter Bluetooth.

Det ?r sant att historik fr?n Bluetooth-handshakes har andra egenskaper ?n platshistorik. Och det ?r klart att des to tidigare att data som inte beh?vs f?r den t?nkta funktionen f?rsvinner i kedjan, des to mindre risken f?r bruk f?r "andra" ?ndam?l.

?ven med l?sningar baserade p? Bluetooth-handshakes finns dock vissa problem kvar. F?r det f?rsta ?r det fortfarande oklart i vilken grad historisk data fr?n anonyma kontakter i den varierande kontaktradie (som ?r beroende p? telefonens modell och lokala radioomst?ndigheter, upp till 10 m eller up till 100 m) tillf?r n?got ut?ver uppgifterna som en person som har testats positiv kan ge kring sina k?nda och frekventa kontakter. Det handlar ju f?r COVID-19 i det h?r skedet inte l?ngre om enskilda smittfall som ska sp?ras, utan om statistiskt relevanta m?ngder och selektivitet. Systemet ?r ju t?nkt att fungera ?ven om inte alla har appen heller.

F?r det andra ligger inte hela den tekniska uppgiften i sj?lva kontaktloggning. N?r en person testas positivt, ska alla i den personens kontaktlogg notifieras, kanske ?ven i n?sta grad. Det pratas f?rv?nansv?rt lite om hur detta ska g? till. Sker notifiering inte via samma app utan via en allm?n kanal som (e-)post inneb?r det att kontaktuppgifter (som ?r personsdata) uts?ndas fritt till alla som kan genomf?ra Bluetooth-handskakningen. Kanske allts? ?ven i n?sta grad.

Sker notifiering dock som v?ntat via samma app baserat p? samma unika identifiers som man utbyter i kontaktloggningen, beh?ver dessa publiceras p? en webbadress d?r appen kollar med regelbundna interval. Under detta process ska appen inte l?cka k?nslig data mot detta mer eller mindra centrala st?llet och certifikatkedjan som s?krar detta st?lle f?r aldrig kompromitteras. F?r den som tar sig in d?r blir systemet annars ett v?ldigt effektivt s?tt att utf?ra en fysisk ekvivalent till en Distributed Denial of Service (DDoS)-angrepp, d?r specifika personer som man sj?lv har varit i n?rheten av kan skickas i 14-dagars hemkarant?n eller att sv?mma ?ver testkapaciteten i v?rden utan att det blir l?tt att upt?cka. Det l?ter som ett alldeles fantastisk verktyg f?r en smart 16-?ring, eller Sveriges favorita baba yaga.

Sist men inte minst talas det (lite tystare) om l?sningar d?r man inte skickar dessa anonyma kontakterbara identifiers utan en identifier som kan certifieras av en myndighet som ”har testats och ?r frisk” eller ”har testats och ?r sjuk” och kollas av varje och en som vill. Tanken att dock inte bara reglera tillg?ng till operationssalar p? detta s?tt utan ?ven till t.ex. kollektivtrafik och fikarum, och att infrastrukturen nog l?r finnas kvar s? l?nge det finns en annan eller tredje v?g av COVID-19 eller -20 h?rjar, g?r att jag personligen blir mycket skeptisk. Effekten p? den sociala v?vnaden av den typen av visionen t?rs man knappast t?nka p?.

Kort sagt: Bluetooth-kontakthistorik ?r precis lika lite som platshistorik en panacea. Ivret att diskutera och s?lja detta fr?n alla h?ll och kanter f?rutom just de med medisk dom?nkunskap, och vetskapen att Singapore k?mpar nu den andra v?gen trots flitig anv?ndning av ?nnu mer inkr?ktande teknik (https://www.nzherald.co.nz/world/news/article.cfm?c_id=2&objectid=12324356) ska g?ra oss alla v?ldigt f?rsiktigt i v?r entusiasm. Se ?ven https://github.com/DP-3T/documents/issues/118.

Och hur m?nga appar kommer man att beh?va f?r n?gorlunda bra konnektivitet? Randall Munroe vet som vanligt svaret p? det mesta: https://xkcd.com/927/

~

~

:wq