DE202020005623U1 - Privacy-preserving tracking system - Google Patents

Abstract

A networked computer system in which a person equipped with a mobile communication device performs a registration process, characterized in that:
▪ A tracking system user performed a registration process using their mobile communication device, entering personal contact information and a password.
▪ The mobile communication device, with which the user has carried out a user registration procedure, reads a marker with an identifier specific to this location.
▪ The mobile communication device, with which the user has carried out a user registration procedure, transmits encrypted log information to a logging server.

Description

The tracking system allows collecting information about people present at a specific place at a specific time using a mobile communication device (e.g. a smartphone), encrypts the presence information and transmits it in a privacy-preserving form to a tracking data provider.

The system uses markers (e.g. QR code markers) that contain a Uniform Resource Locator (URL). Selected locations are tagged with markers from a tracking service provider. Users of the tracking system register with their personal contact information (e.g. a telephone number) and a self-chosen PIN code or password. The tracking system allows people to read markers to log their presence at a location at a specific time and store encrypted presence information on a server. The tracking system can use different servers (e.g. a registration server, a marker server and a logging server) which can be operated by different organizations.

Encryption of presence information is performed using different encryption techniques and different cryptographic keys. To protect tracking system users' presence information stored in system logs, presence data is encrypted using cryptographic keys. Access to presence information and personally identifiable information requires a combination of cryptographic keys from individuals and authorized organizations. The privacy-preserving properties of the tracing system make it possible to ensure that an authorization procedure has to be performed for every contact tracing request from a legitimate organization.

The system can be used to track infection chains of an infectious disease by an authorized organization (e.g. a health authority). When used to trace infection chains, an authorized organization can conduct digital contact tracing of people who were present at the same location or of people who had direct contact with each other. The encryption system used by the tracking system ensures users' sovereignty over their personal data and presence information. User consent is required for authorized organizations to access this data and is technically enforced using cryptography.

technical field

The invention deals with the collection of personal data and presence information, protected by means of information security measures, in a system consisting of networked computer systems and devices for reading markers. The information is processed in a privacy-preserving manner, but allows contact tracing with the consent of the users of the system. The invention can be used to trace chains of infection of an infectious disease.

classification

Class 706 data processing

Class 726 Information Security

background

There are several use cases for a data processing system that logs the presence of individuals at locations (reference points) or logs contacts of individuals over time. An example where it is advantageous to be able to use a contact tracing data processing system is the need to trace contacts of individuals who have contracted an infectious disease in order to contain the further spread of the disease. An effective mitigation strategy to limit the spread of disease is to identify, for each person known to be infected, their previous contacts that occurred within the time span that the person known to be infected was potentially infectious. Contacts in this context include other people with whom an infected person has had contact, but also physical substances (whether in solid, liquid or gaseous aggregate state) with which an infected person has had contact, and other people who subsequently have contact with the infected person contacted persons or the contacted physical substances.

A healthcare organization, such as a health authority, may be legally entitled to receive a certain amount of information related to an infected person and for a certain period of time. In order to suppress or slow down the spread of an infectious disease, a healthcare organization can be entitled to receive personal contact information of contacts and contact substances with which an infected person has been in contact for a certain period of time. A tracking system may be used by a healthcare organization to collect and access such contact information.

At the same time, there are important privacy and information technology security interests of individuals and society at large that need to be considered when designing a tracking system. Information about the presence of an individual person at a specific location as well as personal contact data, e.g. a telephone number, are personal information worthy of protection. Individuals in general, as well as other stakeholders in society, have a significant interest in ensuring that presence and contact information is protected in an effective manner and that the rules for authorizing access to this data are transparent and technically enforceable. It may be desirable that access to personal data is only granted to authorized organizations where there are legitimate reasons and the data subject has consented to the authorized organizations accessing their data.

Although a legitimate organization may have legitimate grounds to obtain information about contacts of an infected individual within a specific time window, together with the time of those contacts, including where an individual has been and the times of those visits, and contact information of contacted persons and contacted physical substances of a person during a certain time window, it is also desirable (for many reasons regarding data security, data protection and privacy) to limit the technical access possibility of the authorized organization to the necessary information. This means that the well-known “need to know” principle can be applied in such use cases.

The European General Data Protection Regulation (GDPR) is an EU data protection and privacy law that gives individuals control over their personal information. An important goal when deploying a data processing system for contact tracing is that such a system is compliant with the GDPR while also meeting other technical objectives, e.g. that the system requires only a small amount of technical resources and has good scalability properties in terms of the number of people working use the tracking system, the number of reference points and the number of interactions between them. Relevant technical resources of the individual components of the tracking system include, in particular, CPU, memory, communication data rate and volume, and power. If a data processing system is to be deployed for contact tracing, it is also important that the system has favorable technical characteristics such as low response time for all input interfaces of the system, including user interfaces through which a user can provide input to the system, and that the system is robust is against attacks.

Possible attacks include actors who have or can gain access to computer systems of the tracking system. This includes computer systems of individuals using the tracking system, the tracking service provider, or an authorized organization with a legitimate mandate to access tracking information. Unauthorized access to computer systems may include extracting or tampering with tracking data. A tracking system that ensures data protection and the privacy of the users of the tracking system is robust against attacks if the compromise of any of the computer systems involved does not allow the attacker access to all or part of the tracking data. The highest level of security for users of the tracking system is achieved when data protection and privacy are guaranteed, as long as any actor involved in the tracking system, including that person himself, is not compromised. While it may not be feasible to prevent improper use of the tracking system, e.g. by having attackers log invalid presence information for themselves, it must be impossible for any user of the tracking system to violate the integrity of existing data by manipulating valid tracking data or creating false tracking data for generate other users of the tracking system.

Existing tracing systems that collect information about the presence of mobile communication devices in a specific location, or in the vicinity of other technological devices, or through the presence of a marker within the reading range of a marker reader, can be used for contact tracing but may not achieve desirable technical characteristics . Certain tracking systems may require more resources than required or may not achieve acceptable response times. Certain tracking systems teme cannot capture sufficiently accurate contact information in space or time, or may not be able to register contacts with physical substances. Certain tracking systems may not provide robustness against attacks or may not ensure privacy, data protection, data security and data integrity.

Summary of the Invention

• ▪ Effektive und präzise Kontaktnachverfolgung unter Wahrung der Privatsphäre
• ▪ Entkopplung von Datenerfassung, Datenverarbeitung und Datenzugang
• ▪ Zustimmungsbasierter Zugang zu personenbezogenen Daten und Anwesenheitsinformationen
• ▪ Kryptografisch gesicherter Datenschutz auf Kenntnis-nur-bei-Bedarf-Basis
• ▪ Transparenz im Erfassungsprozess zur Datenverfolgung
• ▪ Einhaltung der EU-Datenschutzgrundverordnung

A novel, privacy-preserving tracking system that overcomes the shortcomings of existing contact tracking systems is presented below. The following objectives can be achieved with the tracking system:

• ▪ Effective and accurate contact tracing while respecting privacy
• ▪ Decoupling of data acquisition, data processing and data access
• ▪ Consent-based access to personal data and presence information
• ▪ Cryptographically secured data protection on a know-only-need-to-know basis
• ▪ Transparency in the collection process for data tracking
• ▪ Compliance with the EU General Data Protection Regulation

The tracking system does not provide access to personal contact and presence information of individuals who make full use of the tracking system. Authorized organizations (e.g. a public health authority) may request access to individual tracking data with the consent of a data subject (e.g. a person infected with an infectious disease). The tracking service provider may only provide a data subject's tracking data to an authorized organization if expressly authorized by the data subject, e.g. by obtaining a cryptographic key to decrypt the tracking data.

• ▪ Ein oder mehrere eindeutige Nachverfolgungs-Marker, bei denen es sich um analoge oder digitale Token handeln kann, die eindeutige Kennungen für Personen, Objekte oder Orte darstellen und die von Menschen oder Maschinen gelesen werden können.
• ▪ Ein oder mehrere Marker-Lesegeräte, mit denen eindeutige Marker gelesen werden können. Die Funktion als Marker-Lesegerät kann von Menschen oder Computersystemen, z.B. Mobilkommunikationsgeräten oder spezieller Hardware, bereitgestellt werden. Die Leseergebnisse der Marker können in Computersysteme aufgenommen und über Computernetzwerke, z.B. das Internet, auf andere Computersysteme übertragen werden.
• ▪ Ein oder mehrere Server des Nachverfolgungssystems, die Verfahren zum Empfangen, Verarbeiten, Analysieren und Bereitstellen von Nachverfolgungsdaten ausführen können. Nachverfolgungsdaten können persönliche Kontaktinformationen von Nutzern und deren Anwesenheitsinformationen, die durch das Lesen eindeutiger Marker erzeugt werden, enthalten.

The tracking system includes the following components:

• ▪ One or more unique tracking markers, which can be analog or digital tokens, that represent unique identifiers for people, objects, or places and that can be read by humans or machines.
• ▪ One or more marker readers capable of reading unique markers. The function as a marker reader can be provided by humans or computer systems, eg mobile communication devices or special hardware. The reading results of the markers can be recorded in computer systems and transmitted to other computer systems via computer networks, eg the Internet.
• ▪ One or more tracking system servers capable of performing methods of receiving, processing, analyzing and providing tracking data. Tracking Data may include users' personal contact information and their presence information generated by reading unique markers.

• ▪ Ein oder mehrere Nutzer des Nachverfolgungssystems, die eindeutige Marker erstellen oder lesen können.
• ▪ Ein oder mehrere Nachverfolgungsdienstanbieter, die Server des Nachverfolgungssystems betreiben können.
• ▪ Eine oder mehrere berechtigte Organisationen, die Zugang zu Nachverfolgungsdaten beantragen und Nachverfolgungsdaten empfangen können.

The tracking system supports the following actors:

• ▪ One or more users of the tracking system who can create or read unique markers.
• ▪ One or more tracking service providers who may operate tracking system servers.
• ▪ One or more eligible organizations that may request access to and receive tracking data.

• ▪ Objekte oder Orte an fester Stelle (z.B. Räume) oder in Bewegung (z.B. Züge) können mit eindeutigen Markern versehen werden. Objekte oder Orte können mit mehreren Ausführungen des gleichen Markers ausgestattet werden (z.B. um gleichzeitiges Lesen zu ermöglichen) oder mit mehreren verschiedenen eindeutigen Markern (z.B. um separat gehandhabte Kontaktzonen auszuweisen).
• ▪ Personen, deren Anwesenheit an Objekten oder Orten oder deren Kontakte zu anderen Personen durch das Nachverfolgungssystem erfasst werden, können mit einem eindeutigen Nachverfolgungs-Marker versehen werden.
• ▪ Personen, die mit einem Marker-Lesegerät ausgestattet sind, können eindeutige Marker des Nachverfolgungssystems lesen und kommunizieren ihre eigene eindeutige Kennung und die Kennung des gelesenen Markers zu Servern des Nachverfolgungssystems, um einen Kontakt zu bestätigen. Personen, die mit einem Marker-Lesegerät ausgestattet sind, können auch mehrere eindeutige Nachverfolgungs-Marker lesen, um den Kontakt zwischen ihnen zu bestätigen. Personen, die mit einem Computersystem ausgestattet sind, können einen Webbrowser oder eine bestimmte Anwendung (App) verwenden, um Kontaktinformationen an Server des Nachverfolgungssystems zu übermitteln.
• ▪ Am Server des Nachverfolgungssystems können empfangene Kennungen von eindeutigen Markern eines Objekts, Orts oder einer Person genutzt werden, um die Anwesenheit der Person zu protokollieren, die das Marker-Lesegerät an einem bestimmten Objekt, Ort oder in direktem Kontakt mit einer anderen Person verwendete.

The tracking system has the following characteristics:

• ▪ Objects or places in a fixed position (eg rooms) or in motion (eg trains) can be provided with unique markers. Objects or locations can be provided with multiple instances of the same marker (e.g. to allow simultaneous reading) or with multiple different unique markers (e.g. to designate separately managed contact zones).
• ▪ Persons whose presence at objects or places or whose contacts with other persons are recorded by the tracking system can be provided with a unique tracking marker.
• ▪ Individuals equipped with a tag reader can read tracking system unique tags and communicate their own unique identifier and the identifier of the tag read to tracking system servers to confirm contact. Individuals equipped with a marker reader can also read multiple unique tracking markers to identify contact between to confirm them. Persons equipped with a computer system can use a web browser or a specific application (app) to submit contact information to servers of the tracking system.
• ▪ At the tracking system server, received identifiers from unique markers of an object, place or person can be used to log the presence of the person who used the marker reader at a specific object, place or in direct contact with another person.

• ▪ Marker des Nachverfolgungssystems können von unterschiedlichem Typ sein.
  • - Ein möglicher Typ eines Markers ist ein Matrix-Barcode-Etikett. Ein solcher zweidimensionaler Barcode wird auch als QR-Code (Quick Response Code) bezeichnet. Er enthält häufig Daten, die eine Web-Ressource in Form einer URL (Uniform Resource Locator) angeben.
  • - Marker können auch von einem anderen Typ sein, z.B. Barcodes (linearer oder eindimensionaler Barcode) oder RFID-Marker (Radio Frequency Identifier Tags) oder Bluetooth-Beacons oder Wifi-Geräte, die Beacon-Frames senden, oder auf andere Mittel basierend die geeignet sind einen Marker zu realisieren.
  • - Marker können auch vordefinierte Zeitdauern eines Kontakts enthalten, z.B. eine bestimmte Anzahl Minuten, Stunden oder Tage, oder sie können einen dauerhaften Kontakt repräsentieren, z.B. für Familienmitglieder, oder für ständig besuchte Orte oder kontinuierlich benutzte Objekte.
• ▪ Ein Bezugspunkt (BP) gibt einen bestimmten Punkt im dreidimensionalen Raum eines Ortes an.
  • - Ein BP kann mit einer standortspezifischen Kennung identifiziert werden und mit einem Marker des Nachverfolgungssystems gekennzeichnet werden, mit dem die ortsspezifische Kennung gelesen werden kann. Eine Möglichkeit, das Lesen der ortsspezifischen Kennung zu ermöglichen, besteht darin, den BP mit einem QR-Code zu markieren, der die ortsspezifische Kennung enthält.
  • - Ein Standort kann mit einem oder mehreren Markern ausgestattet sein.
  • - Jeder Marker eines Standorts kann eine eindeutige standortspezifische Kennung haben. In diesem Fall können verschiedene BPs an diesem Ort durch das Nachverfolgungssystem unterschieden werden.
    • - Alternativ ist es möglich, dass mehrere Marker an einem Standort die gleiche standortspezifische Kennung haben. In diesem Fall sind die Marker, die die gleiche standortspezifischen Kennung verwenden, demselben BP zugeordnet.
    • - Eine ortsspezifische Kennung des Nachverfolgungssystems kann in Form eines Binärwerts fester Länge, einer Zahl oder einer Textzeichenfolge dargestellt werden.
• ▪ Eine Ortsvorwahl ist eine numerische oder alphanumerische Kennung, die ein geografisches Gebiet angibt. Eine Möglichkeit für eine Ortsvorwahl ist eine Postleitzahl.
  • - Ein Ort kann einer Ortsvorwahl zugeordnet werden.
  • - Aufgrund der Tatsache, dass viele Personen einer Ortsvorwahl zugeordnet werden können, können statistische Informationen zu den mit der Ortsvorwahl verbundenen Personen auf datenschutzrechtliche Weise veröffentlicht werden.
• ▪ Personen sind über persönliche Kontaktinformationen (Personal Contact Information, PCI) erreichbar. Mögliche Varianten persönlicher Kontaktinformationen sind Telefonnummern und E-Mail-Adressen.
  • - Eine Telefonnummer ist eine Nummer, die beispielsweise gemäß des Standards E.164 formatiert ist und einem Gerät, einer Person, einer Organisation oder einem Dienst zugeordnet ist.
  • - Eine E-Mail-Adresse ist eine Adresse eines E-Mail-Dienstes, die einem Gerät, einer Person, einer Organisation oder einem Dienst zugeordnet ist. RFC 5322 gibt das Adressformat (addr-spec) von SMTP (Simple Mail Transfer Protocol) E-Mails an. Zusätzlich zur addr-spec kann die allgemein übliche E-Mail-Adresse auch einen Anzeigenamen, einen Kommentar oder beides enthalten.
    • - Es gibt anonyme E-Mail-Provider, die Nutzern anonyme E-Mail-Adressen zur Verfügung stellen. Das Nachverfolgungssystem ermöglicht es Nutzern, eine anonyme E-Mail-Adresse als persönliche Kontaktinformation anzugeben, wodurch ein hohes Maß an Datenschutz gewährleistet wird.
    • - Persönliche Kontaktinformationen können auch von anderer Art sein, z.B. in Form einer Instant-Messaging-Nutzer-Kennung oder in Form anderer Informationen, mit denen eine Person kontaktiert werden kann.
• ▪ Eine persönliche Identifikationsnummer (PIN) ist ein numerisches oder alphanumerisches Passwort (PW), das beim Prozess der Authentifizierung eines Nutzers, der auf ein System zugreift, verwendet wird.
  • - Das System ermöglicht es Personen, eine PIN oder ein PW zu wählen, um ihre persönlichen Daten einschließlich ihrer PCI zu schützen, wenn sie von Komponenten des Nachverfolgungssystems verarbeitet werden.
• ▪ Nutzer des Nachverfolgungssystems werden bei der Durchführung eines Nutzerregistrierungsverfahrens eindeutige Nutzerkennungen zugewiesen. Durch die Verwendung kryptografischer Hash-Funktionen zum Berechnen der Nutzer-ID basierend auf eingegebenen persönlichen Daten, z.B. persönlichen Kontaktinformationen oder PIN oder Passwort oder einer Kombination davon, wird die Eindeutigkeit der Nutzer-ID sichergestellt, während es unmöglich ist, persönliche Daten aus der Nutzer-ID zu rekonstruieren.
• ▪ Das Nachverfolgungssystem führt ein Protokoll, um Anwesenheits- und Kontaktinformationen zu sammeln.
  • - Ein Anwesenheitsdatensatz wird im Protokoll für jeden Nutzer gespeichert, der an einem bestimmten Ort mit ortsspezifischer Kennung anwesend war, und der eine authentifizierte Leseprozedur mit dem eindeutigen Marker dieses Ortes durchgeführt hat.
  • - Ein Kontaktdatensatz wird im Protokoll für jeden Nutzer gespeichert, der Kontakt mit einem bestimmten Objekt hatte, das durch eine eindeutige Nutzerkennung und eine objektspezifische Kennung identifiziert wurde, und der eine authentifizierte Leseprozedur mit dem eindeutigen Marker dieses Objekts durchgeführt hat.
  • - Ein Kontaktdatensatz wird im Protokoll für jeden Nutzer gespeichert, der Kontakt zu einem anderen Nutzer hatte, der durch eine eindeutige Nutzerkennung und eine personenbezogene Kennung identifiziert wurde, und der ein authentifiziertes Leseverfahren mit dem eindeutigen Marker dieses Nutzers durchgeführt hat.
  • - Das Protokoll sammelt verschlüsselte Datensätze und stellt so die datenschutzrechtliche Eigenschaft des Nachverfolgungssystems sicher. Da kryptografische Funktionen zum Verschlüsseln von Datensätzen mit Anwesenheits- und Kontaktinformationen verwendet werden, wird das Protokoll des Nachverfolgungssystems auch als Krypto-Protokoll bezeichnet.
  • - Anwesenheits- und Kontaktinformationen, die in verschlüsselter Form im Protokoll gespeichert sind, umfassen PCI, PIN und zusätzliche persönliche Attribute wie Geburtsjahr, Ortsvorwahl der Person und Attribute eines Orts wie Ortsvorwahl des Standorts und Ortsbeschreibungen.
  • - Das Nachverfolgungssystem verschlüsselt mit einem kryptografischen Schlüssel des Nachverfolgungssystems bestimmte Teile der Daten, die im Protokoll gespeichert sind und verhindert so unbefugten Zugriff auf die Daten.
  • - Das Nachverfolgungssystem verwendet andere spezifische Teile der Daten, die im Protokoll gespeichert sind, insbesondere PCI, unter Verwendung eines öffentlichen Schlüssels einer autorisierten Organisation, wodurch unbefugter Zugriff auf diese Teile der Daten verhindert wird. Dies verhindert den Zugang von Betreibern der Nachverfolgungsserver auf diese Teile der Daten zuzugreifen, und gewährleistet so ein hohes Maß an Datenschutz und IT-Sicherheit des Nachverfolgungssystems.
  • - Die Verschlüsselung bestimmter Teile der Daten, die im Protokoll gespeichert sind, einschließlich der PCI, kann unter Verwendung eines öffentlichen Schlüssels einer autorisierten Organisation innerhalb einer kryptografischen Funktion durchgeführt werden, die auf dem mobilen Kommunikationsgerät eines Nutzers des Systems ausgeführt wird.
  • - Die Verschlüsselung bestimmter Teile der Daten, die im Protokoll gespeichert sind, einschließlich der PCI, kann in einem Webbrowser des Mobilkommunikationsgeräts eines Nutzers durchgeführt werden, wodurch die Notwendigkeit eliminiert wird, eine bestimmte App auf diesem mobilen Kommunikationsgerät zu installieren.

The tracking system defines the following tracking data:

• ▪ Tracking system markers can be of different types.
  • - One possible type of marker is a matrix barcode label. Such a two-dimensional barcode is also referred to as a QR code (Quick Response Code). It often contains data identifying a web resource in the form of a URL (Uniform Resource Locator).
  • - Markers can also be of another type, e.g. barcodes (linear or one-dimensional barcode) or RFID markers (Radio Frequency Identifier Tags) or Bluetooth beacons or Wifi devices sending beacon frames, or any other means based as appropriate are to realize a marker.
  • - Markers can also contain predefined durations of contact, e.g. a certain number of minutes, hours or days, or they can represent a permanent contact, e.g. for family members, or for constantly visited places or continuously used objects.
• ▪ A reference point (BP) indicates a specific point in the three-dimensional space of a location.
  • - A BP can be identified with a site-specific identifier and tagged with a tracking system marker that can read the site-specific identifier. One way to enable reading of the site-specific identifier is to tag the BP with a QR code containing the site-specific identifier.
  • - A location can have one or more markers.
  • - Each marker of a location can have a unique location-specific identifier. In this case, different BPs at that location can be distinguished by the tracking system.
    • - Alternatively, it is possible that several markers at a location have the same location-specific identifier. In this case, the markers using the same site-specific identifier are associated with the same BP.
    • - A location specific identifier of the tracking system can be represented in the form of a fixed-length binary value, a number or a text string.
• ▪ An area code is a numeric or alphanumeric identifier that identifies a geographic area. One possibility for an area code is a zip code.
  • - A place can be assigned to an area code.
  • - Due to the fact that many people can be associated with an area code, statistical information on the people associated with the area code can be published in a privacy-friendly manner.
• ▪ Individuals can be reached via Personal Contact Information (PCI). Possible variants of personal contact information are telephone numbers and e-mail addresses.
  • - A phone number is a number, formatted according to the E.164 standard, for example, and associated with a device, person, organization, or service.
  • - An email address is an email service address associated with a device, person, organization, or service. RFC 5322 specifies the address format (addr-spec) of SMTP (Simple Mail Transfer Protocol) emails. In addition to the addr-spec, the common email address can also contain a display name, a comment, or both.
    • - There are anonymous email providers that provide users with anonymous email addresses. The tracking system allows users to provide an anonymous email address as personal contact information, ensuring a high level of privacy.
    • - Personal contact information may be of other types, such as an instant messaging user identifier or other information that can be used to contact an individual.
• ▪ A personal identification number (PIN) is a numeric or alphanumeric password (PW) used in the process of authenticating a user accessing a system.
  • - The system allows individuals to choose a PIN or PW to protect their personal data, including their PCI, when processed by components of the tracking system.
• ▪ Users of the tracking system are assigned unique user identifiers when performing a user registration process. Using cryptographic hash functions to calculate the user ID based on entered personal information, e.g. personal contact information or PIN or password or a combination thereof, ensures the uniqueness of the user ID while making it impossible to extract personal information from the user -ID to reconstruct.
• ▪ The tracking system maintains a log to collect attendance and contact information.
  • - A record of attendance is stored in the log for each user who was present at a given location with a location-specific identifier and who performed an authenticated read procedure with that location's unique marker.
  • A contact record is stored in the log for each user who has had contact with a given object, identified by a unique user identifier and an object-specific identifier, and who has performed an authenticated read procedure with that object's unique marker.
  • - A contact record is maintained in the log for each user who has had contact with another user, identified by a unique user identifier and a personally identifiable identifier, and who has performed an authenticated read procedure with that user's unique marker.
  • - The log collects encrypted records, thus ensuring the privacy-compliant nature of the tracking system. Because cryptographic functions are used to encrypt records of presence and contact information, the tracking system protocol is also known as the crypto protocol.
  • - Presence and contact information stored in encrypted form in the log includes PCI, PIN and additional personal attributes such as year of birth, person's area code and attributes of a location such as location area code and location descriptions.
  • - The tracking system uses a tracking system cryptographic key to encrypt certain parts of the data stored in the log, preventing unauthorized access to the data.
  • - The tracking system uses other specific parts of the data stored in the protocol, in particular PCI, using a public key of an authorized organization, which prevents unauthorized access to these parts of the data. This prevents tracking server operators from accessing these parts of the data, thus ensuring a high level of data protection and IT security of the tracking system.
  • - Encryption of certain parts of the data stored in the protocol, including the PCI, can be performed using a public key of an authorized organization within a cryptographic function running on the mobile communication device of a user of the system.
  • - Encryption of certain parts of the data stored in the protocol, including PCI, can be performed in a web browser of a user's mobile communication device, eliminating the need to install a specific app on that mobile communication device.

• ▪ Nutzerregistrierungsverfahren
• ▪ Nutzerauthentifizierungsverfahren
• ▪ Marker-Erstellungsverfahren
• ▪ Marker-Leseverfahren
• ▪ Verschlüsselte Protokollierung
• ▪ Nachverfolgungs-Autorisierungsverfahren
• ▪ Kontaktübertragungsverfahren
• ▪ Statistikübertragungsverfahren

The tracking system supports the following methods:

• ▪ User registration process
• ▪ User authentication procedure
• ▪ Marker creation process
• ▪ Marker reading method
• ▪ Encrypted logging
• ▪ Follow-up authorization process
• ▪ Contact Transfer Process
• ▪ Statistics transfer method

• ▪ Das Nachverfolgungssystem besteht aus mehreren Komponenten, einschließlich eines oder mehrerer Server.
  • - Jeder Server des Nachverfolgungssystems kann eines oder mehrere Verfahren der Menge von Verfahren des Nachverfolgungssystems unterstützen.
  • - Ein Server des Nachverfolgungssystems kann einem oder mehreren Servertypen zugeordnet werden, je nachdem welche Teilmenge der vom Server unterstützten Verfahren durchgeführt werden.
  • - Ein Servertyp kann ein Registrierungsserver sein, also ein Server der das Verfahren zur Registrierung und Authentifizierung von Nutzern, die Erstellung von Markern oder die Autorisierung zu Kontaktnachverfolgung unterstützt.
  • - Ein Servertyp kann ein Marker-Server sein, also ein Server der das Leseverfahren von Markern unterstützt.
  • - Ein Servertyp kann ein Protokollierungsserver sein, also ein Server der das verschlüsselte Protokollierungsverfahren, das Übertragen von Kontakten oder das Übertragen von Statistiken unterstützt.
  • - Es ist möglich, dass ein Server eines bestimmten Typs nicht nur ein oder mehrere Verfahren unterstützt, die für diesen Servertyp charakteristisch ist, sondern auch eine zusätzliche Untergruppe von Verfahren. Beispielsweise ist es möglich, dass ein Registrierungsserver auch das verschlüsselte Protokollierungsverfahren unterstützt.
  • - Eine charakteristische Eigenschaft des Nachverfolgungssystems ist, dass nicht jeder Servertyp und nicht jeder bestimmte Server alle Verfahren des Nachverfolgungssystems unterstützen muss. Diese Eigenschaft ermöglicht die Trennung von Daten und Funktionen des Nachverfolgungssystems, sowie von Zugriffsrechten von Administratoren zwischen verschiedenen Servern. Dadurch werden Datenschutz, IT-Sicherheit und Privatsphäre verbessert.
• ▪ Server des Nachverfolgungssystems werden von einem oder mehreren Betreibern betrieben.
  • - Verschiedene Server des Nachverfolgungssystems können von verschiedenen Betreibern betrieben werden, z.B. um Verantwortlichkeiten zu teilen oder zu trennen.
  • - Ein Betreiber eines Nachverfolgungsservers kann einen Servertyp betreiben, und ein anderer Betreiber kann einen anderen Typ Server betreiben, wodurch das Zugriffsrecht der Administratoren jedes Betreibers auf eine bestimmte Teilmenge von Servertypen beschränkt wird. Diese Eigenschaft kann Datenschutz, IT-Sicherheit und Privatsphäre des Nachverfolgungssystems weiter verbessern.

The tracking system servers may support one or more tracking system methods:

• ▪ The tracking system consists of several components, including one or more servers.
  • Each tracking system server may support one or more of the set of tracking system methods.
  • - A tracking system server may be associated with one or more server types, depending on the subset of the procedures supported by the server being performed.
  • - A server type can be a registration server, that is, a server that supports the process of registering and authenticating users, creating markers, or authorizing contact tracing.
  • - A server type can be a marker server, i.e. a server that supports reading markers.
  • - A server type can be a logging server, i.e. a server that supports the encrypted logging method, the transfer of contacts or the transfer of statistics.
  • - It is possible that a server of a certain type supports not only one or more methods that are characteristic of this server type, but also an additional subset of methods. For example, it is possible that a registration server also supports the encrypted logging method.
  • - A characteristic feature of the tracking system is that not every server type and not every specific server has to support all methods of the tracking system. This property allows the separation of data and functions of the tracking system, as well as administrator's access rights between different servers. This improves data protection, IT security and privacy.
• ▪ Tracking system servers are operated by one or more operators.
  • - Different servers of the tracking system can be operated by different operators, e.g. to share or separate responsibilities.
  • - An operator of a tracking server can run one type of server and another operator can run another type of server, thereby limiting the access rights of each operator's administrators to a specific subset of server types. This feature can further improve data protection, IT security and privacy of the tracking system.

• ▪ Bestimmte Organisationen können eine Berechtigung besitzen.
  • - Organisationen können eine Berechtigung erhalten, falls sie autorisiert sind mit spezifischen personenbezogenen Daten umzugehen.
  • - Spezifische personenbezogene Daten können sensible Gesundheitsinformationen enthalten. Zu den Organisationen, die sich mit Gesundheitsinformationen befassen, gehören Gesundheitsdienstleister und Gesundheitsbehörden.
  • - Ein Gesundheitsdienstleister erbringt Gesundheitsdienstleistungen für Menschen und ist berechtigt, mit sensiblen Gesundheitsinformationen von Nutzern gemäß der Gesetze und Vorschriften des Gesundheitswesens umzugehen.
  • - Eine Gesundheitsbehörde handelt im Namen der Regierung gemäß geltenden Rechts (z.B. des Infektionsschutzgesetzes).
• ▪ Um die Ausbreitung einer Infektionskrankheit zu begrenzen, kann eine Gesundheitsorganisation frühere Kontakte dieser Person nachverfolgen, wenn eine Person positiv auf eine Infektionskrankheit getestet wurde.
  • - Zur Umsetzung des Kenntnis-nur-bei-Bedarf-Prinzips für Gesundheitsorganisationen stellt der Nachverfolgungsdienstleister der Gesundheitsorganisation nur den gemäß einer Kontaktnachverfolgungs-Autorisierungs-Prozedur autorisierten Teil der Protokolldaten zur Verfügung. Die Durchführung dieser Prozedur ermöglicht es, dass die Erfordernisse des spezifischen Falls berücksichtigt werden, wodurch die Anforderungen des Kenntnis-nur-bei-Bedarf-Prinzips erfüllt werden.
  • - Diese Eigenschaft des Nachverfolgungssystems vermeidet, dass eine Behörde des öffentlichen Gesundheitswesens Zugriff auf alle von einem Nachverfolgungssystem protokollierten Anwesenheits- und Kontaktinformationen erhalten muss, um eine Kontaktnachverfolgung durchzuführen zu können, zu der sie rechtlich autorisiert ist.
  • - Die Kenntnis-nur-bei-Bedarf-Anforderungen spezifizieren das Zeitfenster, in dem die Gesundheitsorganisation Zugriff auf die verschlüsselten Protokolldaten bezüglich Anwesenheit und Kontakt einer infizierten Person erhält.
  • - Anwesenheits- und Kontaktinformationen einer infizierten Person enthalten Orte zusammen mit dem Zeitpunkt der Anwesenheit einer infizierten Person, sowie Zeit- und Ortsinformationen ihrer Kontakte, persönliche Kontaktinformationen der Kontaktpersonen und weitere Informationen zu physikalischen Substanzen, zu denen eine infizierte Person Kontakt hatte.
• ▪ Das Nachverfolgungssystem kann einer berechtigten Organisation bestimmte Daten bereitstellen.
  • - Die Bereitstellung von Zugriffsrechten einer berechtigten Organisation auf spezifische Daten erfordert, dass das Verfahren zur Autorisierung der Kontaktnachverfolgung erfolgreich durchgeführt wurde.
  • - Kryptografische Funktionen werden verwendet um sicherzustellen, dass die berechtigte Organisation nur Zugriff auf die spezifischen Daten erhält, für die sie erfolgreich autorisiert wurde.
  • - Ein Merkmal des Nachverfolgungssystems besteht darin, dass die berechtigte Organisation einen kryptografischen Schlüssel verwendet, um auf die spezifischen Informationen des Nachverfolgungssystems zuzugreifen, für welche sie autorisiert wurde.

The tracking systems may grant access to tracking data to authorized organizations:

• ▪ Certain organizations may have permission.
  • - Organizations can be granted permission if they are authorized to handle specific personal data.
  • - Specific personal data may contain sensitive health information. Organizations dealing with health information include health care providers and public health authorities.
  • - A healthcare provider provides healthcare services to humans and has the right to handle users' sensitive health information in accordance with healthcare laws and regulations.
  • - A health authority acts on behalf of the government in accordance with applicable law (e.g. the Infection Control Act).
• ▪ In order to limit the spread of an infectious disease, if a person tests positive for an infectious disease, a healthcare organization can trace previous contacts of that person.
  • - In order to implement the need-to-know principle for healthcare organizations, the tracking service provider only provides the healthcare organization with the authorized part of the log data according to a contact tracing authorization procedure. Performing this procedure allows the needs of the specific case to be taken into account, thereby meeting the requirements of the need-to-know principle.
  • - This feature of the tracing system avoids the need for a public health agency to have access to all attendance and contact information logged by a tracing system in order to conduct contact tracing to which it is legally authorized.
  • - The need-to-know requirements specify the window of time during which the healthcare organization is granted access to the encrypted log data relating to the presence and contact of an infected person.
  • - Presence and contact information of an infected person includes locations along with the time of presence of an infected person, as well as time and location information of their contacts, personal contact information of the contacts and other information on physical substances with which an infected person has been in contact.
• ▪ The tracking system may provide certain data to an authorized organization.
  • - Providing an authorized organization with access rights to specific data requires that the contact tracing authorization process has been successfully completed.
  • - Cryptographic functions are used to ensure that the authorized organization only has access to the specific data for which it has been successfully authorized.
  • - A feature of the tracking system is that the authorized organization uses a cryptographic key to access the specific tracking system information for which it has been authorized.

Detailed description

• Das Nachverfolgungssystem verwendet ein asymmetrisch kryptografisches Schema mit einem öffentlichen Schlüssel +k, einem privaten Schlüssel -k, einer Verschlüsselungsfunktion enc und einer Entschlüsselungsfunktion dec.

Details of the cryptographic features of the tracking system are explained below:

• The tracking system uses an asymmetric cryptographic scheme with a public key +k, a private key -k, an encryption function enc, and a decryption function dec.

For any data object m, any entity that knows the public key can generate a ciphertext c=enc (+k, m) using the public key +k.

Only the owner of the private key -k can decrypt the ciphertext to get the data object: m=dec (-k, c).

The tracking system uses tracking service provider public keys to encrypt certain data.

The tracking system uses public keys of authorized organizations +k_eo to encrypt certain data that should only be accessible to the authorized organization.

At the same time, the authorized organization is only granted access to this subset of the specific information encrypted with one of its public keys if a contact tracing authorization procedure has been successfully completed.

A cryptographic algorithm that can be used to generate encrypted data from the public key and the data object is OpenPGP, which was specified in RFC 4880 by the OpenPGP working group of the Internet Engineering Task Force (IETF). RFC 4880 specifies data formats for transmitting encrypted information. Specified packet formats include Public-Key Encrypted Session Key Packets (Tag 1). RFC 8017 specifies PKCS #1, RSA Cryptography Specifications Version 2.2, specifies RSA cryptographic primitives, encryption schemes, and ASN.1 syntax for representing keys and identifying the schemes. The encryption schemes specified in RFC 8017 include RSAES-OAEP, a scheme combining the RSA Encryption Primitive (RSAEP), the RSA Decryption Primitive (RSADP), and the EME-OAEP encoding method based on the Bellare and Rogaway optimal asymmetric encryption scheme .

Users of the system can be people who visit locations and may have contacts with other people at those locations, or people associated with a location equipped with a marker.

• ▪ 3 zeigt ein mobiles Kommunikationsgerät 601, die mit mehreren Servern eines Nachverfolgungssystems kommunizieren kann, einschließlich eines Registrierungsservers 603, eines MarkerMarker-Servers 602 und eines Protokollierungsservers 607.
• ▪ Das mobile Kommunikationsgerät 601 kann Daten zum Schutz der Privatsphäre unter Verwendung eines öffentlichen Schlüssels des Nachverfolgungssystems +k_ts 612 und unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation +k_eo 613 verschlüsseln.
• ▪ Das mobile Kommunikationsgerät 601 hat einen lokalen Speicher 604, der eine Nutzer-ID enthält, die von einem Server des Nachverfolgungssystems empfangen wurde, und einen Nutzerschlüssel, der aus einer kryptografischen Hash-Funktion auf dem Nutzergerät hervorgeht und so einen Hash-Wert produziert, der persönliche Kontaktinformationen und das Passwort enthält. Der lokale Speicher 604 enthält auch einen Datenelement-C-Kontakt, der das Ergebnis eines auf dem Nutzergerät ausgeführten Verfahren ist, das ein verschlüsseltes Datenelement unter Verwendung der kryptografischen Funktion eines/für einen öffentlichem Schlüssel erzeugt und das als öffentlichen Schlüssel den öffentlichen Schlüssel einer berechtigten Organisation und als Eingabedaten persönliche Kontaktinformationen verwendet.

3 shows relevant components of the tracking system:

• ▪ 3 Figure 6 shows a mobile communication device 601 that can communicate with multiple servers of a tracking system, including a registration server 603, a MarkerMarker server 602, and a logging server 607.
• ▪ The mobile communication device 601 may encrypt data for privacy protection using a tracking system public key +k_ts 612 and using a legitimate organization public key +k_eo 613 .
• ▪ The mobile communication device 601 has a local storage 604 containing a user ID received from a tracking system server and a user key resulting from a cryptographic hash function on the user device, thus producing a hash value, personal contact information and password contains. The local storage 604 also contains a data item C-Contact, which is the result of a process executed on the user device that generates an encrypted data item using the cryptographic function of/for a public key and which has as the public key the public key of an authorized user Organization and personal contact information used as input data.

• ▪ Nutzerregistrierungsverfahren
• ▪ Nutzerauthentifizierungsverfahren
• ▪ Marker-Erstellungsverfahren
• ▪ Marker-Leseverfahren
• ▪ Verschlüsselte Protokollierungsverfahren
• ▪ Nachverfolgungs-Autorisierungsverfahren
• ▪ Kontaktübertragungsverfahren
• ▪ Statistikübertragungsverfahren

With these components, the tracking system supports the following procedures:

• ▪ User registration process
• ▪ User authentication procedure
• ▪ Marker creation process
• ▪ Marker reading method
• ▪ Encrypted logging procedures
• ▪ Follow-up authorization process
• ▪ Contact Transfer Process
• ▪ Statistics transfer procedure

• ▪ Nutzer können ein Nutzerregistrierungsverfahren mit dem Nachverfolgungssystem durchführen.
  • - Bei der Registrierung einer Person gibt ein Nutzer des Nachverfolgungssystems persönliche Kontaktinformationen, eine PIN oder ein Passwort sowie Attribute der Person wie Ortsvorwahl und Alter ein.
  • - Das Nutzergerät und ein Server des Nachverfolgungssystems führen ein Registrierungsprotokoll durch, das kryptografische Verfahren einschließlich Verschlüsselungs- und kryptografischer Hash-Funktionen, mit kryptografischen Schlüsseln des Nachverfolgungssystems und der berechtigten Organisation, verwendet.
  • - Nach Abschluss des Registrierungsvorgangs hat das Nutzergerät eine lokale Datenstruktur mit einer Nutzer-ID eingerichtet und das Nachverfolgungssystem im Registrierungsprotokoll einen Eintrag, der ein Registrierungsdatensatz ist. Der Registrierungsdatensatz kann eine Nutzer-ID, einen nutzerspezifischen Schlüssel (als userkey bezeichnet) und verschlüsselte Daten mit Attributen der Person (wie Ortsvorwahl und Alter) enthalten.

The tracking system procedures are described in more detail below.

• ▪ Users can perform a user registration process with the tracking system.
  • - When registering an individual, a user of the tracking system enters personal contact information, a PIN or password, and attributes of the individual such as area code and age.
  • - The User Device and a tracking system server perform a registration protocol using cryptographic methods including encryption and cryptographic hash functions, with cryptographic keys of the tracking system and the authorized organization.
  • - After completing the registration process, the user device has established a local data structure with a user ID and the tracking system has an entry in the registration log, which is a registration record. The registration record may include a user ID, a user-specific key (referred to as a userkey), and encrypted data with attributes of the person (such as area code and age).

• ▪ Es kann Eingabedaten, einschließlich persönlicher Kontaktinformationen (PCI) und eines PIN-Codes oder Passworts (PW) sowie einer Länder- und/oder Ortsvorwahl und optionaler persönlicher Attribute wie Alter, erhalten.
• ▪ Es kann ein verschlüsseltes Datenelement (c-contact genannt) generieren, das persönliche Kontaktinformationen (PCI) enthält und von einer berechtigten Organisation entschlüsselt werden kann.
• ▪ Es kann eine lokale Struktur für personenbezogene Daten generieren, die persönliche Attribute wie Alter und Ortsvorwahl des Wohnsitzes, sowie das verschlüsselte Datenelement mit persönlichen Kontaktinformationen enthält.
• ▪ Es kann einen nutzerspezifischen Schlüssel (userkey genannt) generieren. Eine Möglichkeit den Nutzerschlüssel zu generieren besteht darin, dass ein Verfahren auf dem Nutzergerät ausgeführt wird, das einen Hashwert durch eine kryptografische Hashfunktion generiert und Eingabedaten aus der lokalen Struktur personenbezogener Daten verwendet.
• ▪ Es kann ein zusätzliches verschlüsseltes Datenelement mit Attributen (abgekürzt c-attributes) generieren. Zu den Attributen einer Person können die Ortsvorwahl des Wohnsitzes und das Alter gehören. Die Attribute werden so verschlüsselt, dass sie vom Nachverfolgungssystem entschlüsselt werden können. Das Datenelement mit der verschlüsselten Ortsvorwahl heißt c-area-code. Das Datenelement mit dem verschlüsselten Alter heißt c-age.
• ▪ Es kann eine Registrierungsnachricht mithilfe einer Datenstruktur verfassen, die den nutzerspezifischen Schlüssel (userkey) und die persönlichen Attribute (c-attributes) enthält, die vom Nachverfolgungsdienstanbieter entschlüsselt werden können, und sendet die Registrierungsnachricht an den Registrierungsserver des Nachverfolgungssystems.
• ▪ Es kann vom Nachverfolgungssystem eine eindeutige Nutzer-ID (userid genannt) erhalten. Eine Möglichkeit zum Generieren des Nutzerschlüssels besteht darin, dass der Registrierungsserver ein Verfahren ausführt, das mithilfe einer kryptografischen Hashfunktion einen Hashwert generiert und Eingabedaten aus der Registrierungsnachricht verwendet.
• ▪ Es kann den Registrierungsvorgang auf dem Nutzergerät abschließen, indem es die lokale Struktur der persönlichen Daten aktualisiert, die folgende Datenelemente enthält: userkey, userid, c-contact und c-attributes (mit c-area-code und c-age).

The user registration process may include the following technical features:

• ▪ It may receive input data including personal contact information (PCI) and a PIN code or password (PW) as well as a country and/or area code and optional personal attributes such as age.
• ▪ It can generate an encrypted data element (called c-contact) containing personal contact information (PCI) that can be decrypted by an authorized organization.
• ▪ It can generate a local structure for personal data containing personal attributes such as age and area code of residence, and the encrypted data element with personal contact information.
• ▪ It can generate a user-specific key (called userkey). One way to generate the user key is to run a process on the user device that generates a hash value through a cryptographic hash function and uses input data from the local structure of personal data.
• ▪ It can generate an additional encrypted data element with attributes (abbreviated c-attributes). Attributes of a person may include area code of residence and age. The attributes are encrypted in a way that the tracking system can decrypt them. The data element with the encrypted area code is called c-area-code. The data element with the encrypted age is called c-age.
• ▪ It can compose a registration message using a data structure containing the user-specific key (userkey) and personal attributes (c-attributes) that can be decrypted by the tracking service provider, and sends the registration message to the tracking system's registration server.
• ▪ It can be given a unique user ID (called userid) by the tracking system. One way to generate the user key is for the registration server to perform a hashing process using a cryptographic hash function and using input data from the registration message.
• ▪ It can complete the registration process on the user device by updating the local structure of the personal data, which includes the following data elements: userkey, userid, c-contact and c-attributes (with c-area-code and c-age).

• ▪ 4 zeigt die Komponenten des Nachverfolgungssystems, die an der Nutzerregistrierung beteiligt sind: das mobile Kommunikationsgerät 601 und den Registrierungsserver 603 mit seinem DNS-Namen 606.
• ▪ 4 zeigt eine Möglichkeit, das Datenelement userkey (Nutzerschlüssel) des lokalen Speichers 604 zu erzeugen, indem als Input der kryptografischen Hash-Funktion SHA256 folgende Datenelemente verwendet werden: als persönliche Kontaktinformationen die Telefonnummer 0170/123456789 und als Passwort PW die Zeichenfolge Mypassword. Der generierte kryptografische Hashwert ist ein 256bit langer Binärwert mit der Zeichendarstellung chpwdXYZ 605.
• ▪ 5 zeigt eine erste Nachricht 700, die in der Nutzerregistrierung vom mobilen Kommunikationsgerät 601 an den Registrierungsserver 603 gesendet wird, die als Klartextdatei den Nutzerschlüssel 701 enthält, und die eine Datenstruktur 702 mit verschlüsselten Attributen enthält, in diesem Beispiel mit zwei verschlüsselten Datenelementen, in diesem Beispiel c-area-code und c-age. Das erste verschlüsselte Datenelement c-area-code wird auf dem mobilen Kommunikationsgerät des Nutzers, durch eine kryptografische Funktion des Nachverfolgungssystems, mit einem öffentlichen Schlüssel +k_ts und der Ortsvorwahl erzeugt. Das zweite verschlüsselte Datenelement c-age wird auf dem mobilen Kommunikationsgerät des Nutzers durch eine kryptografische Funktion mit einem öffentlichen Schlüssel des Nachverfolgungssystems +k_ts und dem Alter des Nutzers erzeugt.
• ▪ 6 zeigt eine zweite Nachricht 703, die in der Nutzerregistrierung vom Registrierungsserver an das mobile Kommunikationsgerät gesendet wird und eine Nutzer-ID enthält, die anschließend im lokalen Speicher des mobilen Kommunikationsgeräts gespeichert wird.

the 4 , 5 and 6 show details of a possible instantiation of the user registration process.

• ▪ 4 shows the components of the tracking system involved in user registration: the mobile communication device 601 and the registration server 603 with its DNS name 606.
• ▪ 4 shows a possibility to generate the data element userkey (user key) of the local storage 604 by using the following data elements as input of the cryptographic hash function SHA256: as personal contact information the telephone number 0170/123456789 and as the password PW the string Mypassword. The cryptographic hash value generated is a 256-bit binary value with the character representation chpwdXYZ 605.
• ▪ 5 shows a first message 700, which is sent in the user registration from the mobile communication device 601 to the registration server 603, which contains the user key 701 as a plain text file, and which contains a data structure 702 with encrypted attributes, in this example with two encrypted data elements, in this example c-area code and c-age. The first encrypted data element c-area-code is generated on the user's mobile communication device, by a cryptographic function of the tracking system, with a public key +k_ts and the area code. The second encrypted data element c-age is generated on the user's mobile communication device by a cryptographic function with a public key of the tracking system +k_ts and the user's age.
• ▪ 6 Figure 7 shows a second message 703 that is sent in the user registration from the registration server to the mobile communication device and contains a user ID that is subsequently stored in the local memory of the mobile communication device.

• ▪ Das Nachverfolgungssystem kann eine Nutzerauthentifizierung durchführen, indem überprüft wird, ob eine bestimmte Person sowohl die persönlichen Kontaktinformationen als auch das Passwort kennt.
• ▪ Bei der Durchführung der Nutzerauthentifizierung muss ein Nutzer beide Informationselemente, die persönlichen Kontaktinformationen und das Passwort, in sein mobiles Kommunikationsgerät eingeben, worauf dort ein nutzerspezifischer Schlüssel (userkey) generiert wird. Eine Möglichkeit, den Nutzerschlüssel zu generieren, besteht darin auf dem Nutzergerät, unter Verwendung einer kryptografischen Hashfunktion, einen Hashwert aus persönlichen Kontaktinformationen und dem Passwort zu generieren. Der resultierende kryptografische Hash mit dem nutzerspezifischen Schlüssel (userkey) wird an einen Server des Nachverfolgungssystems übertragen, wo er mit einem gespeicherten Nutzerschlüssel verglichen werden kann. Stimmen die Schlüssel miteinander überein, war die Nutzerauthentifizierung erfolgreich, was impliziert, dass der authentische Nutzer die Nutzerauthentifizierung durchgeführt hat.
• ▪ Das Nachverfolgungssystem ist in der Lage, Nutzerauthentifizierungen mit einer beliebigen Anzahl von Nachrichten durchzuführen, die ein mobiles Kommunikationsgerät zu einem Server des Nachverfolgungssystems sendet, durch Einfügen eines nutzerspezifischen Schlüssels (userkey) in diese Nachrichten. Eine Nutzerauthentifizierung mit einer beliebigen Anzahl von Nachrichten kann durchgeführt werden, wenn diesen Nachrichten ein Datenelement beigefügt wird, das den nutzerspezifischen Schlüssel (userkey) in Form eines HTTP-Cookies enthält, wie dies in RFC 6265 angegeben ist.

Tracking system users may perform user authentication to gain access to additional procedures for registered users.

• ▪ The tracking system can perform user authentication by verifying that a specific individual knows both personal contact information and password.
• ▪ When performing user authentication, a user must enter both information elements, personal contact information and the password, into their mobile communication device, whereupon a user-specific key (userkey) is generated there. One way to generate the user key is to generate a hash value from personal contact information and the password on the user device using a cryptographic hash function. The resulting cryptographic hash with the user-specific key (userkey) is transmitted to a server of the tracking system, where it can be compared with a stored user key. If the keys match, the user authentication was successful, which implies that the authentic user performed the user authentication.
• ▪ The tracking system is able to perform user authentications with any number of messages that a mobile communication device sends to a server of the tracking system by inserting a user-specific key (userkey) into these messages. User authentication can be performed with any number of messages if those messages are accompanied by a data element containing the user-specific key (userkey) in the form of an HTTP cookie, as specified in RFC 6265.

Locations can be registered in the tracking system by performing location registration.

• ▪ Bei der Registrierung eines Standorts gibt ein Nutzer des Nachverfolgungssystems die Kontaktinformationen einer Person oder Organisation, die dem Standort zugeordnet ist, eine PIN oder ein Kennwort, sowie Standortattribute wie die Ortsvorwahl und eine Standortbeschreibung ein.
• ▪ Wie bei der Nutzerregistrierung führen das Nutzergerät und ein Server des Nachverfolgungssystems ein Registrierungsprotokoll durch, das kryptografische Funktionen einschließlich Verschlüsselungs- und kryptografischer Hashfunktionen mit kryptografischen Schlüsseln des Nachverfolgungssystems und der berechtigten Organisation verwendet.
• ▪ Wie im Fall des Registrierungsverfahrens für Personen hat das Nutzergerät nach Abschluss des Registrierungsverfahrens eine lokale Datenstruktur mit einer Nutzer-ID (userid) eingerichtet und das Nachverfolgungssystem hat in seinem Registrierungsprotokoll einen Registrierungsdatensatz eingetragen. Der Registrierungsdatensatz kann eine Nutzer-ID (userid), einen nutzerspezifischen Schlüssel (userkey) und verschlüsselte Daten mit Attributen des Standorts (wie Ortsvorwahl und Standortbeschreibung) enthalten.

Technically, there does not have to be a difference in the registration process of people and places. One difference is in the content of the attributes. Attributes of a location can include one or more location descriptions, while attributes of a person can include personal information such as age.

• ▪ When registering a location, a user of the tracking system enters the contact information of a person or organization associated with the location, a PIN or password, and location attributes such as area code and a location description.
• ▪ As with user registration, the user device and a tracking system server perform a registration protocol that uses cryptographic functions including encryption and cryptographic hashing functions with cryptographic keys of the tracking system and legitimate organization.
• ▪ As in the case of the registration procedure for persons, after the registration procedure is completed, the user device has established a local data structure with a user ID (userid) and the tracking system has entered a registration record in its registration log. The registration record may contain a user ID (userid), a user-specific key (userkey) and encrypted data with attributes of the location (such as area code and location description).

• ▪ Ein bemerkenswerter Unterschied zwischen den technischen Funktionen der Standortregistrierung und der Personenregistrierung besteht darin, dass das verschlüsselte Datenelement mit Attributen (abgekürzte c-attributes) unterschiedliche Attribute enthalten kann (ortsspezifische Attribute anstelle von personenbezogenen Attributen). Attribute eines Standorts können eine oder mehrere Standortbeschreibungen enthalten. Datenelemente mit verschlüsselten Standortbeschreibungen werden als c-loc-des bezeichnet.
• ▪ Nach Abschluss des Standortregistrierungsvorgangs verfügt das Nutzergerät über eine lokale Standortdatenstruktur, die folgende Datenelemente enthält: userid, userkey, c-contact und c-attributes (mit c-area-code und c-loc-des).

The location registration process may include the same technical features as the person registration process.

• ▪ A notable difference between the technical functions of location registration and person registration is that the encrypted data element with attributes (abbreviated c-attributes) can contain different attributes (site-specific attributes instead of person-related attributes). Attributes of a location can contain one or more location descriptions. Data elements with encrypted location descriptions are referred to as c-loc-des.
• ▪ After completing the location registration process, the user device has a local location data structure that contains the following data elements: userid, userkey, c-contact and c-attributes (with c-area-code and c-loc-des).

• ▪ Nach Abschluss eines Registrierungsvorgangs für eine Person oder einen Ort hat das Nutzergerät eine lokale Datenstruktur mit einer Nutzer-ID eingerichtet. Bei der Marker-Erstellung wird ein personenbezogener oder ein ortsspezifischer Marker erzeugt, der von mobilen Kommunikationsgeräten gelesen werden kann, die das Nachverfolgungssystem verwenden.
• ▪ QR-Code-Marker sind ein wichtiger Typ von Markern für das Nachverfolgungssystem. Eine Möglichkeit, einen QR-Code-Marker für eine Person oder einen Ort zu erstellen, ist eine URL mit dem Protokoll und dem Domänennamen eines Scan-Servers des Nachverfolgungssystems zu erstellen, gefolgt von einem Pfad, der eine Zeichenfolgendarstellung der Nutzer-ID enthält.
• ▪ Wenn in diesem Beispiel das Protokoll https ist, der Domänenname des Scan-Servers tag.qroniton.eu lautet und der Pfad mit der Zeichenfolgendarstellung der userid 123 ist, resultiert daraus die Tag-URL: https://tag.qroniton.eu/123
• ▪ Der resultierende QR-Code, der diese URL enthält, ist spezifisch für eine Person oder einen Ort.

Authenticated users can perform a marker creation process.

• ▪ After completing a registration process for a person or place, the user device has established a local data structure with a user ID. Marker creation creates a personal or location-specific marker that can be read by mobile communication devices using the tracking system.
• ▪ QR code markers are an important type of marker for the tracking system. One way to create a QR code marker for a person or place is to create a URL containing the protocol and domain name of a tracking system scan server, followed by a path containing a string representation of the user ID.
• ▪ In this example, if the protocol is https, the domain name of the scan server is tag.qroniton.eu and the path containing the string representation of the userid is 123, the resulting tag URL is: https://tag.qroniton.eu/ 123
• ▪ The resulting QR code containing this URL is specific to a person or place.

• ▪ Um ein Marker-Leseverfahren durchzuführen muss ein Marker-Lesegerät eines Nutzers des Nachverfolgungssystems die Informationen eines Markers auslesen.
• ▪ Anschließend kontaktiert das Marker-Lesegerät einen Server des Nachverfolgungssystems unter Verwendung der Informationen, die es aus dem Marker ausgelesen hat.
• ▪ Für die Kontaktaufnahme mit einem Server des Nachverfolgungssystems leitet ein Marker-Lesegerät aus den vom Marker ausgelesenen Informationen eine URL ab, die eine bestimmte Ressource eines Servers des Nachverfolgungssystems angibt.
• ▪ Falls die vom Marker ausgelesene URL eine Internetressource ist, die auf dem Server des Nachverfolgungssystems zugänglich ist, kann das Marker-Lesegerät das HTTP-Protokoll für die Kommunikation mit dem Server des Nachverfolgungssystems verwenden.
• ▪ Wenn die aus dem Marker ausgelesene URL eine Internetressource mit dem HTTPS-Protokoll ist, richtet das Marker-Lesegerät vor dem Austausch von HTTP-Nachrichten mit dem Server des Nachverfolgungssystems eine TLS-Sitzung (Transport Layer Security Sitzung) ein.
• ▪ Wenn der Marker ein QR-Code ist, kann das mobile Kommunikationsgerät eine App verwenden, die den QR-Code dekodieren und die URL extrahieren kann.
• ▪ Falls das Marker-Lesegerät so konfiguriert ist, dass eine App, die einen QR-Code decodieren und eine URL aus dem QR-Code extrahieren kann, werden die decodierte URL an den Webbrowser des mobilen Kommunikationsgeräts weitergeleitet. Der Webbrowser, des Geräts richtet eine Sitzung mit dem Webserver des Nachverfolgungssystems ein und greift auf die Webressource auf dem Webserver zu, die im QR-Code angegeben ist. Der Webbrowser des Marker-Lesegeräts kann diesen Zugriff auf eine Webressource in Form einer HTTP-GET-Anforderung auf einen Server ausführen, der durch den DNS-Namen der URL und den durch den im Pfadabschnitt der URL angegeben Pfad spezifiziert ist.
• ▪ Falls der lokale Speicher des mobilen Kommunikationsgeräts die Daten enthält, die während der Nutzerregistrierung und der Nutzerauthentifizierung gebildet wurden, überträgt das Marker-Lesegerät nutzerspezifische Daten zu dem kontaktierten Server des Nachverfolgungssystems. Dieser Datensatz enthält eine nutzerspezifische Kennung (userid).
• ▪ Das Marker-Lesegerät kann ein Datenelement übertragen, das die nutzerspezifische Kennung (userid) in Form eines HTTP- Cookies enthält, wie in RFC 6265 spezifiziert.
• ▪ Nach dem Zugriff auf die Ressource des Nachverfolgungsservers, der durch die URL des Markers angegeben ist, und der Übertragung des Datensatzes, der eine nutzerspezifische Kennung (userid) enthält, kann der kontaktierte Server des Nachverfolgungssystems erkennen, dass er durch ein Marker-Lesegerät kontaktiert wurde, das eine Nutzerregistrierung und eine Nutzerauthentifizierung durchgeführt hat.
• ▪ Wenn ein Marker-Lesegerät den Server des Nachverfolgungssystems kontaktiert und keine Datenstruktur mit einer nutzerspezifischen Kennung (userid) überträgt, die aus der Nutzerregistrierung erhalten wurde, kann der kontaktierte Server Daten an das Marker-Lesegerät übertragen, das über die Notwendigkeit einer Nutzerregistrierung informiert. Der Server des Nachverfolgungssystems kann direkt einleiten, dass das Marker-Lesegerät eine Nutzeroberfläche der Nutzerregistrierungsverfahren anzeigt.

Authenticated users can perform a marker reading process.

• ▪ In order to perform a marker reading procedure, a marker reader of a tracking system user must read the information of a marker.
• ▪ The marker reader then contacts a tracking system server using the information it read from the marker.
• ▪ In order to contact a tracking system server, a marker reader derives from the information read from the marker a URL that specifies a specific resource of a tracking system server.
• ▪ If the URL read from the marker is an internet resource accessible on the tracking system server, the marker reader can use the HTTP protocol to communicate with the tracking system server.
• ▪ If the URL read from the marker is an Internet resource using the HTTPS protocol, the marker reader establishes a TLS (Transport Layer Security) session with the tracking system server before exchanging HTTP messages.
• ▪ If the marker is a QR code, the mobile communication device can use an app that can decode the QR code and extract the URL.
• ▪ If the marker reader is configured to allow an app that can decode a QR code and extract a URL from the QR code, the decoded URL will be forwarded to the web browser of the mobile communication device. The device's web browser establishes a session with the tracking system's web server and accesses the web resource on the web server specified in the QR code. The marker reader's web browser can perform this access to a web resource in the form of an HTTP GET request to a server specified by the DNS name of the URL and the path specified by the path portion of the URL.
• ▪ If the local storage of the mobile communication device contains the data that During user registration and user authentication, the tag reader transmits user-specific data to the contacted tracking system server. This record contains a user-specific identifier (userid).
• ▪ The marker reader can transmit a data element containing the user-specific identifier (userid) in the form of an HTTP cookie, as specified in RFC 6265.
• ▪ After accessing the resource of the tracking server specified by the marker's URL and transmitting the record containing a user-specific identifier (userid), the contacted tracking system server can recognize that it is contacting through a marker reader that has performed user registration and user authentication.
• ▪ If a marker reader contacts the tracking system server and does not transmit a data structure with a user-specific identifier (userid) obtained from user registration, the contacted server can transmit data to the marker reader notifying the need for user registration. The tracking system server can directly initiate the tag reader to display a user interface of the user registration procedures.

• ▪ 7 zeigt die beteiligten Komponenten des Nachverfolgungssystems: ein Marker 801 in Form eines QR-Codes, der als Information eine URL 802 enthält, ein mobiles Kommunikationsgerät 601 mit lokalem Speicher 604, das eine Datenstruktur enthält, die Datenelemente für userid, userkey und c-contact enthält, ein Scan-Server 602 mit einem DNS-Namen 607 und ein Registrierungsserver 603 mit einem DNS-Namen 606.
• ▪ In dem in 7 gezeigten Beispiel liest das mobile Kommunikationsgerät 601 die Informationen von dem Marker 801, das die URL https://tag.qroniton.eu/123 enthält.
• ▪ 8 zeigt eine erste Nachricht des Marker-Leseverfahrens, bei der das mobile Kommunikationsgerät den Marker-Server mit dem DNS-Namen tag.qroniton.eu mit einer http-get-Anforderung auf den Pfad 123 kontaktiert.
• ▪ 9 zeigt eine zweite Nachricht des Marker-Leseverfahrens, bei der der Marker-Server mit dem DNS-Namen tag.qroniton.eu mit einer Nachricht 804 mit der Datenstruktur 805 antwortet, die zwei Datenelemente enthält, wobei ein erstes Datenelement die userid des Markers ist (in diesem Beispiel mit der Zeichenfolgendarstellung 123) und ein zweites Datenelement, der sitekey ist, ein eindeutiger Schlüssel, der für diesen Ort in dem bestimmten Zeitfenster spezifisch ist. Das mobile Kommunikationsgerät kann anschließend beide Datenelemente in seinem lokalen Speicher 604 speichern.

7 , 8th and 9 show details of a possible instantiation of the marker reading method.

• ▪ 7 shows the components involved in the tracking system: a marker 801 in the form of a QR code containing a URL 802 as information, a mobile communication device 601 with local storage 604 containing a data structure containing data elements for userid, userkey and c-contact , a scan server 602 with a DNS name 607 and a registration server 603 with a DNS name 606.
• ▪ In the in 7 example shown, the mobile communication device 601 reads the information from the tag 801, which contains the URL https://tag.qroniton.eu/123.
• ▪ 8th shows a first message of the marker reading method, in which the mobile communication device contacts the marker server with the DNS name tag.qroniton.eu with an http get request on the path 123.
• ▪ 9 Figure 12 shows a second message of the marker reading method, in which the marker server with DNS name tag.qroniton.eu responds with a message 804 with data structure 805 containing two data elements, where a first data element is the userid of the marker ( in this example with the string representation 123) and a second piece of data that is sitekey, a unique key specific to that location in the particular time slot. The mobile communication device can then store both data items in its local storage 604 .

• ▪ Nachdem das Marker-Leseverfahren durchgeführt wurde, wird das verschlüsselte Protokollierungsverfahren von dem mobilen Kommunikationsgerät durchgeführt, mit der Absicht verschlüsselte Anwesenheits- oder Kontaktinformationen an den Protokollierungsserver des Nachverfolgungssystems zu übertragen, welches ein kryptografisches Protokoll beibehält. Das kryptografische Protokoll enthält Datensätze, die so verschlüsselt sind, dass die Kontaktnachverfolgung nur in den Fällen durchgeführt werden kann, in denen ein Nutzer das Nachverfolgungssystem zur Durchführung der Kontaktnachverfolgung autorisiert hat.

Authorized users can carry out an encrypted logging procedure.

• ▪ After the marker reading process has been performed, the encrypted logging process is performed by the mobile communication device with the intention of transmitting encrypted presence or contact information to the tracking system's logging server, which maintains a cryptographic log. The cryptographic log contains records that are encrypted in such a way that contact tracing can only be performed in cases where a user has authorized the tracing system to perform contact tracing.

• ▪ 10 zeigt das mobile Kommunikationsgerät 601, das eine Nachricht mit einer Datenstruktur 807 an den Protokollierungsserver 608 mit dem DNS-Namen log.qroniton.eu 609 sendet. Die Datenstruktur 807 kann mehrere Datenelemente enthalten, die anschließend im kryptografischen Protokoll des Protokollierungsservers gespeichert werden. Im Beispiel von 10 enthält die Datenstruktur 807 die folgenden Datenelemente: Die Datenstruktur 807 enthält die userid1 des Marker, das in dem Marker Leseverfahren gelesen wurde, das direkt vor dem verschlüsselten Protokollierungsverfahren durchgeführt wurde, und übermittelt die Information, dass sich das mobile Kommunikationsgerät an dem Ort befand, der mit dem Marker 801 markiert ist. Die Datenstruktur 807 enthält die userid2 des Nutzers des mobilen Kommunikationsgeräts, welche zeigt, dass die mit dem mobilen Kommunikationsgerät assoziierte Person an dem mit dem Marker 801 gekennzeichneten Ort anwesend war. Die Datenstruktur 807 enthält auch das Datenelement der siteid, die auf dem mobilen Kommunikationsgerät durch das Ausführen einer kryptografischen Hash-Funktion generiert wurde, mit dem Dateninput des sitekey, welchen das mobile Kommunikationsgerät aus dem Marker-Leseverfahren erhielt. Die Datenstruktur 807 enthält auch das verschlüsselte Datenelement sitekey, das durch eine symmetrische kryptografische Funktion erzeugt wurde, in dem Beispiel von 10 AES, wobei der kryptografische Schlüssel den kryptografischen Hashwert userkey=chpwdXYZ aus dem Passwort und als Dateninput dem sitekey erzeugt hat. Die Datenstruktur 807 enthält auch den verschlüsselten Datenelementkontakt, der durch eine symmetrische kryptografische Funktion erzeugt wurde, im Beispiel von 10 AES, mit einem kryptografischen Schlüssel, dem sitekey, der aus dem Marker-Leseverfahren erhalten wurde, und als Dateninput das verschlüsselte Datenelement c-contact aus dem lokalen Speicher.

10 show details of a possible instantiation of the encrypted logging method.

• ▪ 10 shows the mobile communication device 601 sending a message with a data structure 807 to the logging server 608 with the DNS name log.qroniton.eu 609. The data structure 807 may contain multiple data elements, which are then stored in the logging server's cryptographic log. In the example of 10 Data structure 807 contains the following data elements: Data structure 807 contains the userid1 of the marker that was read in the marker reading procedure that was carried out directly before the encrypted logging procedure and conveys the information that the mobile communication device was at the location that is marked with the marker 801. The data structure 807 contains the userid2 of the user of the mobile communication device, which shows that the person associated with the mobile communication device was present at the location marked with the marker 801 . The data structure 807 also contains the data element of the siteid, which was generated on the mobile communication device by executing a cryptographic hash function, with the data input of the sitekey, which the mobile communication device obtained from the marker reading method received. Data structure 807 also contains the encrypted data element sitekey generated by a symmetric cryptographic function, in the example of FIG 10 AES, where the cryptographic key generated the cryptographic hash value userkey=chpwdXYZ from the password and the sitekey as data input. The data structure 807 also contains the encrypted data element contact generated by a symmetric cryptographic function, in the example of 10 AES, with a cryptographic key, the sitekey obtained from the marker reading procedure, and as data input the encrypted data element c-contact from local storage.

• ▪ In Fällen, in denen ein Nutzer zum Ausdruck bringen möchte, dass seine Kontakt- und Anwesenheitsinformationen, die von einem Protokollierungsserver des Nachverfolgungssystems gespeicherten wurden, zur Durchführung der Kontaktnachverfolgung verwendet werden können, gibt der Nutzer sein Passwort ein, wenn er aufgefordert wird, die Kontaktnachverfolgung zu autorisieren.
• ▪ Eine Möglichkeit, die Kontaktnachverfolgung zu autorisieren, besteht darin, dass der Nutzer mit seinem mobilen Kommunikationsgerät ein bestimmter Marker für die Autorisierung der Kontaktnachverfolgung liest und anschließend seine persönlichen Kontaktinformationen und sein Passwort eingibt.

Users can perform a tracking authorization process.

• ▪ In cases where a user wishes to express that their contact and presence information stored by a tracking system logging server may be used to perform contact tracing, the user will enter their password when prompted to provide the authorize contact tracing.
• ▪ One way to authorize contact tracing is for the user to use their mobile communication device to read a specific contact tracing authorization marker and then enter their personal contact information and password.

• ▪ Nutzer können ausdrücken, dass die Informationen über ihre Kontakte zu einer berechtigten Organisation übertragen werden, durch Eingabe ihrer persönlichen Kontaktinformationen und ihr Passwort ein, wenn angefragt wird, die Kontaktübertragung zu autorisieren.

Users can perform a contact transfer procedure.

• ▪ Users can indicate that information about their contacts will be transferred to an authorized organization by entering their personal contact information and password when asked to authorize contact transfer.

• ▪ Ein Nutzer kann sein mobiles Kommunikationsgerät verwenden, um Verfahren zur Übertragung von Statistiken zu initiieren. Eine Möglichkeit zum Starten dieses Verfahrens besteht darin, dass das Nutzergerät einen bestimmten Marker liest, der für diesen Zweck erzeugt wurde. Eine andere Möglichkeit zum Einleiten des Verfahrens zur Übertragung von Statistiken besteht darin, dass ein Nutzer mit seinem mobilen Kommunikationsgerät eine Statistikwebseite des Nachverfolgungssystems besucht und eine Nutzerauthentifizierung durchführt. Das Ergebnis des Verfahrens zur Übertragung von Statistiken kann umfassen, dass die Benutzeroberfläche des mobilen Kommunikationsgeräts nutzerspezifische Statistiken anzeigt, wie in den Elementen 14 und 15 von 1 dargestellt wird.

Users can carry out a procedure for the transmission of statistics.

• ▪ A user can use his mobile communication device to initiate procedures for the transmission of statistics. One way to start this process is for the user device to read a specific marker created for this purpose. Another possibility for initiating the method for transmitting statistics is that a user visits a statistics website of the tracking system with his mobile communication device and carries out a user authentication. The outcome of the method of transmitting statistics may include the user interface of the mobile communication device displaying user-specific statistics, as in items 14 and 15 of FIG 1 is shown.

• ▪ Nicht alle Funktionen aller Verfahren des Nachverfolgungssystems müssen von Servern eines Betreibers von Nachverfolgungsservern ausgeführt werden.
  • - Alternativ können bestimmte Funktionen und Verfahren des Nachverfolgungssystems von bestimmten Apps auf dem mobilen Kommunikationsgerät eines Nutzers ausgeführt werden.
  • - Eine Möglichkeit für eine App, die ein Verfahren des Nachverfolgungssystems auf dem mobilen Kommunikationsgerät eines Nutzers umsetzen kann, ist eine App, die das Marker- Leseverfahren durchführt.
  • - Eine andere Möglichkeit für eine App, die ein Verfahren des Nachverfolgungssystems auf dem mobilen Kommunikationsgerät eines Nutzers umsetzen kann, ist eine App, die das verschlüsselte Protokollierungsverfahren durchführt.
  • - In beiden Fällen müssen diese Apps Funktionen für das Autorisierungsverfahren des Nachverfolgungssystems unterstützen, damit die von der App gespeicherten Daten einer berechtigten Organisation zugänglich gemacht werden können, um in einem autorisierten Fall Kontakt- und Anwesenheitsinformationen einer bestimmten Person zu verfolgen.
• ▪ Die Architektur des Nachverfolgungssystems ermöglicht eine weitere Verbesserung in Bezug auf Datenschutz, IT-Sicherheit und Privatsphäre, indem mehrere unabhängige Nachverfolgungsdienstanbieter mehrere Nachverfolgungssysteme parallel betreiben können, wodurch der Datenumfang, den jedes Nachverfolgungssystem sammelt, begrenzt wird.
  • - Wenn mehrere Nachverfolgungssysteme parallel betrieben werden, kann eine einzelne berechtigte Organisation, z.B. eine bestimmte Gesundheitsbehörde, mit allen relevanten Nachverfolgungsdienstanbietern ein Autorisierungsverfahren durchführen, um die Kontaktnachverfolgung eines bestimmten Falls zu realisieren. Dies ermöglicht es, dass die berechtigte Organisation alle relevanten Präsenz- und Kontaktinformationen für diesen Fall von allen relevanten Nachverfolgungsdienstanbietern erhält. Gleichzeitig ermöglicht diese Eigenschaft der Architektur des Nachverfolgungssystems den parallelen Betrieb mehrerer Nachverfolgungssysteme, was Datenschutz-, IT-Sicherheits- und Privatsphäre aus Sicht einzelner Nutzer und aus Sicht der Gesellschaft insgesamt stärken.

The architecture of the tracking system has several features that improve data protection, IT security and privacy.

• ▪ Not all functions of all methods of the tracking system have to be performed by servers of a tracking server operator.
  • - Alternatively, certain features and procedures of the tracking system may be performed by certain apps on a user's mobile communication device.
  • - One possibility for an app that can implement a method of the tracking system on a user's mobile communication device is an app that performs the marker reading method.
  • - Another possibility for an app that can implement a method of tracking system on a user's mobile communication device is an app that performs the encrypted logging method.
  • - In either case, these apps must support tracking system authorization process capabilities so that the data stored by the app can be made available to an authorized organization to track contact and presence information of a specific individual in an authorized case.
• ▪ The tracking system architecture allows for further improvement in terms of data protection, IT security and privacy by allowing multiple independent tracking service providers to run multiple tracking systems in parallel, thereby limiting the amount of data each tracking system collects.
  • - When multiple tracing systems are operated in parallel, a single authorized organization, eg a specific health authority, can carry out an authorization process with all relevant tracing service providers in order to realize contact tracing of a specific case. This allows the eligible organization to obtain all relevant presence and contact information for that case from all relevant tracking service providers. At the same time, this property allows Architecture of the tracking system enables the parallel operation of several tracking systems, which strengthens data protection, IT security and privacy from the perspective of individual users and from the perspective of society as a whole.

character list

• ▪ 1 shows a mobile communication device of a user of the tracking system, the user interface of which displays different information.
  • 1 shows four different possible displays of the user interface of the tracking system on a mobile communication device. As the first of four possible displays 12, the mobile communication device 11 is shown on the far left, which shows two different pieces of information on its display 12. 12a shows the name of the tracking system, eg "QRONITON". 12b shows an input option for changing to another possible display, eg identified by "CHECK". As the second of four possible displays 13, the mobile communication device is shown to the right, which shows the following information on its display. 12a shows the name of the tracking system as before, eg "QRONITON". 13a shows an input option for logging in or registering, with a telephone no. or enter a password. 13b shows an input option to start logging in or registering, eg identified by "START".
  • The mobile communication device, which shows the following information on its display, is shown to the right as the third of four possible displays 14 . 12a shows the name of the tracking system as before, eg "QRONITON". 14a shows the number of one-time contacts. 14b shows the number of daily contacts. 14c shows the number of permanent contacts. As the fourth of four possible displays 15, the mobile communication device is shown to the right, which shows the following information on its display. 12a shows the name of the tracking system as before, eg "QRONITON", 14a shows the number of one-time contacts as before, 14b shows the number of daily contacts as before, 14c shows the number of sustained contacts as before. 15a shows a warning message, eg "A potential contact with infection was detected within the last 14 days".
• ▪ 2 Fig. 12 shows the distributed system architecture of the tracking system, where mobile communication devices communicate with registration servers, marker servers and logging servers via load balancing servers, which communicate with privacy-preserving processing servers of the tracking system, which communicate with servers of authorized persons organizations.
  • Mobile communication devices 21 communicate with a first encryption 22 with a group of servers of the tracking system 23, consisting of a first group of servers 24, implemented as DNS servers 25, with the task of load distribution 24a, and a second group of servers 27, as HTTPS servers 28 implemented, with the tasks of registration/marker/protocol server 27a. These servers 23 in turn communicate with further encryption 29 with further servers of the tracking system 30, namely with tracking system servers 31, in which the task privacy-preserving processing 31a is performed. The tracking system servers 31 in turn communicate with a further encryption 33 with servers 35 of an authorized organization, a first server 35 being provided for the statistical analysis task 34a and a second server 35 being provided for the case analysis task 34b.
• ▪ 3 shows details of the tracking system with a mobile communication device that can communicate with marker servers, registration servers and logging servers.
  • 3 shows a mobile communication device 601, which has a local memory 604, in which there are three information elements 604a, 604b and 604c. The first information element 604a, eg labeled "userid", is information for identifying the user, which is stored in the local storage 604 and which originates from the server 604d. The second information element 604b is a key calculated in the mobile communication device with the designation “userkey”, which is calculated on the mobile communication device in the manner described in 604e, specifically from a hash function 604f with the designation “c-hash”, receiving a first input value 604g consisting of user-entered personal contact information labeled "PCI" and receiving a second input value 604h consisting of second user-entered information denoted "PW". The third information element 604c is an encrypted data element called "c-contact" which is calculated on the mobile communication device by the manner described in 604i, viz the encryption function 604j (labeled "enc") as well as the key 604k (labeled +k_eo) and the user-entered personal contact information 604g labeled "PCI".
  • 3 also shows the server 602 with the task marker server, which has the DNS name 607, eg "tag.qroniton.eu". 3 also shows the server 603 with the task registration server, which has the DNS name 606, eg "registration.qroniton.eu". 3 also shows the server 608 with the task log server (or logging server), which has the DNS name 609, eg "log.qroniton.eu". 3 also shows the server 610 with the task entitled organization server, which has the DNS name 611, eg "authorized organization.qroniton.eu". 3 also shows the public key of the tracking system 612, which has the label "+k_ts". 3 also shows the legitimate organization's public key 613, which has the label "+k_bo".
• ▪ 4 shows components of the tracking system involved in user registration.
  • 4 Figure 12 shows details of a component of the tracking system, namely the second information element 604b, which is a mobile communication device calculated key called "userkey", which is calculated on the mobile communication device in the manner described in 604e. 4 shows a concrete possibility for the realization of the calculation by the way described in 604m, with a specific hash function 604n, e.g. SHA256, and a specific personal contact information 604p, e.g. the telephone number "0170/123456789", and information 604q entered by the user, eg the password "MyPassword", together with the concrete result 604r, eg denoted with "chpwdXYZ".
• ▪ 5 shows components of the tracking system that perform part of user registration.
  • ▪ 5 shows the step of the registration process, in which a message is transmitted from the mobile communication device 601 to the registration server 603 with the transmission process 700, in which the information elements 701 and 702 are included, with the information element 701 having the value 604b (“userkey”) of the local memory contains, and the information element 702 contains further information, namely a location information on the place of residence. eg in the form of a zip code, encrypted with the public key of the tracking system, and information about the age, eg the date of birth, also encrypted with the public key of the tracking system.
• ▪ 6 shows components of the tracking system that perform another part of user registration.
  • 6 shows a further step of the registration process, in which a message is transmitted to the mobile communication device 601 from the registration server 603 with the transmission process 703, which message contains the information element 704, which contains the identifier "userid", which is then transmitted by the mobile communication device 601 in the local memory is saved.
• ▪ 7 shows components of the tracking system involved in the marker reading process.
  • 7 shows how the mobile communication device 601 reads a QR code 801 and extracts the information contained therein with an Internet link, eg "tag.qroniton.eu/123".
• ▪ 8th Figure 12 shows components of the tracking system that perform part of the marker reading process.
  • 8th shows how the mobile communication device 601 then uses the information taken from the QR code 801 to contact the marker server 602 with the DNS name 607, eg “tag.qroniton.eu”.
• ▪ 9 Figure 12 shows components of the tracking system that perform a different part of the reading process.
  • 9 shows how the marker server 602 then transmits the information element 805 to the mobile communication device 601, which contains a user identifier “userid” as first information and a temporary time- and location-dependent key “sitekey” as second information.
• ▪ 10 shows components of the tracking system that perform the encrypted logging process.
  • 10 shows how the mobile communication device 601 then transmits the information element 807 to the log server 608 . The information 807a, 807b, 807c, 807d, 807e contained in 807 is encrypted with the public key of the tracking system "+k_ts". 807a and 807b contain anonymous statistics. 807c contains a location identifier formed from a cryptographic hash of "sitekey" that is the same for people who are at the same time at the same time place are. 807d is an encrypted value "sitekey" that can be decrypted with the user's password. 807e is an encrypted value "contact" of the information "c-contact" which can be decrypted with the user's password.

Claims (3)

A networked computer system in which a person equipped with a mobile communication device performs an enrollment process, characterized in that: ▪ A user of the tracking system performed an enrollment process with his mobile communication device, entering personal contact information and a password. ▪ The mobile communication device, with which the user has carried out a user registration procedure, reads a marker with an identifier specific to this location. ▪ The mobile communication device, with which the user has carried out a user registration procedure, transmits encrypted log information to a logging server. The networked computer system claim 1 wherein the transmitted data structure comprises personal contact information encrypted using a public key of an authorized organization. The networked computer system claim 1 wherein the transmitted data structure comprises personal contact information encrypted using a legitimate organization's public key including additional information encrypted using a tracking service provider's public key.

Images