VietBay Sharing - Kể chuyện cảnh giác: Bluezone
Thời gian
Giờ California PDT, 20:00 - 22:00, May 2nd 2020 (tối thứ bảy tuần này)
Giờ Việt Nam GMT+7, 10:00 - 12:00, 2020-05-03 (sáng chủ nhật tuần này)
Livestream
https://www.youtube.com/watch?v=w1HH-5OiMHY
Backup: https://stream.meet.google.com/stream/7cf13929-49af-4ddc-b049-12fc1c8aeb40 (username: livestream@vietbay.group, password: vietbay12#)
Đặt câu hỏi
https://app.sli.do/event/x4d48rp3/live/questions
Hoặc hỏi trực tiếp trên YouTube livestream
Nội dung
* Giới thiệu sơ lược về contact tracing
* Căn bản về dịch ngược app Android
* "Mổ bụng" công nghệ đột phá Bluezone
* Q&A
Comments
Giả sử 01 thiết bị smartphone A sẽ có 1 Mã định danh cố định ID (có thể là địa chỉ MAC). Nếu ta áp dụng thuật toán mã hóa bất đối xứng ta sẽ có cặp khóa private key (private_key_A) và public key (Public_key_A) sinh ra từ việc áp dụng ID cố định này. Giả sử dụng thuật toán ký số như ECDSA chẳng hạn thì ta có thể sinh ra ID’ (ID’ là kết quả mỗi lần ký số ECDSA từ mã băm SHA256(ID) chẳng hạn) cho mỗi lần tracing. Vậy ID’ này là khác nhau cho mỗi thiết bị và hoàn toàn ai cũng có thể kiểm tra được là ID’ này là của địa chỉ Public_key_A, nhưng chắn chắn ko biết chính xác A (private_key_A) là ai được.
Quang Nguyen: làm vậy cũng được nhưng mỗi chữ ký sẽ tốn cỡ 48-64 bytes và việc kiểm tra chữ ký cũng rất chậm. Sử dụng AES như một PRF [1] sẽ giúp rút ngắn ID xuống còn 16 bytes và kiểm tra cũng nhanh hơn rất nhiều.
[1] https://crypto.stanford.edu/~dabo/cs255/lectures/PRP-PRF.pdf
https://www.vice.com/en_us/article/y3zmg7/the-uks-coronavirus-contact-tracing-app-is-a-complete-mess?fbclid=IwAR1wIuvicPi24Cs8NaSPxkTRf9f-Du8uZHVNzYwCCfRZwjLEUj16nD27-1g
Giải pháp của U.K đang phát đi ID cố định, không những thế ID đó còn gắn với số điện thoại người dùng.
Về giải pháp kỹ thuật thì có vẻ U.K còn đang kém hơn Singapore, chưa kể so với Bluezone của Việt Nam
Về quyền riêng tư UK còn "vi phạm" hơn như thế: "Instead, the U.K. app relies on the user’s phone to broadcast a unique ID number at all times in order to detect other nearby devices running the app. But Apple’s iOS software expressly forbids any app from doing this while the app is running in the background"
Giải pháp của UK còn đang loay hoay. Chúng ta thực sự đang có cơ hội dẫn đầu về giải pháp tracing. Ở góc độ này, liệu phương Tây có phải là chuẩn mực?
https://www.ncsc.gov.uk/blog-post/security-behind-nhs-contact-tracing-app
Khá là khác biệt so với những gì bài báo miêu tả??? Nên tin ai đây???
https://www.health.gov.au/resources/apps-and-tools/covidsafe-app
Tôi đặc biệt buồn cười hơn với lý lẽ của anh Khôi "Giải pháp của UK còn đang loay hoay. Chúng ta thực sự đang có cơ hội dẫn đầu về giải pháp tracing. Ở góc độ này, liệu phương Tây có phải là chuẩn mực?" Tui giả dụ là app của UK gì đó đúng là tệ như a Khôi nói. Thế tức có nghĩa bluezone cũng có thể tệ như nó, và nếu bluezone có tệ ít hơn thì chúng ta nên vui mừng? Nó làm sai, thì bluezone cũng có thể sai? Tui thấy lý lẽ này giống của mấy đứa trẻ con hơn là người trưởng thành =))
Thân