VietBay Sharing - Kể chuyện cảnh giác: Bluezone



Thời gian
Giờ California PDT, 20:00 - 22:00, May 2nd 2020 (tối thứ bảy tuần này)
Giờ Việt Nam GMT+7, 10:00 - 12:00, 2020-05-03 (sáng chủ nhật tuần này)

Livestream
https://www.youtube.com/watch?v=w1HH-5OiMHY
Backup: https://stream.meet.google.com/stream/7cf13929-49af-4ddc-b049-12fc1c8aeb40 (username: livestream@vietbay.group, password: vietbay12#)

Đặt câu hỏi
https://app.sli.do/event/x4d48rp3/live/questions
Hoặc hỏi trực tiếp trên YouTube livestream

Nội dung
* Giới thiệu sơ lược về contact tracing
* Căn bản về dịch ngược app Android
* "Mổ bụng" công nghệ đột phá Bluezone
* Q&A

Comments

Tan said…
Lót dép hóng...
Anh Thái cho xin slide trình bày về phần reverse code
Quang Nguyễn said…
Cảm ơn anh Thái và anh Huan Truong đã bỏ công sức ra để làm buổi livestreame này. Em không phải là dân nghề nhưng thấy chủ đề này rất thú vị. Cho em hỏi là tại sao ko áp dụng thuật toán ký số như ECDSA chẳng hạn trong bài toán này để giải quyết vấn đề phát ID liên tục. Ý tưởng thế này:
Giả sử 01 thiết bị smartphone A sẽ có 1 Mã định danh cố định ID (có thể là địa chỉ MAC). Nếu ta áp dụng thuật toán mã hóa bất đối xứng ta sẽ có cặp khóa private key (private_key_A) và public key (Public_key_A) sinh ra từ việc áp dụng ID cố định này. Giả sử dụng thuật toán ký số như ECDSA chẳng hạn thì ta có thể sinh ra ID’ (ID’ là kết quả mỗi lần ký số ECDSA từ mã băm SHA256(ID) chẳng hạn) cho mỗi lần tracing. Vậy ID’ này là khác nhau cho mỗi thiết bị và hoàn toàn ai cũng có thể kiểm tra được là ID’ này là của địa chỉ Public_key_A, nhưng chắn chắn ko biết chính xác A (private_key_A) là ai được.
Thai Duong said…
Nguyen Bui Trung: https://docs.google.com/presentation/d/1ueMJ_pxmJrdnURl6J11IlHrbLh_pZhgi84vWNXP6K70/edit#slide=id.p.

Quang Nguyen: làm vậy cũng được nhưng mỗi chữ ký sẽ tốn cỡ 48-64 bytes và việc kiểm tra chữ ký cũng rất chậm. Sử dụng AES như một PRF [1] sẽ giúp rút ngắn ID xuống còn 16 bytes và kiểm tra cũng nhanh hơn rất nhiều.

[1] https://crypto.stanford.edu/~dabo/cs255/lectures/PRP-PRF.pdf
sealsatthu said…
Cảm ơn anh Thái Dương và anh Huân về buổi chia sẽ. Mình có đề nghị anh nên đổi laptop mới vì file có mấy MB mà mở lâu quá :D. Và nếu được anh có thể thử VS Code, dùng cũng tốt.
This comment has been removed by the author.
Thái có bình luận gì về giải pháp của UK không?
https://www.vice.com/en_us/article/y3zmg7/the-uks-coronavirus-contact-tracing-app-is-a-complete-mess?fbclid=IwAR1wIuvicPi24Cs8NaSPxkTRf9f-Du8uZHVNzYwCCfRZwjLEUj16nD27-1g

Giải pháp của U.K đang phát đi ID cố định, không những thế ID đó còn gắn với số điện thoại người dùng.

Về giải pháp kỹ thuật thì có vẻ U.K còn đang kém hơn Singapore, chưa kể so với Bluezone của Việt Nam

Về quyền riêng tư UK còn "vi phạm" hơn như thế: "Instead, the U.K. app relies on the user’s phone to broadcast a unique ID number at all times in order to detect other nearby devices running the app. But Apple’s iOS software expressly forbids any app from doing this while the app is running in the background"

Giải pháp của UK còn đang loay hoay. Chúng ta thực sự đang có cơ hội dẫn đầu về giải pháp tracing. Ở góc độ này, liệu phương Tây có phải là chuẩn mực?
Ứng dụng COVIDSafe của nước Anh lại ko phát triển theo hướng mà Google, Apple và Bluezone đang sử dụng, quét theo hình thức là cấp mã ID gắn với số điện thoại của người dùng và chỉ quét các tiếp xúc khi app đó được mở nên (thay vì chạy nền quét bằng Bluetooth). Giải pháp này hơi xịt và cũng ko đảm bảo về bảo mật, có nhiều lỗ hổng do cơ chế cấp ID duy nhất gắn với máy và với 1 số điện thoại của người dùng. Nếu như vậy thì giải pháp này còn ko bằng cả giải pháp của Bluezone. Anh Thái đánh giá như thế nào khi nhiều người cho rằng là VN nên áp dụng giải pháp của Âu - Mỹ?
chuongdt said…
Giải pháp của UK??? Phải chăng là cái này???

https://www.ncsc.gov.uk/blog-post/security-behind-nhs-contact-tracing-app

Khá là khác biệt so với những gì bài báo miêu tả??? Nên tin ai đây???
chuongdt said…
COVIDSafe app hình như là của Úc chứ không phải của Anh.

https://www.health.gov.au/resources/apps-and-tools/covidsafe-app
Vu Le said…
This comment has been removed by the author.
det said…
@Triệu Minh Khôi, @chuyện của nhà hóng: các anh lấy 1 cái app nào đó của UK rồi đi nghi ngờ tất cả giải pháp họ. Tôi thấy lý lẽ của các anh rất nực cười, liệu các anh có đang quơ đũa cả nắm? Tui nhớ đọc loạt bài của anh Thái về Bluezone đâu có nhắc tới app này đâu nhỉ, tự nhiên các anh lôi ra đây làm gì. Trong khi anh Thái nhắc đến DP3T và nó có opensource thì các anh lại ko đề cập. Vì vậy việc các anh lấy cái app của UK nào đó để so sánh liệu có make sense?

Tôi đặc biệt buồn cười hơn với lý lẽ của anh Khôi "Giải pháp của UK còn đang loay hoay. Chúng ta thực sự đang có cơ hội dẫn đầu về giải pháp tracing. Ở góc độ này, liệu phương Tây có phải là chuẩn mực?" Tui giả dụ là app của UK gì đó đúng là tệ như a Khôi nói. Thế tức có nghĩa bluezone cũng có thể tệ như nó, và nếu bluezone có tệ ít hơn thì chúng ta nên vui mừng? Nó làm sai, thì bluezone cũng có thể sai? Tui thấy lý lẽ này giống của mấy đứa trẻ con hơn là người trưởng thành =))

Thân