France’s Inria and Germany’s Fraunhofer detail their ROBERT contact-tracing protocol
Pessima idea quella di centralizzare tutti i dati per calcolare un punteggio di rischio personalizzato. Questa sì che è una soluzione di sorveglianza invasiva. Andrebbero raccolti solo il minimo indispensabile di dati e conservati per il trmpo necessario al tracciamento dell’infezione. Altri protocolli, basati sulla raccolta solo delle chiavi giornaliere degli infetti, riducono il totale dei dati quindicinali per tutta Italia a circa 1GB. Sono dati ephemeral, per cui quelli di 15 giorni prima sarebbero inutili anche qualora qualcuno tentasse di appropriarsene. — Beppe https://techcrunch.com/2020/04/20/frances-inria-and-germanys-fraunhofer-deta...
Buongiorno, AFAIU ROBERT è l'alternativa a DP-3T dopo che gli ultimi sono stati buttati fuori da PEPP-PT, e questo dice tutto su ROBERT. Con tutto il rispetto per le persone coinvolte, mi pare che anche l'accademia non stia proprio dando il meglio di sè. Giuseppe Attardi <attardi@di.unipi.it> writes:
Pessima idea quella di centralizzare tutti i dati per calcolare un punteggio di rischio personalizzato.
...e cattivo gusto prendere per i fondelli le persone con convoluzioni celebrali tipo --8<---------------cut here---------------start------------->8--- “All systems in the works include a common component (a server) and a decentralized component (a group of smartphones that can communicate between them using Bluetooth): all systems currently in the works are therefore both centralized […] and decentralized,” he continued. --8<---------------cut here---------------end--------------->8--- «centralized-decentralized contact-tracing protocol.», è scritto nero su bianco :-O Faccio fatica a credere che queste parole siano uscite dal CEO di Inria. Saluti. Giovanni -- Giovanni Biscuolo
On 21 Apr 2020, at 08:43, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
Buongiorno,
AFAIU ROBERT è l'alternativa a DP-3T dopo che gli ultimi sono stati buttati fuori da PEPP-PT, e questo dice tutto su ROBERT.
Con tutto il rispetto per le persone coinvolte, mi pare che anche l'accademia non stia proprio dando il meglio di sè.
Ho provato a dare il mio contributo, mandando una proposta al MID e partecipando ai gruppi di sviluppo di Covid Watch, di Contact Tracer, SafePath. Ho compilato, installato e provato Covid Watch che sui miei iphone e tablet, per capire i problemi. Gli ho mandato una dritta che hanno incorporato, di salvare i seed dei generatori anziché tutti gli ephemeral UUID. Con Contact Tracer abbiamo mandato una lettera aperta a Apple per rimuovere le restrizioni su Bluetooth, che ho passato a quelli di SafePath. Non so come si stia comportando il resto dell’accademia, ma temo che succederà come sempre, che quelli ben introdotti presenteranno dei progetti di fondamentale importanza contro il Covid, ma in fondo continuando a fare le cose che hanno sempre fatto. — Beppe
Giuseppe Attardi <attardi@di.unipi.it> writes:
Pessima idea quella di centralizzare tutti i dati per calcolare un punteggio di rischio personalizzato.
...e cattivo gusto prendere per i fondelli le persone con convoluzioni celebrali tipo
--8<---------------cut here---------------start------------->8---
“All systems in the works include a common component (a server) and a decentralized component (a group of smartphones that can communicate between them using Bluetooth): all systems currently in the works are therefore both centralized […] and decentralized,” he continued.
--8<---------------cut here---------------end--------------->8---
«centralized-decentralized contact-tracing protocol.», è scritto nero su bianco :-O
Faccio fatica a credere che queste parole siano uscite dal CEO di Inria.
Saluti. Giovanni
-- Giovanni Biscuolo
Ognuno per la sua strada. Il Covid-19 ringrazia. Chiarimento sui rapporti tra DP-3T e PEPP-PT DP-3T is a free-standing effort, originally started at EPFL and ETHZ, that has now broadened out to include stakeholders from across Europe and beyond. We develop the protocol and implement it in an open-sourced app and server on this repository. DP-3T members have been participating in the loose umbrella of the 'Pan-European Privacy-Preserving Proximity Tracing' (PEPP-PT) project. DP-3T is not the only protocol under this umbrella. PEPP-PT also endorses centralized approaches with very different privacy properties. Pandemics do not respect borders, so there is substantial value in PEPP-PT's role of encouraging dialogue, knowledge-sharing, and interoperability. Nevertheless, as the systems endorsed by PEPP-PT have technical differences that yield very different privacy properties, it is a mistake to use the term 'PEPP-PT' to describe a specific solution or to refer to PEPP-PT as if it embodies a single approach rather than several very different ones. —
On 21 Apr 2020, at 08:43, Giovanni Biscuolo <giovanni@biscuolo.net> wrote:
Buongiorno,
AFAIU ROBERT è l'alternativa a DP-3T dopo che gli ultimi sono stati buttati fuori da PEPP-PT, e questo dice tutto su ROBERT.
Con tutto il rispetto per le persone coinvolte, mi pare che anche l'accademia non stia proprio dando il meglio di sè.
Giuseppe Attardi <attardi@di.unipi.it> writes:
Pessima idea quella di centralizzare tutti i dati per calcolare un punteggio di rischio personalizzato.
...e cattivo gusto prendere per i fondelli le persone con convoluzioni celebrali tipo
--8<---------------cut here---------------start------------->8---
“All systems in the works include a common component (a server) and a decentralized component (a group of smartphones that can communicate between them using Bluetooth): all systems currently in the works are therefore both centralized […] and decentralized,” he continued.
--8<---------------cut here---------------end--------------->8---
«centralized-decentralized contact-tracing protocol.», è scritto nero su bianco :-O
Faccio fatica a credere che queste parole siano uscite dal CEO di Inria.
Saluti. Giovanni
-- Giovanni Biscuolo
C'è una analisi tecnica impietosa qua: https://github.com/DP-3T/documents/blob/master/Security%20analysis/PEPP-PT_%... Con due caveat: - È del protocollo NTK (= PEPP-PT) e non di ROBERT di Inria. Da quel che capisco le differenze tra ROBERT e NTK non dovrebbero essere significative ai fini degli attacchi riportati, ma per sicurezza ho chiesto qualche giorno fa agli autori dell'analisi di verificare/ confermarlo (non ho ancora ricevuto risposta) - L'analisi è fatta dai principali concorrenti (gli autori di DP-3T), quindi c'è un rischio "chiedete al macellaio se la carne è buona", ed i commenti nel documento a margine dell'analisi tecnica sembrano effettivamente molto schierati. Ma l'analisi in se mi sembra, nel mio piccolo, assolutamente pertinente e corretta. Saluti PS full disclosure: Inria è il principale sponsor di Software Heritage, che è il mio principale progetto di ricerca degli ultimi anni. Ma ROBERT non mi piace affatto, continuo a preferirgli di gran lunga DP-3T, quindi il mio potenziale conflitto di interesse in questa discussione non dovrebbe essere particolarmente problematico :-) On Tue, Apr 21, 2020 at 02:16:19AM +0200, Giuseppe Attardi wrote:
Pessima idea quella di centralizzare tutti i dati per calcolare un punteggio di rischio personalizzato.
Questa sì che è una soluzione di sorveglianza invasiva. Andrebbero raccolti solo il minimo indispensabile di dati e conservati per il trmpo necessario al tracciamento dell’infezione.
Altri protocolli, basati sulla raccolta solo delle chiavi giornaliere degli infetti, riducono il totale dei dati quindicinali per tutta Italia a circa 1GB. Sono dati ephemeral, per cui quelli di 15 giorni prima sarebbero inutili anche qualora qualcuno tentasse di appropriarsene.
— Beppe
https://techcrunch.com/2020/04/20/frances-inria-and-germanys-fraunhofer-deta... _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
On Tue, Apr 21, 2020 at 09:31:19AM +0200, Stefano Zacchiroli wrote:
C'è una analisi tecnica impietosa qua:
https://github.com/DP-3T/documents/blob/master/Security%20analysis/PEPP-PT_%...
Con due caveat:
- È del protocollo NTK (= PEPP-PT) e non di ROBERT di Inria. Da quel che capisco le differenze tra ROBERT e NTK non dovrebbero essere significative ai fini degli attacchi riportati, ma per sicurezza ho chiesto qualche giorno fa agli autori dell'analisi di verificare/ confermarlo (non ho ancora ricevuto risposta)
Hanno risposto ieri. Qua l'analisi specifica di ROBERT, sempre da parte del consorio DP-3T: https://github.com/DP-3T/documents/blob/master/Security%20analysis/ROBERT%20... -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
participants (3)
-
Giovanni Biscuolo -
Giuseppe Attardi -
Stefano Zacchiroli