מהו DP-3T?
DP-3T (או: Decentralized Privacy-Preserving Proximity Tracing) הוא פרוטוקול קריפטוגרפי שפותח בשנת 2020
במענה לצורך במעקב אפקטיבי אחר חשיפה לנגיף הקורונה (COVID-19), תוך שמירה מרבית על פרטיות המשתמשים.
הוא מהווה פתרון מבוזר (בניגוד לפתרונות ריכוזיים), שבו הנתונים הרגישים נשמרים במכשיר המשתמש ולא מועברים לשרת מרכזי.
הפרויקט פותח על ידי קבוצה של מדעני מחשב ואנשי קריפטוגרפיה מאירופה, בעיקר משווייץ, בלגיה וגרמניה.
הוא שימש כבסיס למערכת של אפל וגוגל למעקב אחר חשיפה (Exposure Notification) ונחשב לפורץ דרך בגישתו לפרטיות.
מטרת פרוטוקול DP-3T
מטרתו של DP-3T היא לאפשר:
מעקב אפקטיבי אחר חשיפות לנגיף על ידי שימוש ב־Bluetooth לזיהוי מפגשים קרובים.
שמירה על פרטיות המשתמשים ללא צורך לזהות זהויות אמיתיות או מיקום.
הגברת האמון הציבורי במערכות ניטור בריאותיות.
כיצד DP-3T עובד?
שלבי הפעולה:
שידור מזהים אנונימיים: כל מכשיר משדר מזהה אקראי (Ephemeral ID), המתעדכן לעיתים תכופות (כגון כל 10-15 דקות),
ומקבל מזהים ממכשירים אחרים בקרבתו.
אחסון מקומי: כל מכשיר שומר מקומית את רשימת המזהים שהוא פגש בהם – אין שליחה לשרת מרכזי.
אימות חשיפה:
כאשר אדם מאובחן כחיובי לקורונה, הוא מקבל אפשרות (מרצונו) להעלות לשרת את המפתחות שמפיקים את המזהים
ששידר בימים האחרונים.
כל משתמש אחר מוריד את רשימת המפתחות של המאומתים ומחשב מקומית האם פגש אחד מהם.
פרטיות ואבטחה:
הנתונים נשמרים על המכשיר בלבד.
לא נחשפים שמות, מיקומים או מזהים קבועים.
הפרוטוקול משתמש בקריפטוגרפיה כדי להבטיח שאי אפשר לקשר בין מזהה אקראי אחד לאחר,
או לזהות את האדם שהפיק אותו.
הבדל בין DP-3T לגישות אחרות
| מאפיין | DP-3T | גישה ריכוזית |
| שליטה על נתונים | מבוזרת (אצל המשתמש) | ריכוזית (שרת מרכזי) |
| פרטיות | גבוהה מאוד | תלויה במדינה |
| סיכון לדליפת מידע | נמוך | גבוה יותר |
| אמון ציבורי | גבוה יחסית | נתון במחלוקת |
הגישה הריכוזית (למשל, פרוטוקול PEPP-PT בגרמניה בתחילה) דורשת שליחת מידע רגיש לשרת ממשלתי,
מה שעורר ביקורת רבה.
שימושים בפועל של DP-3T
שווייץ אימצה את DP-3T באפליקציה SwissCovid.
גרמניה עברה ממודל ריכוזי למבוזר (DP-3T) בעקבות ביקורת ציבורית.
הפרוטוקול השפיע על המערכת של אפל וגוגל (GAEN או Google Apple Exposure Notification Framework).
יתרונות וחסרונות של DP-3T
יתרונות:
פרטיות חזקה.
קוד פתוח – ניתן לביקורת ציבורית.
מבוסס על קריפטוגרפיה מודרנית.
שומר על אמון המשתמשים.
חסרונות:
תלות בהסכמת המשתמש להעלאת מידע.
קושי בזיהוי שרשראות הדבקה ללא מידע נוסף.
מצריך תמיכה רחבה של הציבור ואחוז שימוש גבוה.
שאלות ותשובות בנושא DP-3T
איך DP-3T מוודא שמזהים אקראיים לא ניתנים להתחקות?
כל מזהה נוצר מ־Daily Tracing Key המשתנה מדי יום, והוא עצמו משמש ליצירת Rolling Proximity Identifiers (RPI).
כל RPI תקף לפרק זמן קצר ואינו ניתן לשיוך למשתמש או אפילו ל־RPIs אחרים של אותו יום, מבלי להחזיק את ה־Daily Key.
האם שרת מרכזי יכול לחשוף את זהות המאומתים?
לא. השרת שומר רק את המפתחות הגולמיים שהמשתמש בחר לפרסם.
השרת אינו מחזיק מידע מזהה, מיקום, או מזהים אישיים ולכן אינו יכול לדעת מי המשתמש, אלא אם יש חיבור חיצוני
למערכות בריאות ממשלתיות.
מה ההבדל הקריפטוגרפי העיקרי בין DP-3T ל־PEPP-PT?
PEPP-PT מתבסס על שליטה מרכזית והמזהים נוצרים ונשלטים על ידי שרת מרכזי שיכול, תיאורטית, לשחזר מידע אישי.
ב־DP-3T, לעומת זאת, כל משתמש יוצר את המפתחות בעצמו, ופרטי ההיסטוריה שלו נשמרים רק אצלו.
האם DP-3T מתאים למגיפות עתידיות?
כן, במיוחד כשנדרש איזון בין פרטיות הציבור לבין ניהול בריאות הציבור.
עם זאת, יעילותו תלויה בהיענות ציבורית רחבה ובאינטגרציה עם מערכות בריאות נוספות.

