Ogni messaggio che passa in lista ha automaticamente una sua
URL, che nel caso del messaggio di Enrico è la seguente:

http://server-nexa.polito.it/pipermail/nexa/2020-April/017261.html

Ne approfitto per ringraziare tutti per i contributi all'analisi
e alla discussione!

jc


On 04/04/2020 12:35, Federico Bo wrote:
Enrico, molto interessante la tua email su PEPP-PT: perché non lo trasformi in un post per poterlo condividere?

Federico

Il sab 4 apr 2020 12:00 <nexa-request@server-nexa.polito.it> ha scritto:
Send nexa mailing list submissions to
        nexa@server-nexa.polito.it

To subscribe or unsubscribe via the World Wide Web, visit
        https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
or, via email, send a message with subject or body 'help' to
        nexa-request@server-nexa.polito.it

You can reach the person managing the list at
        nexa-owner@server-nexa.polito.it

When replying, please edit your Subject line so it is more specific
than "Re: Contents of nexa digest..."


Today's Topics:

   1. qualche info in più su PEPP-PT (Enrico Nardelli)
   2. Re: qualche info in più su PEPP-PT (Stefano Quintarelli)


----------------------------------------------------------------------

Message: 1
Date: Sat, 4 Apr 2020 11:28:05 +0200
From: Enrico Nardelli <nardelli@mat.uniroma2.it>
To: Nexa <nexa@server-nexa.polito.it>
Subject: [nexa] qualche info in più su PEPP-PT
Message-ID: <7524c6cf-4be5-100b-7cc6-83836cd8142c@mat.uniroma2.it>
Content-Type: text/plain; charset=utf-8; format=flowed

Cari tutti

vi segnalo che qui
   https://aiforgood.itu.int/webinar/
è possibile vedere un webinar (episode #2) in cui viene detto qualcosa di più su questi sistemi di contact tracing

Ci sono due speaker:
   Kurt Rohloff, Duality Technologies
   Thomas Wiegand, Fraunhofer Hertz Institute

Rohloff ha parlato in generale di Privacy Enhancing Technologies (PET) descrivendo uno schema basato sulla crittografia omomorfica (una tecnica che permette di crittare i dati consentendo di poter comunque fare alcune computazioni su questi dati i cui risultati possono però essere "letti" solo da chi ha crittografato i dati originali) per realizzare un sistema di contact tracing.

Wiegand ha partato di PEPP-PT, la soluzione che pare diversi paesi europei vogliano adottare.

Nel seguito vi faccio una sintesi di quello che ho capito e che non ho capito, sperando sia utile.

In ogni caso, come molti altri hanno osservato qui in lista, lo snodo fondamentale è l'organizzazione dei test ed il loro utilizzo in modo estensivo. Senza che vi sia per questo un piano realistico in termini di tempi e risorse tutto questo rimane puro "soluzionismo digitale".

Ciao, Enrico

---------------------
Per quanto riguarda Rohloff

La parte interessante dal punto di vista tecnico inizia intorno a 19'45" fino a 28'45"

Quello che ho capito è che lo schema è basato su:

1. Il telefono installa una coppia chiave-privata (KR) / chiave-pubblica (KB)

2. Tutti i dati che il telefono scambia con altri telefoni cui si trova vicino (via Bluetooth) o con il server del servizio sono crittati con KB e contengono informazioni quali telefono e e-mail del possessore del telefono.

3. I dati che il telefono invia al server contengono informazioni relative al contatto avuto con altri telefoni: a quali telefoni si è stati vicino e quando, ma non dove.

Quello che penso di aver capito, ma non è chiaro dalla presentazione:

1. Il server (grazie alla crittografia omomorfica) è in grado di ritrovare i dati corrispondenti ad un numero di telefono (quando, ad esempio, il suo possessore sia risultato infetto ad un test) e quindi di recuperare da questi (mi pare sempre usando la crittografia omomorfica) quali altri telefoni devono essere contattati, perché sono stati vicini a chi è risultato infetto in una certa finestra temporale.

Quello che non ho capito è come si ottengono i dati di localizzazione geografica e come il sistema protegge i dati dagli attacchi. Se il server è in grado di leggere i numeri di telefono con la crittografia omomorfica allora può essere in grado di farlo anche un attaccante.

Da 33'00" a 38'00" c'è poi un'interessante discussione su trust e soluzioni aperte.

-----------------------------------
Per quanto riguarda Wiegand questo è quello che ho capito di come funziona PEPP (anche in base a quanto avevo già letto dalla pagina https://www.pepp-pt.org/content)

1. Ogni telefono scambia con altri telefoni cui si trova vicino (via Bluetooth) è un ID randomizzato ma univocamente legato al telefono

2. Gli ID scambiati sono memorizzati da ogni telefono solo localmente con una marca temporale, per un periodo massimo legato alla finestra di incubazione, trascorso il quale il telefono li cancella

3. Quando il possessore del telefono viene rilevato positivo al test riceve un codice di autorizzazione mediante il quale la sua storia locale di contatti può essere inviata in modo sicuro ad un server centrale

Non ho capito però come, dagli identificatori randomizzati che il servizio riceve da chi, essendo infettato, glieli ha trasmessi, il servizio riesce a dedurre i numeri dei telefoni che gli sono stati vicini e quindi a contattarli. Anche qui, se può farlo il servizio, può farlo chiunque altro.

Un'informazione nuova è che il sistema dovrebbe essere rilasciato nella settimana dopo Pasqua (16-18 aprile)

----------------------------------


-- EN

=====================================================================
Prof. Enrico Nardelli
Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
Via della Ricerca Scientifica snc - 00133 Roma
tel: +39 06 7259.4204    fax: +39 06 7259.4699
mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
home page: http://www.mat.uniroma2.it/~nardelli
blog: http://www.ilfattoquotidiano.it/blog/enardelli/
       http://link-and-think.blogspot.it/
=====================================================================
--


------------------------------

Message: 2
Date: Sat, 4 Apr 2020 11:56:13 +0200
From: Stefano Quintarelli <stefano@quintarelli.it>
To: Nexa <nexa@server-nexa.polito.it>
Subject: Re: [nexa] qualche info in più su PEPP-PT
Message-ID: <52ced64f-7b10-9c49-a9d0-60187c7df86a@quintarelli.it>
Content-Type: text/plain; charset=windows-1252; format=flowed

se questa e' la procedura, non vedo come possa funzionare per rilevare
gli iphone (25-30% del mercato)

ciao!, s.


On 04/04/2020 11:28, Enrico Nardelli wrote:
> Cari tutti
>
> vi segnalo che qui
>    https://aiforgood.itu.int/webinar/
> è possibile vedere un webinar (episode #2) in cui viene detto qualcosa
> di più su questi sistemi di contact tracing
>
> Ci sono due speaker:
>    Kurt Rohloff, Duality Technologies
>    Thomas Wiegand, Fraunhofer Hertz Institute
>
> Rohloff ha parlato in generale di Privacy Enhancing Technologies (PET)
> descrivendo uno schema basato sulla crittografia omomorfica (una tecnica
> che permette di crittare i dati consentendo di poter comunque fare
> alcune computazioni su questi dati i cui risultati possono però essere
> "letti" solo da chi ha crittografato i dati originali) per realizzare un
> sistema di contact tracing.
>
> Wiegand ha partato di PEPP-PT, la soluzione che pare diversi paesi
> europei vogliano adottare.
>
> Nel seguito vi faccio una sintesi di quello che ho capito e che non ho
> capito, sperando sia utile.
>
> In ogni caso, come molti altri hanno osservato qui in lista, lo snodo
> fondamentale è l'organizzazione dei test ed il loro utilizzo in modo
> estensivo. Senza che vi sia per questo un piano realistico in termini di
> tempi e risorse tutto questo rimane puro "soluzionismo digitale".
>
> Ciao, Enrico
>
> ---------------------
> Per quanto riguarda Rohloff
>
> La parte interessante dal punto di vista tecnico inizia intorno a 19'45"
> fino a 28'45"
>
> Quello che ho capito è che lo schema è basato su:
>
> 1. Il telefono installa una coppia chiave-privata (KR) / chiave-pubblica
> (KB)
>
> 2. Tutti i dati che il telefono scambia con altri telefoni cui si trova
> vicino (via Bluetooth) o con il server del servizio sono crittati con KB
> e contengono informazioni quali telefono e e-mail del possessore del
> telefono.
>
> 3. I dati che il telefono invia al server contengono informazioni
> relative al contatto avuto con altri telefoni: a quali telefoni si è
> stati vicino e quando, ma non dove.
>
> Quello che penso di aver capito, ma non è chiaro dalla presentazione:
>
> 1. Il server (grazie alla crittografia omomorfica) è in grado di
> ritrovare i dati corrispondenti ad un numero di telefono (quando, ad
> esempio, il suo possessore sia risultato infetto ad un test) e quindi di
> recuperare da questi (mi pare sempre usando la crittografia omomorfica)
> quali altri telefoni devono essere contattati, perché sono stati vicini
> a chi è risultato infetto in una certa finestra temporale.
>
> Quello che non ho capito è come si ottengono i dati di localizzazione
> geografica e come il sistema protegge i dati dagli attacchi. Se il
> server è in grado di leggere i numeri di telefono con la crittografia
> omomorfica allora può essere in grado di farlo anche un attaccante.
>
> Da 33'00" a 38'00" c'è poi un'interessante discussione su trust e
> soluzioni aperte.
>
> -----------------------------------
> Per quanto riguarda Wiegand questo è quello che ho capito di come
> funziona PEPP (anche in base a quanto avevo già letto dalla pagina
> https://www.pepp-pt.org/content)
>
> 1. Ogni telefono scambia con altri telefoni cui si trova vicino (via
> Bluetooth) è un ID randomizzato ma univocamente legato al telefono
>
> 2. Gli ID scambiati sono memorizzati da ogni telefono solo localmente
> con una marca temporale, per un periodo massimo legato alla finestra di
> incubazione, trascorso il quale il telefono li cancella
>
> 3. Quando il possessore del telefono viene rilevato positivo al test
> riceve un codice di autorizzazione mediante il quale la sua storia
> locale di contatti può essere inviata in modo sicuro ad un server centrale
>
> Non ho capito però come, dagli identificatori randomizzati che il
> servizio riceve da chi, essendo infettato, glieli ha trasmessi, il
> servizio riesce a dedurre i numeri dei telefoni che gli sono stati
> vicini e quindi a contattarli. Anche qui, se può farlo il servizio, può
> farlo chiunque altro.
>
> Un'informazione nuova è che il sistema dovrebbe essere rilasciato nella
> settimana dopo Pasqua (16-18 aprile)
>
> ----------------------------------
>
>
> -- EN
>
> =====================================================================
> Prof. Enrico Nardelli
> Dipartimento di Matematica - Universita' di Roma "Tor Vergata"
> Via della Ricerca Scientifica snc - 00133 Roma
> tel: +39 06 7259.4204    fax: +39 06 7259.4699
> mobile: +39 335 590.2331     e-mail: nardelli@mat.uniroma2.it
> home page: http://www.mat.uniroma2.it/~nardelli
> blog: http://www.ilfattoquotidiano.it/blog/enardelli/
>        http://link-and-think.blogspot.it/
> =====================================================================

--
reserve your meeting with me at https://cal.quintarelli.it


------------------------------

Subject: Digest Footer

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa


------------------------------

End of nexa Digest, Vol 132, Issue 16
*************************************

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa