Kappløpet om apper som sporer kontakt mellom personer i forbindelse med korona-viruset er igang.

Opprinnelig skulle også Tyskland lansere sin egen løsning der myndighetene hadde tilgang til dataene som ble samlet inn. Nå snur de og går for en de-sentralisert løsning.

Kontakt-sporing og personvern

De første utkastene til en offisiell, nasjonal app baserte seg på Bluetooth-kontakt i umiddelbar nærhet mellom to personer over en gitt periode. Dette inkluderer typisk ikke steds-data. Dataene samles så på en sentralisert server, angiveligvis med begrenset tilgang - og ikke nødvendigvis en gang innenfor egne landegrenser.

Problemet er at begrenset tilgang i praksis kan bli langt mer utvidet enn det gis inntrykk av. Og det er personvernet som står på spill.

Apple og Google overrasket mange ved å gå sammen om å utvikle en sporings-teknologi som er bygget direkte inn i operativsystemet på mobile enheter. Her er tanken at dette skjer i bakgrunnen som del av operativsystemet, og dataene lagres også lokalt.

Til sammen representerer de to selskapene 99% av verdens smarttelefon-brukere gjennom iOS og Android.

Så vil de enkelte landene utvikle sine egne apper og teknologier oppå dette API’et, og det vil styre hvordan informasjon om eventuelle smittede og hvem de har vært i kontakt med skal håndheves. Apple vil kun godkjenne offisielle apper i et begrenset antall per land.

Tanken er altså at informasjonen om hvem man har vært i tett kontakt med er upersonlig i utgangspunktet, og kun lagres lokalt helt til det vil være nødvendig å låse opp nøklene for å spore kjeden av kontakt per bruker. Disse vil så (antakelig) kontaktes gjennom de nasjonale appene, og der tanken er at man frivillig kan gi utvidet aksept til sporing.

Opprinnelig var tanken at Tyskland skulle benytte seg av den europeiske modellen kalt Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT), mens man nå kommer til å gå for en sveitsisk modell kalt DP-3T (Decentralised Privacy-Preserving Proximity Tracing).

Og MacRumors melder også at Apple og Google nå kaller sporingen for "exposure notification" snarere enn "contact tracing". Med andre ord for å fokusere på faren for eksponering snare enn kontakt-sporing, antakelig fordi sistnevnte kan oppfattes som direkte-kontakt.

I tillegg skal man bytte fra HMAC til AES-kryptering siden mange mobiler har innebygget maskinvare-støtte for dette.

