DE102020002148A1 - Privatsphäre-erhaltendes Nachverfolgungssystem - Google Patents

Privatsphäre-erhaltendes Nachverfolgungssystem Download PDF

Info

Publication number
DE102020002148A1
DE102020002148A1 DE102020002148.4A DE102020002148A DE102020002148A1 DE 102020002148 A1 DE102020002148 A1 DE 102020002148A1 DE 102020002148 A DE102020002148 A DE 102020002148A DE 102020002148 A1 DE102020002148 A1 DE 102020002148A1
Authority
DE
Germany
Prior art keywords
tracking system
data
tracking
user
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020002148.4A
Other languages
English (en)
Inventor
Johann Schlamp
Georg Carle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE102020002148.4A priority Critical patent/DE102020002148A1/de
Priority to PCT/DE2021/000059 priority patent/WO2021204313A1/de
Priority to EP21725684.1A priority patent/EP4136860A1/de
Publication of DE102020002148A1 publication Critical patent/DE102020002148A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H50/00ICT specially adapted for medical diagnosis, medical simulation or medical data mining; ICT specially adapted for detecting, monitoring or modelling epidemics or pandemics
    • G16H50/80ICT specially adapted for medical diagnosis, medical simulation or medical data mining; ICT specially adapted for detecting, monitoring or modelling epidemics or pandemics for detecting, monitoring or modelling epidemics or pandemics, e.g. flu

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Das Nachverfolgungssystem ermöglicht das Sammeln von Informationen über Personen, die zu einem bestimmten Zeitpunkt an einem bestimmten Ort anwesend sind, unter Verwendung eines mobilen Kommunikationsgeräts (z.B. eines Smartphones), verschlüsselt die Anwesenheitsinformationen und überträgt sie in Privatsphäre-schützender Form an einen N achverfolgungsdatenanbieter.Das System verwendet Marker (z.B. QR-Code-Marker), die einen Uniform Resource Locator (URL) enthalten. Ausgewählte Orte werden mit Marker eines Nachverfolgungsdienstanbieters versehen. Nutzer des Nachverfolgungssystems registrieren sich mit ihren persönlichen Kontaktinformationen (z.B. einer Telefonnummer) und einem selbst gewählten PIN-Code oder Passwort. Das Nachverfolgungssystem ermöglicht es Personen, Marker zu lesen, um ihre Anwesenheit an einem Ort zu einem bestimmten Zeitpunkt zu protokollieren und verschlüsselte Anwesenheitsinformationen auf einem Server zu speichern. Das Nachverfolgungssystem kann verschiedene Server verwenden (z.B. einen Registrierungsserver, einen Marker-Server und einen Protokollierungsserver), die von verschiedenen Organisationen betrieben werden können.Die Verschlüsselung von Anwesenheitsinformationen wird unter Verwendung verschiedener Verschlüsselungstechniken und verschiedener kryptografischer Schlüssel durchgeführt. Zum Schutz der Anwesenheitsinformation von Nutzern des Nachverfolgungssystems, die in Protokollen des Systems gespeichert werden, werden Anwesenheitsdaten mit Hilfe kryptografischer Schlüssel verschlüsselt. Für den Zugriff auf Anwesenheitsinformationen und personenbezogene Daten ist eine Kombination aus kryptografischen Schlüsseln von Einzelpersonen und berechtigten Organisationen erforderlich. Die Privatsphäre-erhaltenden Eigenschaften des Nachverfolgungssystems ermöglichen es, sicherzustellen, dass bei jeder Kontaktnachverfolgungsanfrage einer berechtigten Organisation eine Autorisierungsprozedur durchgeführt werden muss.Das System kann verwendet werden, um Infektionsketten einer Infektionskrankheit durch eine berechtigte Organisation (z.B. eine Gesundheitsbehörde) nachzuverfolgen. Bei Verwendung zur Nachverfolgung von Infektionsketten kann eine berechtigte Organisation eine digitale Kontaktnachverfolgung von Personen durchführen, die am selben Ort anwesend waren, oder von Personen, die direkten Kontakt zueinander hatten. Das vom Nachverfolgungssystem verwendete Verschlüsselungssystem gewährleistet die Hoheit der Nutzer über ihre persönlichen Daten und Anwesenheitsinformationen. Die Einwilligung des Nutzers ist erforderlich, damit berechtigte Organisationen auf diese Daten zugreifen können, und wird mittels Kryptografie technisch erzwungen.

Description

  • Technisches Gebiet
  • Die Erfindung befasst sich mit dem Sammeln von personenbezogenen Daten und Anwesenheitsinformation, die geschützt werden mittels Maßnahmen der Sicherheit in der Informationstechnik, in einem System bestehend aus vernetzten Computer-Systemen und Geräten zum Lesen von Markern. Die Informationen werden in einer Privatsphäre-erhaltenden Art und Weise verarbeitet, erlauben mit Einwilligung der Nutzer des Systems jedoch eine Kontaktnachverfolgung. Die Erfindung kann verwendet werden, um Infektionsketten einer Infektionskrankheit zu verfolgen.
  • Klassifizierung
  • Klasse 706 Datenverarbeitung
    Klasse 726 Informationssicherheit
  • Stand der Technik
  • Es gibt mehrere Anwendungsfälle für ein Datenverarbeitungssystem, das die Anwesenheit einzelner Personen an Orten (Bezugspunkten) protokolliert oder Kontakte von Personen über die Zeit hinweg protokolliert. Ein Beispiel, für das es vorteilhaft ist, ein Datenverarbeitungssystem zur Kontaktnachverfolgung verwenden zu können, ist die Notwendigkeit, Kontakte einzelner Personen nachzuverfolgen, die sich mit einer Infektionskrankheit infiziert haben, um die weitere Ausbreitung der Krankheit einzudämmen. Eine wirksame Mitigierungsstrategie zur Eindämmung der Ausbreitung einer Krankheit besteht darin, für jede als infiziert bekannt gewordene Person deren frühere Kontakte zu identifizieren, die innerhalb der Zeitspanne stattgefunden haben, in der die als infiziert bekannt gewordene Person möglicherweise infektiös war. Kontakte in diesem Zusammenhang umfassen andere Personen, zu denen eine infizierte Person Kontakt hatte, aber auch physikalische Substanzen (ob in festem, flüssigem oder gasförmigem Aggregatszustand), zu denen eine infizierte Person Kontakt hatte, und andere Personen, die in der Folge Kontakt zu den kontaktierten Personen oder den kontaktierten physikalischen Substanzen hatten.
  • Eine Gesundheitsorganisation, z.B. eine Gesundheitsbehörde, kann gesetzlich dazu berechtigt sein, eine bestimmte Menge an Informationen mit Bezug zu einer infizierten Person und für einen gewissen Zeitraum zu erhalten. Um die Ausbreitung einer Infektionskrankheit zu unterdrücken oder zu verlangsamen, kann eine Gesundheitsorganisation berechtigt sein, personenbezogene Kontaktinformationen von Kontaktpersonen und Kontaktsubstanzen, zu denen eine infizierte Person Kontakt hatte, für einen gewissen Zeitraum zu erhalten. Ein Nachverfolgungssystem kann von einer Gesundheitsorganisation verwendet werden, um solche Kontaktinformationen zu sammeln und darauf zuzugreifen.
  • Gleichzeitig bestehen wichtige Datenschutz- und Informationstechnologie-Sicherheitsinteressen einzelner Personen und der Gesellschaft insgesamt, die bei der Gestaltung eines Nachverfolgungssystems berücksichtigt werden müssen. Informationen über die Anwesenheit einer einzelnen Person an einem bestimmten Ort sowie personenbezogene Kontaktdaten, z.B. eine Telefonnummer, sind schützenswerte persönliche Informationen. Die einzelne Person im Allgemeinen und auch weitere gesellschaftliche Akteure haben ein erhebliches Interesse daran, dass Anwesenheits- und Kontaktinformationen auf wirksame Weise geschützt werden, und dass die Regeln für die Autorisierung des Zugriffs auf diese Daten transparent und technisch erzwingbar sind. Es kann erstrebenswert sein, dass der Zugang zu personenbezogenen Daten berechtigten Organisationen nur bei Vorliegen legitimer Gründe und der Einwilligung betroffener Personen zum Zugriff der berechtigten Organisationen auf ihre Daten gestattet wird.
  • Auch wenn eine berechtigte Organisation zulässige Gründe haben kann, Informationen über Kontakte einer infizierten Person innerhalb eines bestimmten Zeitfensters zu erhalten, zusammen mit dem Zeitpunkt dieser Kontakte, einschließlich den Orten, an denen sich eine Person aufgehalten hat und den Zeitpunkten dieser Aufenthalte, sowie Kontaktinformationen von kontaktierten Personen und kontaktierten physikalischen Substanzen einer Person während eines bestimmten Zeitfensters, ist es ebenso erstrebenswert (aus vielerlei Gründen hinsichtlich Datensicherheit, Datenschutz und Privatsphäre), die technische Zugangsmöglichkeit der berechtigten Organisation auf die erforderlichen Informationen zu beschränken. Dies bedeutet, dass das bekannte „Kenntnis nur wenn nötig“-Prinzip in solchen Anwendungsfällen angewandt werden kann.
  • Die europäische Datenschutz-Grundverordnung (DSGVO) ist ein EU-Recht für Datenschutz und Privatsphäre, das für Personen eine Kontrolle über ihre persönlichen Daten regelt. Ein wichtiges Ziel bei der Bereitstellung eines Datenverarbeitungssystems für die Kontaktnachverfolgung ist, dass ein solches System konform mit der DSGVO ist und gleichzeitig weitere technische Ziele erfüllt, z.B. dass das System nur einer geringe Menge technischer Ressourcen benötigt und gute Skalierbarkeitseigenschaften besitzt hinsichtlich der Anzahl der Personen die das Nachverfolgungssystem verwenden, der Anzahl von Bezugspunkten und der Anzahl von Interaktionen zwischen diesen. Relevante technische Ressourcen der einzelnen Komponenten des Nachverfolgungssystems umfassen insbesondere CPU, Speicher, Kommunikationsdatenrate und - volumen und Energie. Wenn ein Datenverarbeitungssystem für die Kontaktnachverfolgung bereitgestellt werden soll, ist es auch wichtig, dass das System günstige technische Eigenschaften wie eine geringe Antwortzeit für alle Eingabeschnittstellen des Systems aufweist, einschließlich Benutzeroberflächen über die ein Nutzer Eingaben in das System vornehmen kann, sowie dass das System robust gegen Angriffe ist.
  • Mögliche Angriffe beinhalten Akteure, die Zugang zu Computersystemen des Nachverfolgungssystems haben oder erlangen können. Dies beinhaltet Computersysteme von Personen, die das Nachverfolgungssystem nutzen, des Nachverfolgungsdienstanbieters, oder einer berechtigten Organisation mit einem legitimen Mandat zum Zugang zu Nachverfolgungsinformationen. Der unzulässige Zugriff auf Computersysteme kann das Extrahieren oder Manipulieren der Nachverfolgungsdaten umfassen. Ein Nachverfolgungssystem, das Datenschutz und die Privatsphäre der Nutzer des Nachverfolgungssystems gewährleistet, ist robust gegen Angriffe, wenn die Kompromittierung irgendeines der involvierten Computersysteme dem Angreifer weder Zugang zur Gesamtheit der Nachverfolgungsdaten noch zu einem Teil davon ermöglicht. Das höchste Sicherheitsniveau für Nutzer des Nachverfolgungssystems wird erreicht, wenn Datenschutz und Privatsphäre gewährleistet sind, solange nur irgendein am Nachverfolgungssystem beteiligter Akteur, einschließlich dieser Person selbst, nicht kompromittiert ist. Auch wenn es möglicherweise nicht realisierbar ist, die unzulässige Verwendung des Nachverfolgungssystems zu verhindern, z.B. indem Angreifer ungültige Anwesenheitsinformationen für sich selbst protokollieren, muss es für jeden Nutzer des Nachverfolgungssystems unmöglich sein, die Integrität bestehender Daten durch Manipulation gültiger Nachverfolgungsdaten zu verletzen oder falsche Nachverfolgungsdaten für andere Nutzer des Nachverfolgungssystems zu generieren.
  • Bestehende Nachverfolgungssysteme, die Informationen über die Anwesenheit mobiler Kommunikationsgeräte an einem bestimmten Ort, oder in der Nähe anderer technischer Geräte, oder durch das Vorhandensein eines Markers in der Lesereichweite eines Markerlesegeräts sammeln, können zwar zur Kontaktnachverfolgung genutzt werden, erzielen jedoch möglicherweise nicht erstrebenswerte technische Eigenschaften. Bestimmte Nachverfolgungssysteme können mehr Ressourcen als erforderlich benötigen oder keine akzeptablen Antwortzeiten erzielen. Bestimmte Nachverfolgungssysteme können nicht ausreichend genaue Kontaktinformationen in Raum oder Zeit erfassen oder können nicht in der Lage sein, Kontakte zu physischen Substanzen zu registrieren. Bestimmte Nachverfolgungssysteme können keine Robustheit gegen Angriffe bieten oder können Privatsphäre, Datenschutz, Datensicherheit und Datenintegrität nicht gewährleisten.
  • Darstellung der Erfindung
  • Im Folgenden wird ein neuartiges, Privatsphäre-schützendes Nachverfolgungssystem vorgestellt, das die Mängel bestehender Kontakt-Tracking-Systeme überwindet. Mit dem Nachverfolgungssystem können folgende Ziele erreicht werden: Effektive und präzise Kontaktnachverfolgung unter Wahrung der Privatsphäre, Entkopplung von Datenerfassung, Datenverarbeitung und Datenzugang, Zustimmungsbasierter Zugang zu personenbezogenen Daten und Anwesenheitsinformationen, Kryptografisch gesicherter Datenschutz auf Kenntnis-nur-bei-Bedarf-Basis, Transparenz im Erfassungsprozess zur Datenverfolgung, Einhaltung der EU-Datenschutzgrundverordnung.
  • Das Nachverfolgungssystem ermöglicht keinen Zugriff auf persönliche Kontaktdaten und Anwesenheitsinformationen von Personen, die das Nachverfolgungssystem vollständig nutzen. Berechtigte Organisationen (z.B. eine Gesundheitsbehörde) können mit Zustimmung einer betroffenen Person (z.B. eine mit einer Infektionskrankheit infizierten Person) den Zugriff auf einzelne Nachverfolgungsdaten beantragen. Der Nachverfolgungsdienstanbieter kann Nachverfolgungsdaten einer betroffenen Person nur einer berechtigten Organisation zur Verfügung stellen, wenn das ausdrücklich von der betroffenen Person autorisiert wurde, z.B. durch Erhalt eines kryptografischen Schlüssels, um die Nachverfolgungsdaten zu entschlüsseln. Das Nachverfolgungssystem umfasst folgende Komponenten:
    • 1. Ein oder mehrere eindeutige Nachverfolgungs-Marker, bei denen es sich um analoge oder digitale Token handeln kann, die eindeutige Kennungen für Personen, Objekte oder Orte darstellen und die von Menschen oder Maschinen gelesen werden können. 2. Ein oder mehrere Marker-Lesegeräte, mit denen eindeutige Marker gelesen werden können. Die Funktion als Marker-Lesegerät kann von Menschen oder Computersystemen, z.B. Mobilkommunikationsgeräten oder spezieller Hardware, bereitgestellt werden. Die Leseergebnisse der Marker können in Computersysteme aufgenommen und über Computernetzwerke, z.B. das Internet, auf andere Computersysteme übertragen werden.
    • 3. Ein oder mehrere Server des Nachverfolgungssystems, die Verfahren zum Empfangen, Verarbeiten, Analysieren und Bereitstellen von Nachverfolgungsdaten ausführen können. Nachverfolgungsdaten können persönliche Kontaktinformationen von Nutzern und deren Anwesenheitsinformationen, die durch das Lesen eindeutiger Marker erzeugt werden, enthalten.
  • Das Nachverfolgungssystem unterstützt die folgenden Akteure: 1. Ein oder mehrere Nutzer des Nachverfolgungssystems, die eindeutige Marker erstellen oder lesen können. 2. Ein oder mehrere Nachverfolgungsdienstanbieter, die Server des Nachverfolgungssystems betreiben können. 3. Eine oder mehrere berechtigte Organisationen, die Zugang zu Nachverfolgungsdaten beantragen und Nachverfolgungsdaten empfangen können.
  • Das Nachverfolgungssystem weist folgende Eigenschaften auf: 1. Objekte oder Orte an fester Stelle (z.B. Räume) oder in Bewegung (z.B. Züge) können mit eindeutigen Markern versehen werden. Objekte oder Orte können mit mehreren Ausführungen des gleichen Markers ausgestattet werden (z.B. um gleichzeitiges Lesen zu ermöglichen) oder mit mehreren verschiedenen eindeutigen Markern (z.B. um separat gehandhabte Kontaktzonen auszuweisen). 2. Personen, deren Anwesenheit an Objekten oder Orten oder deren Kontakte zu anderen Personen durch das Nachverfolgungssystem erfasst werden, können mit einem eindeutigen Nachverfolgungs-Marker versehen werden. 3. Personen, die mit einem Marker-Lesegerät ausgestattet sind, können eindeutige Marker des Nachverfolgungssystems lesen und kommunizieren ihre eigene eindeutige Kennung und die Kennung des gelesenen Markers zu Servern des Nachverfolgungssystems, um einen Kontakt zu bestätigen. Personen, die mit einem Marker-Lesegerät ausgestattet sind, können auch mehrere eindeutige Nachverfolgungs-Marker lesen, um den Kontakt zwischen ihnen zu bestätigen. Personen, die mit einem Computersystem ausgestattet sind, können einen Webbrowser oder eine bestimmte Anwendung (App) verwenden, um Kontaktinformationen an Server des Nachverfolgungssystems zu übermitteln. 4. Am Server des Nachverfolgungssystems können empfangene Kennungen von eindeutigen Markern eines Objekts, Orts oder einer Person genutzt werden, um die Anwesenheit der Person zu protokollieren, die das Marker-Lesegerät an einem bestimmten Objekt, Ort oder in direktem Kontakt mit einer anderen Person verwendete.
  • Das Nachverfolgungssystem umfasst die folgenden Komponenten: 1. Marker des Nachverfolgungssystems können von unterschiedlichem Typ sein. (a) Ein möglicher Typ eines Markers ist ein Matrix-Barcode-Etikett. Ein solcher zweidimensionaler Barcode wird auch als QR-Code (Quick Response Code) bezeichnet. Er enthält häufig Daten, die eine Web-Ressource in Form einer URL (Uniform Resource Locator) angeben. (b) Marker können auch von einem anderen Typ sein, z.B. Barcodes (linearer oder eindimensionaler Barcode) oder RFID-Marker (Radio Frequency Identifier Tags) oder Bluetooth-Beacons oder Wifi-Geräte, die Beacon-Frames senden, oder auf andere Mittel basierend die geeignet sind einen Marker zu realisieren. (c) Marker können auch vordefinierte Zeitdauern eines Kontakts enthalten, z.B. eine bestimmte Anzahl Minuten, Stunden oder Tage, oder sie können einen dauerhaften Kontakt repräsentieren, z.B. für Familienmitglieder, oder für ständig besuchte Orte oder kontinuierlich benutzte Objekte.
  • Ein Bezugspunkt (BP) gibt einen bestimmten Punkt im dreidimensionalen Raum eines Ortes an. Ein BP kann mit einer standortspezifischen Kennung identifiziert werden und mit einem Marker des Nachverfolgungssystems gekennzeichnet werden, mit dem die ortsspezifische Kennung gelesen werden kann. Eine Möglichkeit, das Lesen der ortsspezifischen Kennung zu ermöglichen, besteht darin, den BP mit einem QR-Code zu markieren, der die ortsspezifische Kennung enthält. Ein Standort kann mit einem oder mehreren Markern ausgestattet sein. Jeder Marker eines Standorts kann eine eindeutige standortspezifische Kennung haben. In diesem Fall können verschiedene BPs an diesem Ort durch das Nachverfolgungssystem unterschieden werden. Alternativ ist es möglich, dass mehrere Marker an einem Standort die gleiche standortspezifische Kennung haben. In diesem Fall sind die Marker, die die gleiche standortspezifischen Kennung verwenden, demselben BP zugeordnet. Eine ortsspezifische Kennung des Nachverfolgungssystems kann in Form eines Binärwerts fester Länge, einer Zahl oder einer Textzeichenfolge dargestellt werden.
  • Eine Ortsvorwahl ist eine numerische oder alphanumerische Kennung, die ein geografisches Gebiet angibt. Eine Möglichkeit für eine Ortsvorwahl ist eine Postleitzahl. Ein Ort kann einer Ortsvorwahl zugeordnet werden. Aufgrund der Tatsache, dass viele Personen einer Ortsvorwahl zugeordnet werden können, können statistische Informationen zu den mit der Ortsvorwahl verbundenen Personen auf datenschutzrechtliche Weise veröffentlicht werden.
  • Personen sind über persönliche Kontaktinformationen (Personal Contact Information, PCI) erreichbar. Mögliche Varianten persönlicher Kontaktinformationen sind Telefonnummern und E-Mail-Adressen. Eine Telefonnummer ist eine Nummer, die beispielsweise gemäß des Standards E.164 formatiert ist und einem Gerät, einer Person, einer Organisation oder einem Dienst zugeordnet ist. Eine E-Mail-Adresse ist eine Adresse eines E-Mail-Dienstes, die einem Gerät, einer Person, einer Organisation oder einem Dienst zugeordnet ist. RFC 5322 gibt das Adressformat (addr-spec) von SMTP (Simple Mail Transfer Protocol) E-Mails an. Zusätzlich zur addr-spec kann die allgemein übliche E-Mail-Adresse auch einen Anzeigenamen, einen Kommentar oder beides enthalten. Es gibt anonyme E-Mail-Provider, die Nutzern anonyme E-Mail-Adressen zur Verfügung stellen. Das Nachverfolgungssystem ermöglicht es Nutzern, eine anonyme E-Mail-Adresse als persönliche Kontaktinformation anzugeben, wodurch ein hohes Maß an Datenschutz gewährleistet wird. Persönliche Kontaktinformationen können auch von anderer Art sein, z.B. in Form einer Instant-Messaging-Nutzer-Kennung oder in Form anderer Informationen, mit denen eine Person kontaktiert werden kann.
  • Eine persönliche Identifikationsnummer (PIN) ist ein numerisches oder alphanumerisches Passwort (PW), das beim Prozess der Authentifizierung eines Nutzers, der auf ein System zugreift, verwendet wird. Das System ermöglicht es Personen, eine PIN oder ein PW zu wählen, um ihre persönlichen Daten einschließlich ihrer PCI zu schützen, wenn sie von Komponenten des Nachverfolgungssystems verarbeitet werden. Nutzer des Nachverfolgungssystems werden bei der Durchführung eines Nutzerregistrierungsverfahrens eindeutige Nutzerkennungen zugewiesen. Durch die Verwendung kryptografischer Hash-Funktionen zum Berechnen der Nutzer-ID basierend auf eingegebenen persönlichen Daten, z.B. persönlichen Kontaktinformationen oder PIN oder Passwort oder einer Kombination davon, wird die Eindeutigkeit der Nutzer-ID sichergestellt, während es unmöglich ist, persönliche Daten aus der Nutzer-ID zu rekonstruieren.
  • Das Nachverfolgungssystem führt ein Protokoll, um Anwesenheits- und Kontaktinformationen zu sammeln. Ein Anwesenheitsdatensatz wird im Protokoll für jeden Nutzer gespeichert, der an einem bestimmten Ort mit ortsspezifischer Kennung anwesend war, und der eine authentifizierte Leseprozedur mit dem eindeutigen Marker dieses Ortes durchgeführt hat. Ein Kontaktdatensatz wird im Protokoll für jeden Nutzer gespeichert, der Kontakt mit einem bestimmten Objekt hatte, das durch eine eindeutige Nutzerkennung und eine objektspezifische Kennung identifiziert wurde, und der eine authentifizierte Leseprozedur mit dem eindeutigen Marker dieses Objekts durchgeführt hat. Ein Kontaktdatensatz wird im Protokoll für jeden Nutzer gespeichert, der Kontakt zu einem anderen Nutzer hatte, der durch eine eindeutige Nutzerkennung und eine personenbezogene Kennung identifiziert wurde, und der ein authentifiziertes Leseverfahren mit dem eindeutigen Marker dieses Nutzers durchgeführt hat. Das Protokoll sammelt verschlüsselte Datensätze und stellt so die datenschutzrechtliche Eigenschaft des Nachverfolgungssystems sicher. Da kryptografische Funktionen zum Verschlüsseln von Datensätzen mit Anwesenheits- und Kontaktinformationen verwendet werden, wird das Protokoll des Nachverfolgungssystems auch als Krypto-Protokoll bezeichnet.
  • Anwesenheits- und Kontaktinformationen, die in verschlüsselter Form im Protokoll gespeichert sind, umfassen PCI, PIN und zusätzliche persönliche Attribute wie Geburtsjahr, Ortsvorwahl der Person und Attribute eines Orts wie Ortsvorwahl des Standorts und Ortsbeschreibungen. Das Nachverfolgungssystem verschlüsselt mit einem kryptografischen Schlüssel des Nachverfolgungssystems bestimmte Teile der Daten, die im Protokoll gespeichert sind und verhindert so unbefugten Zugriff auf die Daten. Das Nachverfolgungssystem verwendet andere spezifische Teile der Daten, die im Protokoll gespeichert sind, insbesondere PCI, unter Verwendung eines öffentlichen Schlüssels einer autorisierten Organisation, wodurch unbefugter Zugriff auf diese Teile der Daten verhindert wird. Dies verhindert den Zugang von Betreibern der Nachverfolgungsserver auf diese Teile der Daten zuzugreifen, und gewährleistet so ein hohes Maß an Datenschutz und IT-Sicherheit des Nachverfolgungssystems. Die Verschlüsselung bestimmter Teile der Daten, die im Protokoll gespeichert sind, einschließlich der PCI, kann unter Verwendung eines öffentlichen Schlüssels einer autorisierten Organisation innerhalb einer kryptografischen Funktion durchgeführt werden, die auf dem mobilen Kommunikationsgerät eines Nutzers des Systems ausgeführt wird. Die Verschlüsselung bestimmter Teile der Daten, die im Protokoll gespeichert sind, einschließlich der PCI, kann in einem Webbrowser des Mobilkommunikationsgeräts eines Nutzers durchgeführt werden, wodurch die Notwendigkeit eliminiert wird, eine bestimmte App auf diesem mobilen Kommunikationsgerät zu installieren.
  • Das Nachverfolgungssystem unterstützt die folgenden Verfahren: Nutzerregistrierungsverfahren, Nutzerauthentifizierungsverfahren, Marker-Erstellungsverfahren, Marker-Leseverfahren, Verschlüsselte Protokollierung, Nachverfolgungs-Autorisierungsverfahren Kontaktübertragungsverfahren, Statistikübertragungsverfahren. Die Server des Nachverfolgungssystems können eine oder mehrere Verfahren des Nachverfolgungssystems unterstützen.
  • Das Nachverfolgungssystem besteht aus mehreren Komponenten, einschließlich eines oder mehrerer Server. Jeder Server des Nachverfolgungssystems kann eines oder mehrere Verfahren der Menge von Verfahren des Nachverfolgungssystems unterstützen. Ein Server des Nachverfolgungssystems kann einem oder mehreren Servertypen zugeordnet werden, je nachdem welche Teilmenge der vom Server unterstützten Verfahren durchgeführt werden. Ein Servertyp kann ein Registrierungsserver sein, also ein Server der das Verfahren zur Registrierung und Authentifizierung von Nutzern, die Erstellung von Markern oder die Autorisierung zu Kontaktnachverfolgung unterstützt. Ein Servertyp kann ein Marker-Server sein, also ein Server der das Leseverfahren von Markern unterstützt. Ein Servertyp kann ein Protokollierungsserver sein, also ein Server der das verschlüsselte Protokollierungsverfahren, das Übertragen von Kontakten oder das Übertragen von Statistiken unterstützt. Es ist möglich, dass ein Server eines bestimmten Typs nicht nur ein oder mehrere Verfahren unterstützt, die für diesen Servertyp charakteristisch ist, sondern auch eine zusätzliche Untergruppe von Verfahren. Beispielsweise ist es möglich, dass ein Registrierungsserver auch das verschlüsselte Protokollierungsverfahren unterstützt. Eine charakteristische Eigenschaft des Nachverfolgungssystems ist, dass nicht jeder Servertyp und nicht jeder bestimmte Server alle Verfahren des Nachverfolgungssystems unterstützen muss. Diese Eigenschaft ermöglicht die Trennung von Daten und Funktionen des Nachverfolgungssystems, sowie von Zugriffsrechten von Administratoren zwischen verschiedenen Servern. Dadurch werden Datenschutz, IT-Sicherheit und Privatsphäre verbessert.
  • Server des Nachverfolgungssystems werden von einem oder mehreren Betreibern betrieben. Verschiedene Server des Nachverfolgungssystems können von verschiedenen Betreibern betrieben werden, z.B. um Verantwortlichkeiten zu teilen oder zu trennen. Ein Betreiber eines Nachverfolgungsservers kann einen Servertyp betreiben, und ein anderer Betreiber kann einen anderen Typ Server betreiben, wodurch das Zugriffsrecht der Administratoren jedes Betreibers auf eine bestimmte Teilmenge von Servertypen beschränkt wird. Diese Eigenschaft kann Datenschutz, IT-Sicherheit und Privatsphäre des Nachverfolgungssystems weiter verbessern.
  • Die Nachverfolgungssysteme können berechtigten Organisationen Zugriff auf Nachverfolgungsdaten gewähren: Bestimmte Organisationen können eine Berechtigung besitzen. Organisationen können eine Berechtigung erhalten, falls sie autorisiert sind mit spezifischen personenbezogenen Daten umzugehen. Spezifische personenbezogene Daten können sensible Gesundheitsinformationen enthalten. Zu den Organisationen, die sich mit Gesundheitsinformationen befassen, gehören Gesundheitsdienstleister und Gesundheitsbehörden. Ein Gesundheitsdienstleister erbringt Gesundheitsdienstleistungen für Menschen und ist berechtigt, mit sensiblen Gesundheitsinformationen von Nutzern gemäß der Gesetze und Vorschriften des Gesundheitswesens umzugehen. Eine Gesundheitsbehörde handelt im Namen der Regierung gemäß geltenden Rechts (z.B. des Infektionsschutzgesetzes).
  • Um die Ausbreitung einer Infektionskrankheit zu begrenzen, kann eine Gesundheitsorganisation frühere Kontakte dieser Person nachverfolgen, wenn eine Person positiv auf eine Infektionskrankheit getestet wurde. Zur Umsetzung des Kenntnis-nur-bei-Bedarf-Prinzips für Gesundheitsorganisationen stellt der Nachverfolgungsdienstleister der Gesundheitsorganisation nur den gemäß einer Kontaktnachverfolgungs-Autorisierungs-Prozedur autorisierten Teil der Protokolldaten zur Verfügung. Die Durchführung dieser Prozedur ermöglicht es, dass die Erfordernisse des spezifischen Falls berücksichtigt werden, wodurch die Anforderungen des Kenntnis-nur-bei-Bedarf-Prinzips erfüllt werden. Diese Eigenschaft des Nachverfolgungssystems vermeidet, dass eine Behörde des öffentlichen Gesundheitswesens Zugriff auf alle von einem Nachverfolgungssystem protokollierten Anwesenheits- und Kontaktinformationen erhalten muss, um eine Kontaktnachverfolgung durchzuführen zu können, zu der sie rechtlich autorisiert ist. Die Kenntnis-nur-bei-Bedarf-Anforderungen spezifizieren das Zeitfenster, in dem die Gesundheitsorganisation Zugriff auf die verschlüsselten Protokolldaten bezüglich Anwesenheit und Kontakt einer infizierten Person erhält. Anwesenheits- und Kontaktinformationen einer infizierten Person enthalten Orte zusammen mit dem Zeitpunkt der Anwesenheit einer infizierten Person, sowie Zeit- und Ortsinformationen ihrer Kontakte, persönliche Kontaktinformationen der Kontaktpersonen und weitere Informationen zu physikalischen Substanzen, zu denen eine infizierte Person Kontakt hatte.
  • Das Nachverfolgungssystem kann einer berechtigten Organisation bestimmte Daten bereitstellen. Die Bereitstellung von Zugriffsrechten einer berechtigten Organisation auf spezifische Daten erfordert, dass das Verfahren zur Autorisierung der Kontaktnachverfolgung erfolgreich durchgeführt wurde. Kryptografische Funktionen werden verwendet um sicherzustellen, dass die berechtigte Organisation nur Zugriff auf die spezifischen Daten erhält, für die sie erfolgreich autorisiert wurde. Ein Merkmal des Nachverfolgungssystems besteht darin, dass die berechtigte Organisation einen kryptografischen Schlüssel verwendet, um auf die spezifischen Informationen des Nachverfolgungssystems zuzugreifen, für welche sie autorisiert wurde.
  • Figurenliste
    • 1 zeigt ein mobiles Kommunikationsgerät eines Nutzers des Nachverfolgungssystems, dessen Benutzeroberfläche unterschiedliche Informationen anzeigt. 2 zeigt die verteilte Systemarchitektur des Nachverfolgungssystems, wobei mobile Kommunikationsgeräte über Lastausgleichsserver mit Registrierungsservern, Marker-Servern und Protokollierungsservern kommunizieren, die mit Privatsphäre-erhaltenden Verarbeitungsservern des Nachverfolgungssystems kommunizieren, die mit Servern berechtigter Personen Organisationen kommunizieren. 3 zeigt Details des Nachverfolgungssystems mit einem mobilen Kommunikationsgerät, das mit Marker-Servern, Registrierungsservern und Protokollierungsservern kommunizieren kann. 4 zeigt Komponenten des Nachverfolgungssystems, die an der Nutzerregistrierung beteiligt sind. 5 zeigt Komponenten des Nachverfolgungssystems, die einen Teil der Nutzerregistrierung durchführen. 6 zeigt Komponenten des Nachverfolgungssystems, die einen anderen Teil der Nutzerregistrierung durchführen. 7 zeigt Komponenten des Nachverfolgungssystems, die an dem Marker-Leseverfahren beteiligt sind. 8 zeigt Komponenten des Nachverfolgungssystems, die einen Teil des Marker-Leseverfahrens ausführen. 9 zeigt Komponenten des Nachverfolgungssystems, die einen anderen Teil des Leseverfahrens ausführen. 10 zeigt Komponenten des Nachverfolgungssystems, die das verschlüsselte Protokollierungsverfahren ausführen.
  • Wege zur Ausführung der Erfindung
  • Details der kryptographischen Funktionen des Nachverfolgungssystems werden im Folgenden erläutert: Das Nachverfolgungssystem verwendet ein asymmetrisch kryptografisches Schema mit einem öffentlichen Schlüssel +k, einem privaten Schlüssel -k, einer Verschlüsselungsfunktion enc und einer Entschlüsselungsfunktion dec. Für jedes Datenobjekt m kann jede Entität, die den öffentlichen Schlüssel kennt, unter Verwendung des öffentlichen Schlüssels +k einen Chiffretext c=enc (+k, m) erzeugen. Nur der Besitzer des privaten Schlüssels -k kann den Chiffretext entschlüsseln, um das Datenobjekt zu erhalten: m=dec (-k, c).
  • Das Nachverfolgungssystem verwendet öffentliche Schlüssel des Nachverfolgungsdienstanbieters, um bestimmte Daten zu verschlüsseln. Das Nachverfolgungssystem verwendet öffentliche Schlüssel berechtigter Organisationen +k_eo, um bestimmte Daten zu verschlüsseln, auf die nur die berechtigte Organisation zugreifen können soll. Gleichzeitig erhält die berechtigte Organisation nur dann Zugriff auf diese Teilmenge der spezifischen Informationen, die mit einem ihrer öffentlichen Schlüssel verschlüsselt wurden, wenn ein Verfahren zur Autorisierung der Kontaktnachverfolgung erfolgreich durchgeführt wurde.
  • Ein kryptografischer Algorithmus, der zum Generieren von verschlüsselten Daten aus dem öffentlichen Schlüssel und dem Datenobjekt verwendet werden kann, ist OpenPGP, das von der OpenPGP-Arbeitsgruppe der Internet Engineering Task Force (IETF) in RFC 4880 spezifiziert wurde. RFC 4880 gibt Datenformate zum Übertragen verschlüsselter Informationen an. Zu den spezifizierten Paketformaten gehören Public-Key Encrypted Session Key Packets (Tag 1). RFC 8017 spezifiziert PKCS #1, RSA Cryptography Specifications Version 2.2, spezifiziert kryptografische Primitive von RSA, Verschlüsselungsschemata und ASN.1-Syntax zur Darstellung von Schlüsseln und zur Identifizierung der Schemata. Die in RFC 8017 angegebenen Verschlüsselungsschemata umfassen RSAES-OAEP, ein Schema, das das RSA-Verschlüsselungsprimitiv (RSAEP), das RSA-Entschlüsselungsprimitiv (RSADP) und die EME-OAEP-Codierungsmethode kombiniert, die auf dem optimalen asymmetrischen Verschlüsselungsschema von Bellare und Rogaway basiert.
  • Nutzer des Systems können Personen sein, die Standorte besuchen und möglicherweise Kontakte zu anderen Personen an diesen Standorten haben, oder Personen, die einem Standort zugeordnet sind, der mit einem Marker ausgestattet ist.
  • 3 zeigt relevante Komponenten des Nachverfolgungssystems: 3 zeigt ein mobiles Kommunikationsgerät 601, die mit mehreren Servern eines Nachverfolgungssystems kommunizieren kann, einschließlich eines Registrierungsservers 603, eines MarkerMarker-Servers 602 und eines Protokollierungsservers 607. Das mobile Kommunikationsgerät 601 kann Daten zum Schutz der Privatsphäre unter Verwendung eines öffentlichen Schlüssels des Nachverfolgungssystems +k_ts 612 und unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation +k_eo 613 verschlüsseln. Das mobile Kommunikationsgerät 601 hat einen lokalen Speicher 604, der eine Nutzer-ID enthält, die von einem Server des Nachverfolgungssystems empfangen wurde, und einen Nutzerschlüssel, der aus einer kryptografischen Hash-Funktion auf dem Nutzergerät hervorgeht und so einen Hash-Wert produziert, der persönliche Kontaktinformationen und das Passwort enthält. Der lokale Speicher 604 enthält auch einen Datenelement-C-Kontakt, der das Ergebnis eines auf dem Nutzergerät ausgeführten Verfahren ist, das ein verschlüsseltes Datenelement unter Verwendung der kryptografischen Funktion eines/für einen öffentlichem Schlüssel erzeugt und das als öffentlichen Schlüssel den öffentlichen Schlüssel einer berechtigten Organisation und als Eingabedaten persönliche Kontaktinformationen verwendet.
  • Mit diesen Komponenten unterstützt das Nachverfolgungssystem die folgenden Verfahren: Nutzerregistrierungsverfahren, Nutzerauthentifizierungsverfahren, Marker-Erstellungsverfahren, Marker-Leseverfahren, Verschlüsselte Protokollierungsverfahren, Nachverfolgungs-Autorisierungsverfahren, Kontaktübertragungsverfahren, Statistikübertragungsverfahren.
  • Im Folgenden werden die Verfahren des Nachverfolgungssystems in weiteren Details beschrieben. Nutzer können ein Nutzerregistrierungsverfahren mit dem Nachverfolgungssystem durchführen. Bei der Registrierung einer Person gibt ein Nutzer des Nachverfolgungssystems persönliche Kontaktinformationen, eine PIN oder ein Passwort sowie Attribute der Person wie Ortsvorwahl und Alter ein. Das Nutzergerät und ein Server des Nachverfolgungssystems führen ein Registrierungsprotokoll durch, das kryptografische Verfahren einschließlich Verschlüsselungs- und kryptografischer Hash-Funktionen, mit kryptografischen Schlüsseln des Nachverfolgungssystems und der berechtigten Organisation, verwendet. Nach Abschluss des Registrierungsvorgangs hat das Nutzergerät eine lokale Datenstruktur mit einer Nutzer-ID eingerichtet und das Nachverfolgungssystem im Registrierungsprotokoll einen Eintrag, der ein Registrierungsdatensatz ist. Der Registrierungsdatensatz kann eine Nutzer-ID, einen nutzerspezifischen Schlüssel (als userkey bezeichnet) und verschlüsselte Daten mit Attributen der Person (wie Ortsvorwahl und Alter) enthalten.
  • Das Nutzerregistrierungsverfahren kann die folgenden technischen Funktionen umfassen: Es kann Eingabedaten, einschließlich persönlicher Kontaktinformationen (PCI) und eines PIN-Codes oder Passworts (PW) sowie einer Länder- und/oder Ortsvorwahl und optionaler persönlicher Attribute wie Alter, erhalten. Es kann ein verschlüsseltes Datenelement (c-contact genannt) generieren, das persönliche Kontaktinformationen (PCI) enthält und von einer berechtigten Organisation entschlüsselt werden kann. Es kann eine lokale Struktur für personenbezogene Daten generieren, die persönliche Attribute wie Alter und Ortsvorwahl des Wohnsitzes, sowie das verschlüsselte Datenelement mit persönlichen Kontaktinformationen enthält. Es kann einen nutzerspezifischen Schlüssel (userkey genannt) generieren. Eine Möglichkeit den Nutzerschlüssel zu generieren besteht darin, dass ein Verfahren auf dem Nutzergerät ausgeführt wird, das einen Hashwert durch eine kryptografische Hashfunktion generiert und Eingabedaten aus der lokalen Struktur personenbezogener Daten verwendet. Es kann ein zusätzliches verschlüsseltes Datenelement mit Attributen (abgekürzt c-attributes) generieren. Zu den Attributen einer Person können die Ortsvorwahl des Wohnsitzes und das Alter gehören. Die Attribute werden so verschlüsselt, dass sie vom Nachverfolgungssystem entschlüsselt werden können. Das Datenelement mit der verschlüsselten Ortsvorwahl heißt c-area-code. Das Datenelement mit dem verschlüsselten Alter heißt c-age. Es kann eine Registrierungsnachricht mithilfe einer Datenstruktur verfassen, die den nutzerspezifischen Schlüssel (userkey) und die persönlichen Attribute (c-attributes) enthält, die vom Nachverfolgungsdienstanbieter entschlüsselt werden können, und sendet die Registrierungsnachricht an den Registrierungsserver des Nachverfolgungssystems. Es kann vom Nachverfolgungssystem eine eindeutige Nutzer-ID (userid genannt) erhalten. Eine Möglichkeit zum Generieren des Nutzerschlüssels besteht darin, dass der Registrierungsserver ein Verfahren ausführt, das mithilfe einer kryptografischen Hashfunktion einen Hashwert generiert und Eingabedaten aus der Registrierungsnachricht verwendet. Es kann den Registrierungsvorgang auf dem Nutzergerät abschließen, indem es die lokale Struktur der persönlichen Daten aktualisiert, die folgende Datenelemente enthält: userkey, userid, c-contact und c-attributes (mit c-area-code und c-age).
  • Die 4, 5 und 6 zeigen Details einer möglichen Instanziierung des Nutzerregistrierungsverfahrens. 4 zeigt die Komponenten des Nachverfolgungssystems, die an der Nutzerregistrierung beteiligt sind: das mobile Kommunikationsgerät 601 und den Registrierungsserver 603 mit seinem DNS-Namen 606. 4 zeigt eine Möglichkeit, das Datenelement userkey (Nutzerschlüssel) des lokalen Speichers 604 zu erzeugen, indem als Input der kryptografischen Hash-Funktion SHA256 folgende Datenelemente verwendet werden: als persönliche Kontaktinformationen die Telefonnummer 0170/123456789 und als Passwort PW die Zeichenfolge Mypassword. Der generierte kryptografische Hashwert ist ein 256bit langer Binärwert mit der Zeichendarstellung chpwdXYZ 605. 5 zeigt eine erste Nachricht 700, die in der Nutzerregistrierung vom mobilen Kommunikationsgerät 601 an den Registrierungsserver 603 gesendet wird, die als Klartextdatei den Nutzerschlüssel 701 enthält, und die eine Datenstruktur 702 mit verschlüsselten Attributen enthält, in diesem Beispiel mit zwei verschlüsselten Datenelementen, in diesem Beispiel c-area-code und c-age. Das erste verschlüsselte Datenelement c-area-code wird auf dem mobilen Kommunikationsgerät des Nutzers, durch eine kryptografische Funktion des Nachverfolgungssystems, mit einem öffentlichen Schlüssel +k_ts und der Ortsvorwahl erzeugt. Das zweite verschlüsselte Datenelement c-age wird auf dem mobilen Kommunikationsgerät des Nutzers durch eine kryptografische Funktion mit einem öffentlichen Schlüssel des Nachverfolgungssystems +k_ts und dem Alter des Nutzers erzeugt. 6 zeigt eine zweite Nachricht 703, die in der Nutzerregistrierung vom Registrierungsserver an das mobile Kommunikationsgerät gesendet wird und eine Nutzer-ID enthält, die anschließend im lokalen Speicher des mobilen Kommunikationsgeräts gespeichert wird.
  • Nutzer des Nachverfolgungssystems können eine Nutzerauthentifizierung durchführen, um Zugriff auf zusätzliche Verfahren für registrierte Nutzer zu erhalten. Das Nachverfolgungssystem kann eine Nutzerauthentifizierung durchführen, indem überprüft wird, ob eine bestimmte Person sowohl die persönlichen Kontaktinformationen als auch das Passwort kennt. Bei der Durchführung der Nutzerauthentifizierung muss ein Nutzer beide Informationselemente, die persönlichen Kontaktinformationen und das Passwort, in sein mobiles Kommunikationsgerät eingeben, worauf dort ein nutzerspezifischer Schlüssel (userkey) generiert wird. Eine Möglichkeit, den Nutzerschlüssel zu generieren, besteht darin auf dem Nutzergerät, unter Verwendung einer kryptografischen Hashfunktion, einen Hashwert aus persönlichen Kontaktinformationen und dem Passwort zu generieren. Der resultierende kryptografische Hash mit dem nutzerspezifischen Schlüssel (userkey) wird an einen Server des Nachverfolgungssystems übertragen, wo er mit einem gespeicherten Nutzerschlüssel verglichen werden kann. Stimmen die Schlüssel miteinander überein, war die Nutzerauthentifizierung erfolgreich, was impliziert, dass der authentische Nutzer die Nutzerauthentifizierung durchgeführt hat. Das Nachverfolgungssystem ist in der Lage, Nutzerauthentifizierungen mit einer beliebigen Anzahl von Nachrichten durchzuführen, die ein mobiles Kommunikationsgerät zu einem Server des Nachverfolgungssystems sendet, durch Einfügen eines nutzerspezifischen Schlüssels (userkey) in diese Nachrichten. Eine Nutzerauthentifizierung mit einer beliebigen Anzahl von Nachrichten kann durchgeführt werden, wenn diesen Nachrichten ein Datenelement beigefügt wird, das den nutzerspezifischen Schlüssel (userkey) in Form eines HTTP-Cookies enthält, wie dies in RFC 6265 angegeben ist.
  • Standorte können im Nachverfolgungssystem registriert werden, indem eine Standortregistrierung durchgeführt wird. Technisch muss es keinen Unterschied im Registrierungsverfahren von Personen und Orten geben. Ein Unterschied besteht im Inhalt der Attribute. Attribute eines Standorts können eine oder mehrere Standortbeschreibungen enthalten, während Attribute einer Person persönliche Informationen wie das Alter enthalten können. Bei der Registrierung eines Standorts gibt ein Nutzer des Nachverfolgungssystems die Kontaktinformationen einer Person oder Organisation, die dem Standort zugeordnet ist, eine PIN oder ein Kennwort, sowie Standortattribute wie die Ortsvorwahl und eine Standortbeschreibung ein. Wie bei der Nutzerregistrierung führen das Nutzergerät und ein Server des Nachverfolgungssystems ein Registrierungsprotokoll durch, das kryptografische Funktionen einschließlich Verschlüsselungs- und kryptografischer Hashfunktionen mit kryptografischen Schlüsseln des Nachverfolgungssystems und der berechtigten Organisation verwendet. Wie im Fall des Registrierungsverfahrens für Personen hat das Nutzergerät nach Abschluss des Registrierungsverfahrens eine lokale Datenstruktur mit einer Nutzer-ID (userid) eingerichtet und das Nachverfolgungssystem hat in seinem Registrierungsprotokoll einen Registrierungsdatensatz eingetragen. Der Registrierungsdatensatz kann eine Nutzer-ID (userid), einen nutzerspezifischen Schlüssel (userkey) und verschlüsselte Daten mit Attributen des Standorts (wie Ortsvorwahl und Standortbeschreibung) enthalten.
  • Das Verfahren zur Standortregistrierung kann die gleichen technischen Funktionen wie das Verfahren zur Personenregistrierung umfassen. Ein bemerkenswerter Unterschied zwischen den technischen Funktionen der Standortregistrierung und der Personenregistrierung besteht darin, dass das verschlüsselte Datenelement mit Attributen (abgekürzte c-attributes) unterschiedliche Attribute enthalten kann (ortsspezifische Attribute anstelle von personenbezogenen Attributen). Attribute eines Standorts können eine oder mehrere Standortbeschreibungen enthalten. Datenelemente mit verschlüsselten Standortbeschreibungen werden als c-loc-des bezeichnet. Nach Abschluss des Standortregistrierungsvorgangs verfügt das Nutzergerät über eine lokale Standortdatenstruktur, die folgende Datenelemente enthält: userid, userkey, c-contact und c-attributes (mit c-area-code und c-loc-des).
  • Authentifizierte Nutzer können ein Marker-Erstellungsverfahren durchführen. Nach Abschluss eines Registrierungsvorgangs für eine Person oder einen Ort hat das Nutzergerät eine lokale Datenstruktur mit einer Nutzer-ID eingerichtet. Bei der Marker-Erstellung wird ein personenbezogener oder ein ortsspezifischer Marker erzeugt, der von mobilen Kommunikationsgeräten gelesen werden kann, die das Nachverfolgungssystem verwenden. QR-Code-Marker sind ein wichtiger Typ von Markern für das Nachverfolgungssystem. Eine Möglichkeit, einen QR-Code-Marker für eine Person oder einen Ort zu erstellen, ist eine URL mit dem Protokoll und dem Domänennamen eines Scan-Servers des Nachverfolgungssystems zu erstellen, gefolgt von einem Pfad, der eine Zeichenfolgendarstellung der Nutzer-ID enthält. Wenn in diesem Beispiel das Protokoll https ist, der Domänenname des Scan-Servers tag.qroniton.eu lautet und der Pfad mit der Zeichenfolgendarstellung der userid 123 ist, resultiert daraus die Tag-URL: https://tag.qroniton.eu/123 . Der resultierende QR-Code, der diese URL enthält, ist spezifisch für eine Person oder einen Ort.
  • Authentifizierte Nutzer können ein Marker-Leseverfahren durchführen. Um ein Marker-Leseverfahren durchzuführen muss ein Marker-Lesegerät eines Nutzers des Nachverfolgungssystems die Informationen eines Markers auslesen. Anschließend kontaktiert das Marker-Lesegerät einen Server des Nachverfolgungssystems unter Verwendung der Informationen, die es aus dem Marker ausgelesen hat. Für die Kontaktaufnahme mit einem Server des Nachverfolgungssystems leitet ein Marker-Lesegerät aus den vom Marker ausgelesenen Informationen eine URL ab, die eine bestimmte Ressource eines Servers des Nachverfolgungssystems angibt. Falls die vom Marker ausgelesene URL eine Internetressource ist, die auf dem Server des Nachverfolgungssystems zugänglich ist, kann das Marker-Lesegerät das HTTP-Protokoll für die Kommunikation mit dem Server des Nachverfolgungssystems verwenden. Wenn die aus dem Marker ausgelesene URL eine Internetressource mit dem HTTPS-Protokoll ist, richtet das Marker-Lesegerät vor dem Austausch von HTTP-Nachrichten mit dem Server des Nachverfolgungssystems eine TLS-Sitzung (Transport Layer Security Sitzung) ein. Wenn der Marker ein QR-Code ist, kann das mobile Kommunikationsgerät eine App verwenden, die den QR-Code dekodieren und die URL extrahieren kann. Falls das Marker-Lesegerät so konfiguriert ist, dass eine App, die einen QR-Code decodieren und eine URL aus dem QR-Code extrahieren kann, werden die decodierte URL an den Webbrowser des mobilen Kommunikationsgeräts weitergeleitet. Der Webbrowser, des Geräts richtet eine Sitzung mit dem Webserver des Nachverfolgungssystems ein und greift auf die Webressource auf dem Webserver zu, die im QR-Code angegeben ist. Der Webbrowser des Marker-Lesegeräts kann diesen Zugriff auf eine Webressource in Form einer HTTP-GET-Anforderung auf einen Server ausführen, der durch den DNS-Namen der URL und den durch den im Pfadabschnitt der URL angegeben Pfad spezifiziert ist. Falls der lokale Speicher des mobilen Kommunikationsgeräts die Daten enthält, die während der Nutzerregistrierung und der Nutzerauthentifizierung gebildet wurden, überträgt das Marker-Lesegerät nutzerspezifische Daten zu dem kontaktierten Server des Nachverfolgungssystems. Dieser Datensatz enthält eine nutzerspezifische Kennung (userid). Das Marker-Lesegerät kann ein Datenelement übertragen, das die nutzerspezifische Kennung (userid) in Form eines HTTP- Cookies enthält, wie in RFC 6265 spezifiziert. Nach dem Zugriff auf die Ressource des Nachverfolgungsservers, der durch die URL des Markers angegeben ist, und der Übertragung des Datensatzes, der eine nutzerspezifische Kennung (userid) enthält, kann der kontaktierte Server des Nachverfolgungssystems erkennen, dass er durch ein Marker-Lesegerät kontaktiert wurde, das eine Nutzerregistrierung und eine Nutzerauthentifizierung durchgeführt hat. Wenn ein Marker-Lesegerät den Server des Nachverfolgungssystems kontaktiert und keine Datenstruktur mit einer nutzerspezifischen Kennung (userid) überträgt, die aus der Nutzerregistrierung erhalten wurde, kann der kontaktierte Server Daten an das Marker-Lesegerät übertragen, das über die Notwendigkeit einer Nutzerregistrierung informiert. Der Server des Nachverfolgungssystems kann direkt einleiten, dass das Marker-Lesegerät eine Nutzeroberfläche der Nutzerregistrierungsverfahren anzeigt.
  • 7, 8 und 9 zeigen Details einer möglichen Instanziierung des Marker-Leseverfahrens. 7 zeigt die beteiligten Komponenten des Nachverfolgungssystems: ein Marker 801 in Form eines QR-Codes, der als Information eine URL 802 enthält, ein mobiles Kommunikationsgerät 601 mit lokalem Speicher 604, das eine Datenstruktur enthält, die Datenelemente für userid, userkey und c-contact enthält, ein Scan-Server 602 mit einem DNS-Namen 607 und ein Registrierungsserver 603 mit einem DNS-Namen 606. In dem in 7 gezeigten Beispiel liest das mobile Kommunikationsgerät 601 die Informationen von dem Marker 801, das die URL https://tag.qroniton.eu/123 enthält. 8 zeigt eine erste Nachricht des Marker-Leseverfahrens, bei der das mobile Kommunikationsgerät den Marker-Server mit dem DNS-Namen tag.qroniton.eu mit einer http-get-Anforderung auf den Pfad 123 kontaktiert. 9 zeigt eine zweite Nachricht des Marker-Leseverfahrens, bei der der Marker-Server mit dem DNS-Namen tag.qroniton.eu mit einer Nachricht 804 mit der Datenstruktur 805 antwortet, die zwei Datenelemente enthält, wobei ein erstes Datenelement die userid des Markers ist (in diesem Beispiel mit der Zeichenfolgendarstellung 123) und ein zweites Datenelement, der sitekey ist, ein eindeutiger Schlüssel, der für diesen Ort in dem bestimmten Zeitfenster spezifisch ist. Das mobile Kommunikationsgerät kann anschließend beide Datenelemente in seinem lokalen Speicher 604 speichern.
  • Autorisierte Nutzer können ein verschlüsseltes Protokollierungsverfahren durchführen. Nachdem das Marker-Leseverfahren durchgeführt wurde, wird das verschlüsselte Protokollierungsverfahren von dem mobilen Kommunikationsgerät durchgeführt, mit der Absicht verschlüsselte Anwesenheits- oder Kontaktinformationen an den Protokollierungsserver des Nachverfolgungssystems zu übertragen, welches ein kryptografisches Protokoll beibehält. Das kryptografische Protokoll enthält Datensätze, die so verschlüsselt sind, dass die Kontaktnachverfolgung nur in den Fällen durchgeführt werden kann, in denen ein Nutzer das Nachverfolgungssystem zur Durchführung der Kontaktnachverfolgung autorisiert hat.
  • 10 zeig Details einer möglichen Instanziierung des verschlüsselten Protokollierungsverfahrens. 10 zeigt das mobile Kommunikationsgerät 601, das eine Nachricht mit einer Datenstruktur 807 an den Protokollierungsserver 608 mit dem DNS-Namen log.qroniton.eu 609 sendet. Die Datenstruktur 807 kann mehrere Datenelemente enthalten, die anschließend im kryptografischen Protokoll des Protokollierungsservers gespeichert werden. Im Beispiel von 10 enthält die Datenstruktur 807 die folgenden Datenelemente: Die Datenstruktur 807 enthält die userid1 des Marker, das in dem Marker Leseverfahren gelesen wurde, das direkt vor dem verschlüsselten Protokollierungsverfahren durchgeführt wurde, und übermittelt die Information, dass sich das mobile Kommunikationsgerät an dem Ort befand, der mit dem Marker 801 markiert ist. Die Datenstruktur 807 enthält die userid2 des Nutzers des mobilen Kommunikationsgeräts, welche zeigt, dass die mit dem mobilen Kommunikationsgerät assoziierte Person an dem mit dem Marker 801 gekennzeichneten Ort anwesend war. Die Datenstruktur 807 enthält auch das Datenelement der siteid, die auf dem mobilen Kommunikationsgerät durch das Ausführen einer kryptografischen Hash-Funktion generiert wurde, mit dem Dateninput des sitekey, welchen das mobile Kommunikationsgerät aus dem Marker-Leseverfahren erhielt. Die Datenstruktur 807 enthält auch das verschlüsselte Datenelement sitekey, das durch eine symmetrische kryptografische Funktion erzeugt wurde, in dem Beispiel von 10 AES, wobei der kryptografische Schlüssel den kryptografischen Hashwert userkey=chpwdXYZ aus dem Passwort und als Dateninput dem sitekey erzeugt hat. Die Datenstruktur 807 enthält auch den verschlüsselten Datenelementkontakt, der durch eine symmetrische kryptografische Funktion erzeugt wurde, im Beispiel von 10 AES, mit einem kryptografischen Schlüssel, dem sitekey, der aus dem Marker-Leseverfahren erhalten wurde, und als Dateninput das verschlüsselte Datenelement c-contact aus dem lokalen Speicher.
  • Nutzer können ein Nachverfolgungs-Autorisierungsverfahren durchführen. In Fällen, in denen ein Nutzer zum Ausdruck bringen möchte, dass seine Kontakt- und Anwesenheitsinformationen, die von einem Protokollierungsserver des Nachverfolgungssystems gespeicherten wurden, zur Durchführung der Kontaktnachverfolgung verwendet werden können, gibt der Nutzer sein Passwort ein, wenn er aufgefordert wird, die Kontaktnachverfolgung zu autorisieren. Eine Möglichkeit, die Kontaktnachverfolgung zu autorisieren, besteht darin, dass der Nutzer mit seinem mobilen Kommunikationsgerät ein bestimmter Marker für die Autorisierung der Kontaktnachverfolgung liest und anschließend seine persönlichen Kontaktinformationen und sein Passwort eingibt.
  • Nutzer können ein Verfahren zur Kontaktübertragung durchführen. Nutzer können ausdrücken, dass die Informationen über ihre Kontakte zu einer berechtigten Organisation übertragen werden, durch Eingabe ihrer persönlichen Kontaktinformationen und ihr Passwort ein, wenn angefragt wird, die Kontaktübertragung zu autorisieren.
  • Nutzer können ein Verfahren zur Übertragung von Statistiken durchführen. Ein Nutzer kann sein mobiles Kommunikationsgerät verwenden, um Verfahren zur Übertragung von Statistiken zu initiieren. Eine Möglichkeit zum Starten dieses Verfahrens besteht darin, dass das Nutzergerät einen bestimmten Marker liest, der für diesen Zweck erzeugt wurde. Eine andere Möglichkeit zum Einleiten des Verfahrens zur Übertragung von Statistiken besteht darin, dass ein Nutzer mit seinem mobilen Kommunikationsgerät eine Statistikwebseite des Nachverfolgungssystems besucht und eine Nutzerauthentifizierung durchführt. Das Ergebnis des Verfahrens zur Übertragung von Statistiken kann umfassen, dass die Benutzeroberfläche des mobilen Kommunikationsgeräts nutzerspezifische Statistiken anzeigt, wie in den Elementen 14 und 15 von 1 dargestellt wird.
  • Die Architektur des Nachverfolgungssystems weist mehrere Merkmale auf, die Datenschutz, IT-Sicherheit und Privatsphäre verbessern. Nicht alle Funktionen aller Verfahren des Nachverfolgungssystems müssen von Servern eines Betreibers von Nachverfolgungsservern ausgeführt werden. Alternativ können bestimmte Funktionen und Verfahren des Nachverfolgungssystems von bestimmten Apps auf dem mobilen Kommunikationsgerät eines Nutzers ausgeführt werden. Eine Möglichkeit für eine App, die ein Verfahren des Nachverfolgungssystems auf dem mobilen Kommunikationsgerät eines Nutzers umsetzen kann, ist eine App, die das Marker- Leseverfahren durchführt. Eine andere Möglichkeit für eine App, die ein Verfahren des Nachverfolgungssystems auf dem mobilen Kommunikationsgerät eines Nutzers umsetzen kann, ist eine App, die das verschlüsselte Protokollierungsverfahren durchführt. In beiden Fällen müssen diese Apps Funktionen für das Autorisierungsverfahren des Nachverfolgungssystems unterstützen, damit die von der App gespeicherten Daten einer berechtigten Organisation zugänglich gemacht werden können, um in einem autorisierten Fall Kontakt- und Anwesenheitsinformationen einer bestimmten Person zu verfolgen. Die Architektur des Nachverfolgungssystems ermöglicht eine weitere Verbesserung in Bezug auf Datenschutz, IT-Sicherheit und Privatsphäre, indem mehrere unabhängige Nachverfolgungsdienstanbieter mehrere Nachverfolgungssysteme parallel betreiben können, wodurch der Datenumfang, den jedes Nachverfolgungssystem sammelt, begrenzt wird. Wenn mehrere Nachverfolgungssysteme parallel betrieben werden, kann eine einzelne berechtigte Organisation, z.B. eine bestimmte Gesundheitsbehörde, mit allen relevanten Nachverfolgungsdienstanbietern ein Autorisierungsverfahren durchführen, um die Kontaktnachverfolgung eines bestimmten Falls zu realisieren. Dies ermöglicht es, dass die berechtigte Organisation alle relevanten Präsenz- und Kontaktinformationen für diesen Fall von allen relevanten Nachverfolgungsdienstanbietern erhält. Gleichzeitig ermöglicht diese Eigenschaft der Architektur des Nachverfolgungssystems den parallelen Betrieb mehrerer Nachverfolgungssysteme, was Datenschutz-, IT-Sicherheits- und Privatsphäre aus Sicht einzelner Nutzer und aus Sicht der Gesellschaft insgesamt stärken.

Claims (3)

  1. Ein vernetztes Computersystem, in dem eine mit einem mobilen Kommunikationsgerät ausgestattete Person ein Registrierungsverfahren durchführt, dadurch gekennzeichnet dass: ■ Ein Nutzer des Nachverfolgungssystems einen Registrierungsvorgang mit seinem mobilen Kommunikationsgerät durchführte und dabei persönliche Kontaktinformationen und ein Passwort eingab. ■ Das mobile Kommunikationsgerät, mit dem der Nutzer ein Verfahren zur Nutzerregistrierung durchgeführt hat, einen Marker mit einer für diesen Ort spezifischen Kennung ausliest. ■ Das mobile Kommunikationsgerät, mit dem der Nutzer ein Verfahren zur Nutzerregistrierung durchgeführt hat, verschlüsselte Protokollinformationen an einen Protokollierungsserver überträgt.
  2. Das vernetzte Computersystem nach Anspruch 1, wobei die übertragene Datenstruktur persönliche Kontaktinformationen umfasst, die unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation verschlüsselt sind.
  3. Das vernetzte Computersystem nach Anspruch 1, wobei die übertragene Datenstruktur persönliche Kontaktinformationen umfasst, die unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation verschlüsselt sind, zusätzliche Informationen beinhaltend, die unter Verwendung eines öffentlichen Schlüssels eines Nachverfolgungsdienstanbieters verschlüsselt sind.
DE102020002148.4A 2020-04-05 2020-04-05 Privatsphäre-erhaltendes Nachverfolgungssystem Pending DE102020002148A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102020002148.4A DE102020002148A1 (de) 2020-04-05 2020-04-05 Privatsphäre-erhaltendes Nachverfolgungssystem
PCT/DE2021/000059 WO2021204313A1 (de) 2020-04-05 2021-04-04 Privatsphäre-erhaltendes nachverfolgungssystem
EP21725684.1A EP4136860A1 (de) 2020-04-05 2021-04-04 Privatsphäre-erhaltendes nachverfolgungssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020002148.4A DE102020002148A1 (de) 2020-04-05 2020-04-05 Privatsphäre-erhaltendes Nachverfolgungssystem

Publications (1)

Publication Number Publication Date
DE102020002148A1 true DE102020002148A1 (de) 2021-10-07

Family

ID=75919166

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020002148.4A Pending DE102020002148A1 (de) 2020-04-05 2020-04-05 Privatsphäre-erhaltendes Nachverfolgungssystem

Country Status (3)

Country Link
EP (1) EP4136860A1 (de)
DE (1) DE102020002148A1 (de)
WO (1) WO2021204313A1 (de)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180052970A1 (en) * 2016-08-16 2018-02-22 International Business Machines Corporation Tracking pathogen exposure

Also Published As

Publication number Publication date
WO2021204313A1 (de) 2021-10-14
EP4136860A1 (de) 2023-02-22

Similar Documents

Publication Publication Date Title
EP3447667B1 (de) Kryptographische sicherung für eine verteilte datenspeicherung
DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
EP3033855B1 (de) Unterstützung einer entschlüsselung von verschlüsselten daten
DE60028778T2 (de) Verfahren zur erhaltung und verteilung von individuellen sicherungseinrichtungen
DE102012214018B3 (de) Autorisierung eines Nutzers durch ein tragbares Kommunikationsgerät
DE112018005628T5 (de) Datenbereinigungssystem für eine öffentliche Host-Plattform
EP3031226B1 (de) Unterstützung der nutzung eines geheimen schlüssels
DE112016004274B4 (de) Systeme und Verfahren zur Datenverlustvermeidung unter Wahrung von Vertraulichkeit
DE102010053651B3 (de) Verfahren und Verwendung eines Systems zur ortsbeschränkten Anzeige lesbarer Inhalte auf einem mobilen Lesegerät
EP3909221B1 (de) Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät
EP2289016A2 (de) Verwendung eines mobilen telekommunikationsgeräts als elektronische gesundheitskarte
DE112018001616T5 (de) Sichere systeme und verfahren für abtastbare codes
EP3672142B1 (de) Verfahren und system zur sicheren übertragung eines datensatzes
DE60309216T2 (de) Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs
DE102021205259A1 (de) Erstellung von beschränkten mobilen konten
AT519025B1 (de) Verfahren zum Austausch von Datenfeldern von zertifizierten Dokumenten
JP2024502512A (ja) 個人遺伝子識別情報の取得、制御、アクセス及び/又は表示の方法及びシステム
EP3248324A1 (de) Verteiltes bearbeiten eines produkts auf grund von zentral verschlüsselt gespeicherten daten
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE102020002148A1 (de) Privatsphäre-erhaltendes Nachverfolgungssystem
DE202020005623U1 (de) Privatsphäre-erhaltendes Nachverfolgungssystem
CN113127841B (zh) 远程管理软件用户的方法、装置、设备及存储介质
DE102012222995B3 (de) Verfahren für die sichere Übertragung einer digitalen Nachricht
DE102016207469A1 (de) System und verfahren zum speichern von verhaltensdaten und zum kontrollieren des zugriffs darauf
EP1571591B1 (de) Verwendung eines RFID-Tags um mit einem Mobilgerät auf eine Hypertext-Seite zuzugreifen

Legal Events

Date Code Title Description
R086 Non-binding declaration of licensing interest
R138 Derivation of utility model

Ref document number: 202020005623

Country of ref document: DE

R123 Application deemed withdrawn due to non-payment of filing fee
R073 Re-establishment requested
R074 Re-establishment allowed
R012 Request for examination validly filed