aggiornamento sul protocollo DP-3T per il tracciamento dei contatti
https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-... Grazie in anticipo per ogni commento. PS Versione in inglese in lavorazione... -- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
Certo che dare tutti i propri dati in pasto ad Apple e Google per evitare il virus...quasi quasi...uno ci pensa due volte https://www.lastampa.it/tecnologia/news/2020/04/10/news/apple-e-google-insie... -----Original Message----- From: nexa <nexa-bounces@server-nexa.polito.it> On Behalf Of Enrico Nardelli Sent: Friday, April 10, 2020 2:26 PM To: Nexa <nexa@server-nexa.polito.it> Subject: [nexa] aggiornamento sul protocollo DP-3T per il tracciamento dei contatti https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-... Grazie in anticipo per ogni commento. PS Versione in inglese in lavorazione... -- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== -- _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
On Fri, Apr 10, 2020 at 08:25:31PM +0200, Enrico Nardelli wrote:
https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-...
Grazie in anticipo per ogni commento.
Per quel che vale, mi pare tu abbia descritto bene gli improvement recenti al protocollo. Al solito: grazie per questo importante lavoro di divulgazione. A proposito di questo passaggio del tuo articolo:
Considerando che queste soluzioni di tracciamento dei contatti sono pensate appunto più per la fase di ritorno alla vita normale che per l'attuale fase di quarantena collettiva il problema non è secondario. Con il ritorno alla normalità ricominceranno le regolari attività giornaliere nelle quali tendiamo a incontrare con regolarità persone che conosciamo. Ed è proprio in queste situazioni di incontri regolari/ripetuti che l'approccio di registrare i contatti manifesta la sua debolezza rispetto alla privacy.
Insisto a non capire il threat model che hai in mente. Anche senza alcuna app di tracing nelle nostre vite (la situazione attuale), le persone per le quali ho la più alta probabilità di venire a sapere che sono positive sono proprio quelle che incontro regolarmente. È vero in generale---perché ci parlo e comunico in mille modi, ed è interesse di entrambi fare passare l'informazione sulla positività. (A meno che tu non stia pensando ad un threat model di tipo bizantino, in cui un untore vuole massimizzare le possibilità di contagio nascondendo l'informazione, ma allora cambia veramente tutto.) Ed è ancora più vero in un contesto di contact tracing completamente analogico, con le interviste di cui abbiamo parlato. Perché se mi contattano per verificare se ho effettivamente passato più di 5 minuti con tizio, quanto mi ci vuole per dedurre che tizio è positivo? Ergo, cosa cambia da questo punto di vista con una app di tracing a la DP3T? Il threat model del contact tracing centralizzato è chiaro; quello del contract tracing distribuito non mi pare tu l'abbia definito, ma è un prerequisito alla tua critica. A presto -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
Grazie mille Stefano! (a proposito, ho appena corretto un paio di sviste nella mia descrizione) Il threat model che ho in mente è quello nel quale nella cerchia dei tuoi "conoscenti" viene rivelato che sei infetto. Essendo un dato sanitario, mi pare rientri tra quelli per i quali spetta a te decidere se rivelarlo o meno. Non si tratta di essere "untore", ma capisci che non tutti sono disposti a rivelare a tutti i propri fatti sanitari. Io potrei decidere di sparire dalla circolazione per un paio di settimane perché "devo sottopormi ad un piccolo intervento", senza stare a dire "urbi et orbi" che ho preso il virus. Non penso che durante un tracciamento dei contatti manuali, l'autorità sanitaria, quando avvisa Stefano che è stato in contatto con un malato, gli dica: "guardi che ha recentemente incontrato Enrico che purtroppo ha sviluppato il coronavirus quindi è bene che anche lei si faccia controllare e stia in quarantena", no? Immagino che sostituirà "Enrico" con "una persona", giusto? Con il protocollo descritto c'è un elevato rischio che invece il nome vero possa essere dedotto. Il fatto che con la decentralizzazione del tracciamento dei contatti venga sostituita un unica perdita di molti dati con molte perdite di dati "locali" non ne cambia l'impatto sociale. Per fare un esempio di un gestore transazioni finanziare, vuol dire che alla minaccia di avere un unico grande data leak del suo DB con i dati sensibili dei clienti (p.es. quanti soldi ha sul conto) viene sostituita la minaccia di tanti piccoli data leak locali nei quali ognuno riceve i dati sensibili delle persone con cui ha interagito. Quindi ognuno ha la possibilità di sapere quelli con cui interagisce quanti soldi hanno in banca. La curiosità è una molla potentissima... E poi, immagina quando Enrico dopo un po' ritorna in circolazione. Pensi che le persone lo guarderanno nello stesso modo sapendo che ha avuto il coronavirus? Insomma, la privacy su tutti i dati sanitari c'è per molti motivi, inclusi quelli che attengono alle relazioni sociali, su cui sono sicuro che i sociologi e gli psicologi sociali in lista possono dire molto più di me. Ciao, Enrico Il 11/04/2020 10:10, Stefano Zacchiroli ha scritto:
On Fri, Apr 10, 2020 at 08:25:31PM +0200, Enrico Nardelli wrote:
https://link-and-think.blogspot.com/2020/04/come-funziona-la-nuova-versione-...
Grazie in anticipo per ogni commento.
Per quel che vale, mi pare tu abbia descritto bene gli improvement recenti al protocollo. Al solito: grazie per questo importante lavoro di divulgazione.
A proposito di questo passaggio del tuo articolo:
Considerando che queste soluzioni di tracciamento dei contatti sono pensate appunto più per la fase di ritorno alla vita normale che per l'attuale fase di quarantena collettiva il problema non è secondario. Con il ritorno alla normalità ricominceranno le regolari attività giornaliere nelle quali tendiamo a incontrare con regolarità persone che conosciamo. Ed è proprio in queste situazioni di incontri regolari/ripetuti che l'approccio di registrare i contatti manifesta la sua debolezza rispetto alla privacy.
Insisto a non capire il threat model che hai in mente.
Anche senza alcuna app di tracing nelle nostre vite (la situazione attuale), le persone per le quali ho la più alta probabilità di venire a sapere che sono positive sono proprio quelle che incontro regolarmente.
È vero in generale---perché ci parlo e comunico in mille modi, ed è interesse di entrambi fare passare l'informazione sulla positività. (A meno che tu non stia pensando ad un threat model di tipo bizantino, in cui un untore vuole massimizzare le possibilità di contagio nascondendo l'informazione, ma allora cambia veramente tutto.)
Ed è ancora più vero in un contesto di contact tracing completamente analogico, con le interviste di cui abbiamo parlato. Perché se mi contattano per verificare se ho effettivamente passato più di 5 minuti con tizio, quanto mi ci vuole per dedurre che tizio è positivo?
Ergo, cosa cambia da questo punto di vista con una app di tracing a la DP3T? Il threat model del contact tracing centralizzato è chiaro; quello del contract tracing distribuito non mi pare tu l'abbia definito, ma è un prerequisito alla tua critica.
A presto
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
Basta che nessuno sappia che sono enrico e stefano. Basta che nessuno sappia alcun dato di identificabilita' del dispositivo. On 11/04/2020 10:34, Enrico Nardelli wrote:
Non penso che durante un tracciamento dei contatti manuali, l'autorità sanitaria, quando avvisa Stefano che è stato in contatto con un malato, gli dica: "guardi che ha recentemente incontrato Enrico che purtroppo ha sviluppato il coronavirus quindi è bene che anche lei si faccia controllare e stia in quarantena", no?
Immagino che sostituirà "Enrico" con "una persona", giusto?
Con il protocollo descritto c'è un elevato rischio che invece il nome vero possa essere dedotto.
-- reserve your meeting with me at https://cal.quintarelli.it
On Sat, Apr 11, 2020 at 10:34:22AM +0200, Enrico Nardelli wrote:
Il threat model che ho in mente è quello nel quale nella cerchia dei tuoi "conoscenti" viene rivelato che sei infetto. Essendo un dato sanitario, mi pare rientri tra quelli per i quali spetta a te decidere se rivelarlo o meno.
Certo, ma è proprio qua che mi sembra che il confronto non regga. Se una persona è d'accordo a rivelare alla tua cerchia stretta di contatti/conoscenti questa informazione, userà la app; altrimenti no. Personalmente, non avrei problemi a rivelare oggi questa informazione pubblicamente, perché ritengo sia un contributo utile alla società. Ergo questo specifico aspetto della app non mi porrebbe particolari problemi. Altri faranno scelte diverse, e va bene così. Ma resta la mia domanda: in cosa l'esistenza della app peggiora lo stato attuale (pre-app) delle cose? (Poi possiamo discutere della difficoltà di comunicare questi aspetti importanti ai potenziali utenti, che è un'altra can of worms...)
Non penso che durante un tracciamento dei contatti manuali, l'autorità sanitaria, quando avvisa Stefano che è stato in contatto con un malato, gli dica: "guardi che ha recentemente incontrato Enrico che purtroppo ha sviluppato il coronavirus quindi è bene che anche lei si faccia controllare e stia in quarantena", no?
Immagino che sostituirà "Enrico" con "una persona", giusto?
Non mi sembra affatto chiaro. Secondo i protocolli OMS attuali, prima di decidere di fare un tampone si determina se si è stato un close contact o meno---ne abbiamo discusso nel dettaglio nel thread lanciato da Fabio qualche giorno fa. Non mi sembra ci sia alcun modo di determinare se sei stato un close contact o meno senza rivelare l'identità del tuo peer (più di 15 minuti, a meno di 2 metri, coinquilini, etc). Questo aspetto cambierà quando avremo abbastanza test da farli a tutti senza pensarci due volte, ma al momento non è così. Ciao -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
On 11/04/2020, Stefano Zacchiroli <zack@upsilon.cc> wrote:
On Sat, Apr 11, 2020 at 10:34:22AM +0200, Enrico Nardelli wrote:
Il threat model che ho in mente è quello nel quale nella cerchia dei tuoi "conoscenti" viene rivelato che sei infetto. Essendo un dato sanitario, mi pare rientri tra quelli per i quali spetta a te decidere se rivelarlo o meno.
Certo, ma è proprio qua che mi sembra che il confronto non regga.
Se una persona è d'accordo a rivelare alla tua cerchia stretta di contatti/conoscenti questa informazione, userà la app; altrimenti no.
Questo assumendo che rimanga una libera scelta. Anche a fronte di un aumento dei tamponi effettuati, facendo esplodere il conteggio dei casi positivi e terrorizzando l'opinione pubblica, magari poco dopo un leggero allentamento del lock-down.
Personalmente, non avrei problemi a rivelare oggi questa informazione pubblicamente, perché ritengo sia un contributo utile alla società. Ergo questo specifico aspetto della app non mi porrebbe particolari problemi. Altri faranno scelte diverse, e va bene così.
Per esempio c'è chi potrebbe considerare la diffusione delle tue informazioni personali un problema per la società. Banalmente credo non sia difficile immaginare uno scenario in cui alcuni dei tuoi contatti non condividono la tua fiducia verso altri tuoi contatti e preferirebbero non essere rivelati a questi ultimi come potenzialmente infetti. Infatti, nel momento in cui Giacomo sa che potrebbe essere stato infettato da Stefano, può facilmente dedurre quali altre persone che entrambi frequentano potrebbero essere state infettate. E potrebbe diffondere tale informazione, persino involontariamente.
Ma resta la mia domanda: in cosa l'esistenza della app peggiora lo stato attuale (pre-app) delle cose?
Per esempio potrebbe diffondere un falso senso di sicurezza nella popolazione. "Se ho l'App e nessuno mi contatta, ALLORA non ho il Covid e posso comportarmi di conseguenza". Cosa può andare storto, secondo te?
(Poi possiamo discutere della difficoltà di comunicare questi aspetti importanti ai potenziali utenti, che è un'altra can of worms...)
No... figurati! Siamo in una botte di ferro! :-D
Non mi sembra ci sia alcun modo di determinare se sei stato un close contact o meno senza rivelare l'identità del tuo peer (più di 15 minuti, a meno di 2 metri, coinquilini, etc).
Scusa e chiedere al positivo no? Se ti dichiaro come potenziale contatto la probabilità che io mi ricordi se sono stato a stretto contatto con te è identica a quella che te lo ricordi tu. L'utilità di chiedere ANCHE a te, rivelandoti la mia identità, è marginale. Poi possiamo usare un principio di cautela (aka buon senso).
Questo aspetto cambierà quando avremo abbastanza test da farli a tutti senza pensarci due volte, ma al momento non è così.
E fintanto che non lo sarà, il tracciamento rimarrà INUTILE. Meglio spendere tempo a rafforzare rapidamente la sanità pubblica, aumentare i medici e gli ausili necessari, sul territorio e negli ospedali. E' l'unico vero modo di ridurre le vittime. Giacomo
Caro Stefano la risposta alla prima domanda è in quello che ho già scritto. Usare l'app equivale a perdere il controllo su un dato sanitario personale di natura delicata che invece nella situazione attuale è interamente sotto il tuo controllo (e quello dei medici per i quali vige il segreto professionale). Questo è il peggioramento rispetto alla situazione attuale che, secondo me, impatta sull'utilizzo della app, vanificandone una qualunque utilità (se pure possa esserci, visto il necessario corollario di misure organizzative). E poi, chi è nella "cerchia stretta di contatti/conoscenti"? Di quanti di loro ti puoi fidare che non divulgheranno ad altri questa tua informazione sanitaria? La gente parla e le voci si diffondono in modo incontrollato. L'impatto sociale di una misura così potenzialmente invasiva della privacy va considerato con molta attenzione. Per quanto riguarda la tua seconda osservazione, ciò che volevo dire è quando i dottori ti contattano in relazione al fatto che potresti essere stato contagiato, perché hanno appurato che sei un "close contact" di qualcuno che ha il coronavirus, non penso che ti dicano il nome della persona, no? Buona Pasqua! Ciao, Enrico Il 11/04/2020 11:36, Stefano Zacchiroli ha scritto:
On Sat, Apr 11, 2020 at 10:34:22AM +0200, Enrico Nardelli wrote:
Il threat model che ho in mente è quello nel quale nella cerchia dei tuoi "conoscenti" viene rivelato che sei infetto. Essendo un dato sanitario, mi pare rientri tra quelli per i quali spetta a te decidere se rivelarlo o meno.
Certo, ma è proprio qua che mi sembra che il confronto non regga.
Se una persona è d'accordo a rivelare alla tua cerchia stretta di contatti/conoscenti questa informazione, userà la app; altrimenti no.
Personalmente, non avrei problemi a rivelare oggi questa informazione pubblicamente, perché ritengo sia un contributo utile alla società. Ergo questo specifico aspetto della app non mi porrebbe particolari problemi. Altri faranno scelte diverse, e va bene così. Ma resta la mia domanda: in cosa l'esistenza della app peggiora lo stato attuale (pre-app) delle cose?
(Poi possiamo discutere della difficoltà di comunicare questi aspetti importanti ai potenziali utenti, che è un'altra can of worms...)
Non penso che durante un tracciamento dei contatti manuali, l'autorità sanitaria, quando avvisa Stefano che è stato in contatto con un malato, gli dica: "guardi che ha recentemente incontrato Enrico che purtroppo ha sviluppato il coronavirus quindi è bene che anche lei si faccia controllare e stia in quarantena", no?
Immagino che sostituirà "Enrico" con "una persona", giusto?
Non mi sembra affatto chiaro. Secondo i protocolli OMS attuali, prima di decidere di fare un tampone si determina se si è stato un close contact o meno---ne abbiamo discusso nel dettaglio nel thread lanciato da Fabio qualche giorno fa. Non mi sembra ci sia alcun modo di determinare se sei stato un close contact o meno senza rivelare l'identità del tuo peer (più di 15 minuti, a meno di 2 metri, coinquilini, etc). Questo aspetto cambierà quando avremo abbastanza test da farli a tutti senza pensarci due volte, ma al momento non è così.
Ciao
-- EN ===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== --
On Sun, Apr 12, 2020 at 10:17:17AM +0200, Enrico Nardelli wrote:
Usare l'app equivale a perdere il controllo su un dato sanitario personale di natura delicata che invece nella situazione attuale è interamente sotto il tuo controllo (e quello dei medici per i quali vige il segreto professionale). Questo è il peggioramento rispetto alla situazione attuale che, secondo me, impatta sull'utilizzo della app, vanificandone una qualunque utilità (se pure possa esserci, visto il necessario corollario di misure organizzative).
Mi sa che stiamo parlando "past each other" :-) Come oggi controlli il tuo dato sanitario, lo controllerai domani: se non vuoi rischiare (perché di rischio si tratta, non certezza) di fare leak dell'informazione di contagio ai tuoi contatti diretti che vogliono mettere in atto un attacco di questo tipo, basta che non installi/usi la app. Va da se che sono contrario ad ogni forma di obbligo legale di uso della app. Per me tutto ciò che riguarda la app deve essere opt-in, con presentazione corretta dei rischi. A presto, -- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader & OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »
participants (5)
-
Enrico Nardelli -
Giacomo Tesio -
Roberto Dolci -
Stefano Quintarelli -
Stefano Zacchiroli