ANTES DO COVID-19 pandemia, qualquer sistema que usava smartphones para rastrear locais e contatos soava como um pesadelo de vigilância distópica. Agora, parece um pesadelo de vigilância distópica que também pode salvar milhões de vidas e resgatar a economia global. O desafio paradoxal: construir esse vasto sistema de rastreamento sem que ele se torne um panóptico completo.
Desde que o Covid-19 apareceu pela primeira vez, governos e empresas de tecnologia propuseram — e em alguns casos já implementados— sistemas que usam dados de smartphones para rastrear onde as pessoas vão e com quem interagem. Esses chamados aplicativos de rastreamento de contato ajudam as autoridades de saúde pública a se anteciparem à disseminação do Covid-19, que por sua vez pode permitir uma flexibilização dos requisitos de distanciamento social.
A desvantagem é a perda inerente de privacidade. Se abusados, dados de localização bruta podem revelar informações confidenciais sobre tudo, desde dissidências políticas até fontes de jornalistas até casos extraconjugais. Mas à medida que esses sistemas são lançados, equipes de criptógrafos têm corrido para fazer o aparentemente impossível: habilitar sistemas de rastreamento de contato sem vigilância em massa, construindo aplicativos que notificam usuários potencialmente expostos sem entregar dados de localização ao governo. Em alguns casos, eles estão tentando manter até mesmo os resultados de teste de um indivíduo infectado privado enquanto ainda avisando qualquer um que possa ter entrado em sua órbita física.
“Isso é possível”, diz Yun William Yu, professor de matemática da Universidade de Toronto, que trabalhou com um grupo desenvolvendo um aplicativo de rastreamento de contatos para o governo canadense. “Você pode desenvolver um aplicativo que serve ao rastreamento de contatos e preserva a privacidade dos usuários.” Richard Janda, professor de direito focado em privacidade na Universidade McGill que trabalha no mesmo projeto de rastreamento de contatos, diz que espera“achatar a curva do autoritarismo”, bem como das infecções. “Estamos tentando garantir que a maneira como isso se desenrola seja com consentimento, com proteção de privacidade, e que não nos arrependamos depois que o vírus passou — como esperamos que ele faça — que todos nós entregamos informações às autoridades públicas que não deveríamos ter dado.”
A WIRED conversou com pesquisadores em três dos principais projetos que oferecem projetos para aplicativos de rastreamento de contato que preservam a privacidade — todos os quais também estão colaborando entre si em diferentes graus. Aqui estão algumas de suas abordagens para o problema.Rastreamento de contato Bluetooth
A melhor maneira de proteger os dados de geolocalização contra abusos, argumenta a cientista da computação de Stanford Cristina White, não é recolhê-los em primeiro lugar. Assim, o Covid-Watch, o projeto White lidera, em vez disso, rastreia anonimamente contatos entre indivíduos com base nos sinais Bluetooth de seus telefones. Ele nunca precisa gravar dados de localização, ou mesmo para ligar essas comunicações Bluetooth à identidade de alguém.
O Covid-Watch usa Bluetooth como uma espécie de detector de proximidade. O aplicativo constantemente pinga sinais Bluetooth para telefones próximos, procurando por outros que possam estar executando o aplicativo dentro de cerca de dois metros, ou seis metros e meio. Se dois telefones passam 15 minutos ao alcance um do outro, o aplicativo os considera ter tido um “evento de contato”. Cada um deles gera um número aleatório único para esse evento, registra os números e transmite-os uns aos outros.
Se um usuário do Covid-Watch mais tarde acreditar que está infectado com o Covid-19, ele pode pedir ao seu provedor de saúde um código de confirmação único. (A Covid-Watch distribuiria esses códigos de confirmação apenas aos cuidadores, para evitar que spammers ou autodiagnósticos defeituosos inundassem o sistema com falsos positivos.) Quando esse código de confirmação é inserido, o aplicativo carregaria todos os números de eventos de contato desse telefone para um servidor. O servidor então enviaria esses números de eventos de contato para cada telefone do sistema, onde o aplicativo verificaria se algum dos códigos correspondia ao seu próprio registro de eventos de contato das últimas duas semanas. Se algum dos números coincidir, o aplicativo alerta o usuário de que fez contato com uma pessoa infectada e exibe instruções ou um vídeo sobre como fazer o teste ou auto-quarentena.
“As identidades das pessoas não estão ligadas a nenhum evento de contato”, diz White. “O que o aplicativo carrega em vez de qualquer informação de identificação é apenas esse número aleatório que os dois telefones seriam capazes de rastrear mais tarde, mas que ninguém mais o faria, porque ele é armazenado localmente em seus telefones.”Rastreamento de localização redigido
O rastreamento bluetooth tem limitações, no entanto. A Apple bloqueia seu uso para aplicativos em execução no fundo do iOS, uma proteção de privacidade destinada a evitar exatamente o tipo de rastreamento que agora parece tão necessário. O novo coronavírus que causa o Covid-19 também pode permanecer em algumas superfícies por longos períodos de tempo,o que significa que a infecção pode acontecer sem que os telefones tenham a oportunidade de se comunicar. O que significa que o rastreamento de localização gps provavelmente desempenhará um papel em aplicativos de rastreamento de contato, também, com todos os riscos de privacidade que vêm com o compartilhamento de um mapa de seus movimentos.
Um projeto do MIT chamado Private Kit: Safe Paths, que diz que já está em discussões com a OMS, está trabalhando em uma maneira de explorar o GPS enquanto minimiza a vigilância. O aplicativo do MIT está sendo lançado em iterações, começando com um protótipo simples que permite que as pessoas registrem suas localizações e compartilhem com os profissionais de saúde se forem diagnosticadas com Covid-19. A versão atual pede aos usuários que informem aos prestadores de cuidados de saúde quais locais sensíveis eles devem redigir — como casas ou locais de trabalho — em vez de serem capazes de fazê-lo eles mesmos. Mas a próxima iteração do aplicativo se desenvolverá na capacidade de classificar todos os locais registrados de qualquer usuário diagnosticado como Covid-19 positivo em “telhas” de alguns quilômetros quadrados e, em seguida, criptograficamente “hash” cada pedaço de localização e dados de tempo. Esse processo de hash usa uma função unidirecional para transformar cada local e carimbo de ponto no histórico de um usuário em um número único — um processo que foi projetado para ser irreversível, para que esses hashes não possam ser usados para obter as informações de localização e tempo. E apenas esses hashes, classificados pelo que “ladrilho” de várias áreas quadradas em que caem, seriam armazenados em um servidor.
Para verificar se um usuário saudável cruzou caminhos com um infectado, um usuário do Safe Paths escolherá “telhas” em um mapa em que tenha viajado. Seu aplicativo então baixa todos os hashes dos locais carimbados de usuários infectados dentro dessas telhas. Em seguida, executa a mesma função de hash em todos os locais carimbados em sua própria história, compara esses hashes com os baixados e os alerta se descobrir que um hash corresponde a um dos baixados. Essa partida significa que eles estavam no mesmo lugar, mais ou menos ao mesmo tempo, como alguém que é Covid-19 positivo.
“Para a pessoa infectada, há proteção porque suas informações já foram redigidas e apressadas”, diz Ramesh Raskar, professor do Laboratório de Mídia do MIT que lidera o projeto. O servidor armazena apenas uma coleção de hashes, não as trilhas legíveis de localização de usuários infectados. “Para as pessoas saudáveis, não há nenhum compromisso de privacidade, porque eles estão fazendo todo o cálculo em seu próprio telefone.”Servidores hashing e redes de mixagem
Esse sistema ainda está longe de ser perfeito, Raskar prontamente admite. Se a agência governamental ou a organização de saúde que controla o servidor quiser violar a privacidade dos usuários infectados, ainda é possível “quebrar” esses hashes, hashing todos os horários e locais possíveis em um mapa. Isso determinaria todos os hashpossíveis e permitiria que alguém os comparasse com o banco de dados baixado, obtendo seus dados de localização com carimbo de tempo bruto — assim como os hackers tentam dicionários de todas as senhas possíveis para quebrar os hashes em bancos de dados de senhas roubadas. Um usuário mal-intencionado, por outro lado, só poderia usar essa técnica para quebrar o conjunto de locais nas telhas que eles foram capazes de baixar; o esquema de ladrilhos foi projetado para impedir que os usuários baixem e quebrem toda a coleção de localização hashed.
Mas Raskar, do MIT, diz Que o Private Kit: Safe Paths já está planejando mais uma iteração do sistema que evitaria esse problema de quebra de hash. Para isso, ele usaria dois servidores, um servidor de hashing e um servidor de armazenamento, controlados por diferentes organizações. Apenas o servidor de hash possuiria uma chave secreta necessária para executar a função de hashing, para que o servidor de armazenamento não pudesse quebrar os hashes dos locais carregados. Graças a alguns outros truques matemáticos, o servidor de hashs só lidaria com locais criptografados também, e, portanto, nunca possuiria dados confidenciais de ninguém.
Outro grupo de cientistas da computação da Universidade da Pensilvânia, da Universidade de Toronto e da Universidade McGill propuseram mais um sistema igualmente complicado ao governo canadense. Seu sistema relataria trilhas de localização redigidas e hashed de usuários infectados a uma autoridade de saúde através da chamada Rede Mix: uma coleção de pelo menos três servidores controlados por diferentes entidades. Como o sistema de roteamento de cebola usado pelo software de anonimato Tor,cada um desses servidores intermediários misturaria os locais hashed e timestamped dos usuários antes de passá-los para o próximo, de modo que quando eles chegarem à autoridade governamental armazenando os hashes, esse servidor final não seria capaz de associar qualquer um desses locais hashed com um usuário específico.
As organizações que controlam os servidores intermediários só seriam capazes de juntar as trilhas completas se eles conspirassem. O servidor final nas mãos da agência governamental que administra o sistema ainda possuiria todos os locais hashed e carimbados necessários para dizer aos usuários se eles potencialmente foram infectados por estarem presentes em um.
Os três projetos descritos acima – Covid-Watch, Private Kit: Safe Paths e o consórcio canadense – não estão necessariamente em concorrência. Raskar, do MIT, por exemplo, diz que conversou com os dois outros grupos e vê o Private Kit: Safe Paths como uma estrutura para a construção de aplicativos de rastreamento de contatos que poderiam incorporar alguns recursos de outros projetos com base no que as agências governamentais pedem, como redes de mixagem ou sensoriamento de proximidade Bluetooth. “Cada país, cada organização pode escolher quais partes querem usar: podem usar o esquema de hashing, o esquema de criptografia, o esquema Bluetooth ou não”, diz Raskar. É como peças de Lego que eles podem montar.Compensações
É claro que a criptografia inteligente não significa nada sem a entrada de organizações de saúde, governos e usuários. Quando se trata dessa adoção, diferentes jogadores no sistema podem estar em desacordo, diz o criador do Covid-Watch, White. Os usuários podem apreciar a privacidade, mas os profissionais de saúde e os governos não querem necessariamente construir um sistema que os impeça de, por exemplo, notificar proativamente os usuários que foram potencialmente expostos ao Covid-19, ou mesmo rastrear ativamente a localização de pessoas infectadas ou potencialmente expostas.
Como resultado, diz White, projetos que fazem alguns compromissos de privacidade como o Kit Privado do MIT: Caminhos Seguros estão recebendo mais entrada de agências de saúde pública do que seu sistema Covid-Watch centrado em Bluetooth. “As agências de saúde pública realmente não querem fazer o tipo de coisa que estamos propondo porque querem mais dados”, diz White. “Mas eu acho que estamos fornecendo mais o que o público pode querer.”
Ainda assim, por mais grave que a ameaça de vigilância possa ser, diz White, agora não é hora de insistir em um sistema perfeitamente privado antes de lançar um aplicativo de rastreamento de contatos. Porque algo assim precisa acontecer para que as pessoas saem da quarentena”, diz White. “Estamos felizes que algo como este sistema Bluetooth exista onde você realmente não faz nenhuma troca de privacidade se você projetá-lo corretamente. Mas se isso não existisse, provavelmente estaríamos defendendo outra coisa. Porque queremos salvar vidas.”
FONTE: WIRED