WO2021204313A1 - Privacy-maintaining tracking system - Google Patents

Privacy-maintaining tracking system Download PDF

Info

Publication number
WO2021204313A1
WO2021204313A1 PCT/DE2021/000059 DE2021000059W WO2021204313A1 WO 2021204313 A1 WO2021204313 A1 WO 2021204313A1 DE 2021000059 W DE2021000059 W DE 2021000059W WO 2021204313 A1 WO2021204313 A1 WO 2021204313A1
Authority
WO
WIPO (PCT)
Prior art keywords
tracking system
tracking
data
user
server
Prior art date
Application number
PCT/DE2021/000059
Other languages
German (de)
French (fr)
Inventor
Georg Carle
Johann Schlamp
Original Assignee
Georg Carle
Johann Schlamp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Georg Carle, Johann Schlamp filed Critical Georg Carle
Priority to EP21725684.1A priority Critical patent/EP4136860A1/en
Publication of WO2021204313A1 publication Critical patent/WO2021204313A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/023Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H50/00ICT specially adapted for medical diagnosis, medical simulation or medical data mining; ICT specially adapted for detecting, monitoring or modelling epidemics or pandemics
    • G16H50/80ICT specially adapted for medical diagnosis, medical simulation or medical data mining; ICT specially adapted for detecting, monitoring or modelling epidemics or pandemics for detecting, monitoring or modelling epidemics or pandemics, e.g. flu

Definitions

  • the invention is concerned with the collection of personal data and presence information, which are protected by means of security measures in information technology, in a system consisting of networked computer systems and devices for reading markers.
  • the information is processed in a privacy-preserving manner, but allows contact tracking with the consent of the users of the system.
  • the invention can be used to track chains of infection of an infectious disease.
  • An effective mitigation strategy to contain the spread of disease is to identify, for each person known to be infected, their previous contacts during the period of time that the person known to be infected may have been infectious.
  • Contacts in this context include other people with whom an infected person has been in contact, but also physical substances (whether in solid, liquid or gaseous aggregate state) with which an infected person has come into contact, and other persons who subsequently come into contact with the contacted persons or physical substances contacted.
  • a health organization such as a health authority, may be legally entitled to receive a certain amount of information relating to an infected person and for a certain period of time.
  • a health organization may be entitled to receive personal contact information from contact persons and contact substances with which an infected person has come into contact for a certain period of time.
  • a tracking system can be used by a health organization to collect and access such contact information.
  • Information about the presence of a single person in a certain place as well as personal contact data, e.g. a telephone number, are personal information worthy of protection.
  • the European General Data Protection Regulation is an EU law for data protection and privacy that regulates control over their personal data for individuals.
  • An important goal in providing a data processing system for contact tracking is that such a system is compliant with the GDPR and at the same time fulfills other technical goals, e.g. that the system requires only a small amount of technical resources and has good scalability properties with regard to the number of people who use the tracking system, the number of reference points and the number of interactions between them.
  • Relevant technical resources of the individual components of the tracking system include in particular CPU, memory, communication data rate and volume and energy.
  • a data processing system is to be provided for contact tracking, it is also important that the system has favorable technical properties such as a short response time for all input interfaces of the system, including user interfaces via which a user can enter inputs into the system, and that the system is robust is against attacks.
  • Possible attacks include actors who have or can gain access to the computer systems of the tracking system. This includes computer systems owned by individuals using the tracking system, the tracking service provider, or an authorized organization with a legitimate mandate to access tracking information. Unauthorized access to computer systems can include extracting or tampering with tracking data.
  • a tracking system that ensures data protection and the privacy of the users of the tracking system is robust against attacks if the compromise of any of the computer systems involved does not allow the attacker access to all or part of the tracking data.
  • the highest level of security for users of the tracking system is achieved if data protection and privacy are guaranteed, as long as any actor involved in the tracking system, including this person himself, is not compromised. Even if it may not be feasible to prevent improper use of the tracking system, e.g. by having attackers log invalid presence information for themselves, it must be impossible for any user of the tracking system to violate the integrity of existing data by manipulating valid tracking data or incorrect tracking data for generate other users of the tracking system.
  • the tracking system does not provide access to personal contact information and presence information of people who make full use of the tracking system.
  • Authorized organizations e.g. a health authority
  • can request access to individual tracking data with the consent of a data subject e.g. a person infected with an infectious disease.
  • the tracking service provider can only make tracking data of a data subject available to an authorized organization if this has been expressly authorized by the data subject, e.g. by receiving a cryptographic key in order to decrypt the tracking data.
  • the tracking system comprises the following components:
  • One or more unique tracking tokens which can be analog or digital tokens that are unique identifiers for people, objects, or places and that can be read by humans or machines.
  • One or more marker readers that can be used to read unique markers. The function as a marker reading device can be provided by humans or computer systems, e.g. mobile communication devices or special hardware. The reading results of the markers can be recorded in computer systems and transferred to other computer systems via computer networks, e.g. the Internet.
  • One or more servers of the tracking system that can perform methods of receiving, processing, analyzing and providing tracking data. Tracking data may include users' personal contact information and their presence information generated by reading unique markers.
  • the tracking system supports the following actors: 1. One or more users of the tracking system who can create or read unique markers. 2. One or more tracking service providers that can operate tracking system servers. 3. One or more authorized organizations that can request access to and receive tracking data.
  • the tracking system has the following properties: 1. Objects or locations at a fixed point (eg rooms) or in motion (eg trains) can be provided with unique markers. Objects or locations can be equipped with several versions of the same marker (e.g. to enable simultaneous reading) or with several different unique markers (e.g. to identify separately handled contact zones). 2. People whose presence at objects or locations or whose contacts with other people are recorded by the tracking system can be provided with a clear tracking marker. 3. Individuals equipped with a marker reader can read unique markers from the tracking system and communicate their own unique identifier and the identifier of the marker read to the tracking system servers to confirm a contact. Individuals equipped with a marker reader can also read several unique follow-up markers to confirm contact between them.
  • People equipped with a computer system can use a web browser or a specific application (app) to transmit contact information to servers of the tracking system. 4.
  • a web browser or a specific application (app) to transmit contact information to servers of the tracking system. 4.
  • received identifiers of unique markers of an object, place or person can be used to record the presence of the person who used the marker reading device at a certain object, place or in direct contact with another person .
  • the tracking system comprises the following components: 1. Markers of the tracking system can be of different types (a) One possible type of marker is a matrix barcode label. Such a two-dimensional barcode is also referred to as a QR code (Quick Response Code). It often contains data that specifies a web resource in the form of a URL (Uniform Resource Locator) (b) Markers can also be of another type, e.g. barcodes (linear or one-dimensional barcode) or RFID markers (Radio Frequency Identifier Tags) or Bluetooth beacons or Wifi devices that send beacon frames, or based on other means that are suitable for realizing a marker they can represent permanent contact, e.g. for family members, or for constantly visited places or objects that are used continuously.
  • QR code Quadick Response Code
  • a reference point indicates a specific point in the three-dimensional space of a location.
  • a BP can be identified with a location-specific identifier and marked with a marker of the tracking system with which the location-specific identifier can be read.
  • One way of enabling the location-specific identifier to be read is to mark the BP with a QR code that contains the location-specific identifier.
  • a location can be equipped with one or more markers. Each location marker can have a unique location-specific identifier. In this case, different BPs in this location can be distinguished by the tracking system. Alternatively, it is possible that several markers at one location have the same location-specific identifier. In this case, the markers that use the same location-specific identifier are assigned to the same BP.
  • a location-specific identifier of the tracking system can be represented in the form of a binary value of fixed length, a number or a text string.
  • An area code is a numeric or alphanumeric identifier that indicates a geographic area.
  • An area code is a zip code.
  • a place can be assigned to an area code. Due to the fact that many people can be assigned to an area code, statistical information on the people associated with the area code can be published in a data protection manner.
  • PCI personal contact information
  • a telephone number is a number that is formatted according to the E.164 standard, for example, and is assigned to a device, a person, an organization or a service.
  • An email address is an email service address that is assigned to a device, person, organization, or service.
  • RFC 5322 specifies the address format (addr-spec) of SMTP (Simple Mail Transfer Protocol) emails.
  • the common email address can also contain a display name, a comment, or both.
  • There are anonymous email providers who provide users with anonymous email addresses. The tracking system enables users to provide an anonymous email address as personal contact information, which ensures a high level of data protection.
  • Personal contact information can also be of another type, e.g. in the form of an instant messaging user identifier or in the form of other information with which a person can be contacted.
  • a personal identification number is a numeric or alphanumeric password (PW) that is used in the process of authenticating a user accessing a system.
  • PW numeric or alphanumeric password
  • the system enables individuals to choose a PIN or PW to protect their personal data, including their PCI, when processed by components of the tracking system.
  • Users of the tracking system are assigned unique user IDs when a user registration process is carried out.
  • cryptographic hash functions to calculate the user ID based on entered personal data, e.g. personal contact information or PIN or password or a combination thereof, the uniqueness of the user ID is ensured while it is impossible to extract personal data from the user -ID to be reconstructed.
  • the tracking system maintains a log to collect presence and contact information.
  • a presence record is stored in the log for each user who was present at a specific location with a location-specific identifier, and the one has performed an authenticated reading procedure with the unique marker of this location.
  • a contact data record is stored in the log for each user who had contact with a certain object, which was identified by a unique user ID and an object-specific identifier, and who carried out an authenticated reading procedure with the unique marker of this object.
  • a contact data record is stored in the log for each user who had contact with another user who was identified by a unique user ID and a personal identifier and who carried out an authenticated reading process with the unique marker of this user.
  • the protocol collects encrypted data records and thus ensures the data protection properties of the tracking system. Because cryptographic functions are used to encrypt records of presence and contact information, the tracking system's protocol is also known as the crypto-protocol.
  • Presence and contact information which is stored in encrypted form in the log, include PCI, PIN and additional personal attributes such as year of birth, area code of the person and attributes of a location such as area code of the location and location descriptions.
  • the tracking system uses a cryptographic key of the tracking system to encrypt certain parts of the data that are stored in the log, thus preventing unauthorized access to the data.
  • the tracking system uses other specific parts of the data stored in the log, particularly PCI, using an authorized organization's public key, thereby preventing unauthorized access to these parts of the data. This prevents the operators of the tracking server from accessing these parts of the data, and thus ensures a high level of data protection and IT security for the tracking system.
  • the encryption of certain parts of the data stored in the log, including the PCI can be carried out using a public key of an authorized organization within a cryptographic function which is carried out on the mobile communication device of a user of the system.
  • the encryption of certain parts of the data stored in the log, including the PCI can be performed in a web browser of a user's mobile communication device, thereby eliminating the need to install a specific app on that mobile communication device.
  • the tracking system supports the following methods: user registration method, user authentication method, marker creation method, marker reading method, encrypted logging, tracking authorization method Contact transmission method, statistics transmission method.
  • the tracking system servers can support one or more methods of the tracking system.
  • the tracking system consists of several components including one or more servers.
  • Each server of the tracking system can support one or more methods of the set of methods of the tracking system.
  • a server of the tracking system can be assigned to one or more server types, depending on which subset of the methods supported by the server are carried out.
  • One type of server can be a registration server, i.e. a server that supports the procedure for registering and authenticating users, creating markers or authorizing contact tracking.
  • One type of server can be a marker server, i.e. a server that supports the reading process of markers.
  • One type of server can be a logging server, i.e. a server that supports the encrypted logging process, the transfer of contacts or the transfer of statistics.
  • a server of a certain type supports not only one or more methods which are characteristic of this server type, but also an additional subgroup of methods.
  • a registration server also supports the encrypted logging method.
  • a characteristic of the tracking system is that not every type of server and not every particular server has to support all of the methods of the tracking system. This property enables the separation of data and functions of the tracking system, as well as the access rights of administrators between different servers. This improves data protection, IT security and privacy.
  • Servers of the tracking system are operated by one or more operators. Different servers of the tracking system can be operated by different operators, e.g. to share or separate responsibilities. One operator of a tracking server can operate one type of server and another operator can operate another type of server, thereby restricting the access rights of the administrators of each operator to a certain subset of server types. This property can further improve data protection, IT security and privacy of the tracking system.
  • the tracking systems can grant authorized organizations access to tracking data: Certain organizations can have authorization. Organizations can receive authorization if they are authorized to handle specific personal data. Specific personal data can contain sensitive health information. Organizations dealing with health information include health care providers and health authorities. A healthcare provider provides health services to people and is authorized to handle sensitive health information from users in accordance with health care laws and regulations. A health authority acts on behalf of the government in accordance with applicable law (e.g. the Infection Protection Act).
  • a health organization can track previous contacts that person has when a person tests positive for an infectious disease.
  • the tracking service provider only provides the health organization with the part of the log data authorized in accordance with a contact tracking authorization procedure. Carrying out this procedure enables the needs of the specific case to be taken into account, thereby fulfilling the knowledge-only-when-needed requirements.
  • This property of the tracking system avoids the need for a public health agency to have access to all attendance and contact information logged by a tracking system in order to conduct contact tracking for which it is legally authorized.
  • the knowledge-only-when-required requirements specify the time window in which the health organization is given access to the encrypted log data relating to the presence and contact of an infected person.
  • the presence and contact information of an infected person contains locations along with the time of the presence of an infected person, as well as time and location information of their contacts, personal contact information of the contact persons and other information about physical substances with which an infected person has been in contact.
  • the tracking system can provide certain data to an authorized organization.
  • the provision of access rights of an authorized organization to specific data requires that the procedure for authorization of the contact tracing has been carried out successfully.
  • Cryptographic functions are used to ensure that the authorized organization only has access to the specific data for which it has been successfully authorized.
  • a feature of the tracking system is that the authorized organization uses a cryptographic key to access the specific tracking system information for which it is authorized.
  • FIG. 1 shows a mobile communication device of a user of the tracking system, the user interface of which displays different information.
  • FIG. 2 shows the distributed system architecture of the tracking system, with mobile communication devices using load balancing servers with registration servers, marker servers and logging servers that communicate with privacy-maintaining processing servers of the tracking system that communicate with servers of authorized persons organizations.
  • FIG. 3 shows details of the tracking system with a mobile communication device that can communicate with marker servers, registration servers and logging servers.
  • FIG. 4 shows components of the tracking system that are involved in user registration.
  • FIG. 5 shows components of the tracking system which carry out part of the user registration.
  • FIG. 6 shows components of the tracking system which carry out another part of the user registration.
  • Figure 7 shows components of the tracking system involved in the marker reading process.
  • Figure 8 shows components of the tracking system that perform part of the marker reading process.
  • Figure 9 shows components of the tracking system that perform another part of the reading process.
  • FIG. 10 shows components of the tracking system which carry out the encrypted logging method.
  • the tracking system uses an asymmetric cryptographic scheme with a public key + k, a private key -k, an encryption function enc and a decryption function dec.
  • the tracking system uses public keys from the tracking service provider to encrypt certain data.
  • the tracking system uses public keys of authorized organizations + k_eo to encrypt certain data that only the authorized organization should be able to access.
  • the authorized organization only has access to this subset of the specific information that has been encrypted with one of its public keys if a procedure for authorizing contact tracing has been successfully carried out.
  • RFC 4880 specifies data formats for transmitting encrypted information.
  • the specified packet formats include Public-Key Encrypted Session Key Packeis (Day 1).
  • RFC 8017 specifies PKCS # 1, RSA Cryptography Specifications Version 2.2, specifies RSA cryptographic primitives, encryption schemes and ASN.l syntax for the representation of keys and to identify the schemes.
  • the encryption schemes specified in RFC 8017 include RSAES-OAEP, a scheme that combines the RSA encryption primitive (RSAEP), the RSA decryption primitive (RSADP), and the EME-OAEP encoding method, which is based on the optimal asymmetric encryption scheme by Bellare and Rogaway .
  • Users of the system can be people who visit locations and possibly have contact with other people at these locations, or people who are assigned to a location that is equipped with a marker.
  • Figure 3 shows relevant components of the tracking system:
  • Figure 3 shows a mobile communication device 601 that can communicate with multiple servers of a tracking system, including a registration server 603, a MarkerMarker server 602 and a logging server 607.
  • the mobile communication device 601 can transfer data to Protection of privacy using a public key of the tracking system + k_ts 612 and encrypting using a public key of an authorized organization + k_eo 613.
  • the mobile communication device 601 has a local memory 604 that contains a user ID that was received from a server of the tracking system and a user key that results from a cryptographic hash function on the user device and thus produces a hash value that Contains personal contact information and password.
  • the local storage 604 also contains a data element C-contact which is the result of a method executed on the user device that generates an encrypted data element using the cryptographic function of / for a public key and which, as the public key, is the public key of an authorized person Organization and personal contact information used as input data.
  • the tracking system supports the following methods: user registration method, user authentication method, marker creation method, marker reading method, encrypted logging method, tracking authorization method, contact transmission method, statistics transmission method.
  • Users can perform a user registration process with the tracking system.
  • a user of the tracking system When registering a person, a user of the tracking system enters personal contact information, a PIN or a password, and attributes of the person such as area code and age.
  • the user device and a server of the tracking system perform a registration protocol that uses cryptographic methods including encryption and cryptographic hash functions with cryptographic keys of the tracking system and the authorized organization. After the registration process is complete, the
  • the registration data record can contain a user ID, a user-specific key (referred to as a userkey) and encrypted data with attributes of the person (such as area code and age).
  • the user registration process can include the following technical functions: It can receive input data, including personal contact information (PCI) and a PIN code or password (PW) as well as a country and / or area code and optional personal attributes such as age. It can generate an encrypted data element (called c-contact) that contains personal contact information (PCI) and can be decrypted by an authorized organization. It can generate a local structure for personal data that contains personal attributes such as age and area code of residence, as well as the encrypted data element with personal contact information. It can generate a user-specific key (called a userkey).
  • One possibility of generating the user key is that a method is carried out on the user device that generates a hash value using a cryptographic hash function and uses input data from the local structure of personal data.
  • Attributes of a person can include the area code of the place of residence and age.
  • the attributes are encrypted so that they can be decrypted by the tracking system.
  • the data element with the encrypted area code is called the c-area code.
  • the data element with the encrypted age is called c-age.
  • It can compose a registration message using a data structure that contains the user-specific key (userkey) and personal attributes (c-attributes) that can be decrypted by the tracking service provider and sends the registration message to the tracking system's registration server. It can receive a unique user ID (called a userid) from the tracking system.
  • One way of generating the user key is for the registration server to carry out a method that uses a cryptographic hash function to generate a hash value and uses input data from the registration message. It can complete the registration process on the user device by updating the local structure of the personal data, which contains the following data elements: userkey, userid, c-contact and c-attributes (with c-area-code and c-age).
  • Figures 4, 5 and 6 show details of a possible instantiation of the user registration process.
  • the generated cryptographic hash value is a 256-bit long binary value with the character representation chpwdXYZ 605.
  • Figure 5 shows a first message 700 that is sent in the user registration from the mobile communication device 601 to the registration server 603, which contains the user key 701 as a plain text file and which has a data structure 702 with encrypted attributes contains, in this example with two encrypted data elements, in this example c-area-code and c-age.
  • the first encrypted data element c-area-code is generated on the user's mobile communication device by a cryptographic function of the tracking system with a public key + k_ts and the area code.
  • the second encrypted data element c-age is generated on the user's mobile communication device by a cryptographic function with a public key of the tracking system + k_ts and the age of the user.
  • FIG. 6 shows a second message 703 which is sent in the user registration from the registration server to the mobile communication device and contains a user ID which is then stored in the local memory of the mobile communication device.
  • Users of the tracking system can perform user authentication in order to gain access to additional methods for registered users.
  • the tracking system can perform user authentication by checking whether a particular person knows both the personal contact information and the password.
  • a user When performing user authentication, a user must enter both information elements, the personal contact information and the password, into his mobile communication device, whereupon a user-specific key (userkey) is generated there.
  • a user-specific key (userkey)
  • One possibility of generating the user key is to generate a hash value from personal contact information and the password on the user device using a cryptographic hash function.
  • the resulting cryptographic hash with the user-specific key (userkey) is transmitted to a server in the tracking system, where it can be compared with a stored user key. If the keys match each other, the user authentication was successful, which implies that the authentic user performed the user authentication.
  • the tracking system is able to carry out user authentication with any number of messages that a mobile communication device sends to a server of the tracking system by inserting a user-specific key (userkey) into these messages.
  • User authentication with any number of messages can be performed if these messages are a Data element is attached that contains the user-specific key (userkey) in the form of an HTTP cookie, as specified in RFC 6265.
  • Locations can be registered in the tracking system by performing a location registration. Technically, there does not have to be a difference in the registration process of people and places. There is a difference in the content of the attributes. Attributes of a location can contain one or more location descriptions, while attributes of a person can contain personal information such as age.
  • a user of the tracking system enters the contact information of a person or organization associated with the location, a PIN or a password, as well as location attributes such as the area code and a location description.
  • the user device and a server of the tracking system perform a registration protocol that uses cryptographic functions including encryption and cryptographic hash functions with cryptographic keys of the tracking system and the authorized organization.
  • the user device has set up a local data structure with a user ID and the tracking system has entered a registration data record in its registration log.
  • the registration data record can contain a user ID, a user-specific key (userkey) and encrypted data with attributes of the location (such as area code and location description).
  • the method for location registration can include the same technical functions as the method for person registration.
  • a notable difference between the technical functions of location registration and person registration is that the encrypted data element with attributes (abbreviated c-attributes) can contain different attributes (location-specific attributes instead of personal attributes). Attributes of a location can contain one or more location descriptions. Data elements with encrypted location descriptions are called c-loc-des.
  • the user device After completion of the location registration process, the user device has a local location data structure that contains the following data elements: userid, userkey, c-contact and c-attributes (with c-area-code and c-loc-des).
  • Authenticated users can carry out a marker creation process. After completing a registration process for a person or a location, the user device has set up a local data structure with a user ID. During marker creation, a person-related or location-specific marker is created that can be read by mobile communication devices that use the tracking system. QR code markers are an important type of marker for the tracking system. A possibility, To create a QR code marker for a person or place, create a URL with the protocol and domain name of a tracking system scan server, followed by a path containing a string representation of the user ID.
  • the protocol is https
  • the domain name of the scan server is tag.qroniton.eu and the path with the character string representation of the userid is 123
  • the result is the tag URL: https://tag.qroniton.eu/123 .
  • the resulting QR code containing this URL is specific to a person or place.
  • Authenticated users can perform a marker reading process.
  • a marker reading device of a user of the tracking system In order to carry out a marker reading process, a marker reading device of a user of the tracking system must read out the information from a marker. The marker reading device then contacts a server of the tracking system using the information it has read from the marker. To establish contact with a server of the tracking system, a marker reading device derives a URL from the information read out by the marker, which URL specifies a specific resource of a server of the tracking system. If the URL read by the marker is an Internet resource that is accessible on the server of the tracking system, the marker reader can use the HTTP protocol to communicate with the server of the tracking system.
  • the marker reader sets up a TLS (Transport Layer Security session) session before exchanging HTTP messages with the server of the tracking system.
  • TLS Transaction Layer Security session
  • the mobile communication device can use an app that can decode the QR code and extract the URL.
  • the marker reader is configured so that an app that can decode a QR code and extract a URL from the QR code, the decoded URL is forwarded to the web browser of the mobile communication device.
  • the device's web browser establishes a session with the tracking system's web server and accesses the web resource on the web server specified in the QR code.
  • the web browser of the marker reading device can carry out this access to a web resource in the form of an HTTP GET request on a server that is specified by the DNS name of the URL and the path specified in the path section of the URL. If the local memory of the mobile communication device contains the data that were created during user registration and user authentication, the marker reading device transmits user-specific data to the contacted server of the tracking system. This data record contains a user-specific identifier (userid). The marker reader can transmit a data element that contains the user-specific identifier (userid) in the form of an HTTP cookie, as specified in RFC 6265.
  • the contacted server of the tracking system After accessing the tracking server resource indicated by the marker url and the When the data record containing a user-specific identifier (userid) is transmitted, the contacted server of the tracking system can recognize that it has been contacted by a marker reading device that has carried out user registration and user authentication. If a marker reading device contacts the server of the tracking system and does not transmit a data structure with a user-specific identifier (userid) obtained from the user registration, the contacted server can transmit data to the marker reading device, which informs about the need for user registration. The server of the tracking system can directly initiate that the marker reading device displays a user interface of the user registration process.
  • FIG. 7 shows the components involved in the tracking system: a marker 801 in the form of a QR code which contains a URL 802 as information, a mobile communication device 601 with a local memory 604 which contains a data structure that contains the data elements for userid, userkey and c- contact contains, a scan server 602 with a DNS name 607 and a registration server 603 with a DNS name 606.
  • the mobile communication device 601 reads the information from the marker 801, which has the URL https: / /tag.qroniton.eu/123 contains.
  • FIG. 7 shows the components involved in the tracking system: a marker 801 in the form of a QR code which contains a URL 802 as information, a mobile communication device 601 with a local memory 604 which contains a data structure that contains the data elements for userid, userkey and c- contact contains, a scan server 602 with a DNS name 607 and a registration server 603 with a DNS name 606.
  • the mobile communication device 601 reads the information
  • FIG. 8 shows a first message of the marker reading method in which the mobile communication device contacts the marker server with the DNS name tag.qroniton.eu with an http-get request on the path 123.
  • FIG. 9 shows a second message of the marker reading method in which the marker server with the DNS name tag.qroniton.eu replies with a message 804 with the data structure 805 which contains two data elements, a first data element being the userid of the marker is (in this example with the string representation 123) and a second data element, which is sitekey, is a unique key that is specific to that location in the particular time window.
  • the mobile communication device can then store both data elements in its local memory 604.
  • Authorized users can carry out an encrypted logging process.
  • the encrypted logging process is carried out by the mobile communication device with the intention of transmitting encrypted presence or contact information to the logging server of the tracking system, which maintains a cryptographic protocol.
  • the cryptographic protocol contains data records that are encrypted in such a way that contact tracking can only be carried out in those cases in which a user has authorized the tracking system to carry out contact tracking.
  • FIG. 10 shows details of a possible instantiation of the encrypted logging method.
  • Figure 10 shows the mobile communication device 601 that a message with a data structure 807 to the logging server 608 with the DNS name log.qroniton.eu 609.
  • the data structure 807 can contain multiple data elements which are then stored in the cryptographic protocol of the logging server.
  • the data structure 807 contains the following data elements:
  • the data structure 807 contains the useridl of the marker that was read in the marker reading process that was carried out directly before the encrypted logging process, and transmits the information that the mobile communication device is connected the location marked with marker 801.
  • the data structure 807 contains the userid2 of the user of the mobile communication device, which shows that the person associated with the mobile communication device was present at the location identified by the marker 801.
  • the data structure 807 also contains the data element of the siteid, which was generated on the mobile communication device by executing a cryptographic hash function, with the data input of the sitekey, which the mobile communication device received from the marker reading process.
  • the data structure 807 also contains the encrypted data element contact that was generated by a symmetric cryptographic function, AES in the example of FIG. 10, with a cryptographic key, the sitekey, which was obtained from the marker reading process, and the encrypted data element c- contact from local storage.
  • AES symmetric cryptographic function
  • Users can perform a tracking authorization process.
  • a tracking authorization process In cases where a user wishes to indicate that their contact and presence information stored by a logging server of the tracking system can be used to carry out contact tracking, the user enters his password when prompted to do contact tracking to authorize.
  • One possibility to authorize the contact tracking is that the user reads a certain marker for the authorization of the contact tracking with his mobile communication device and then enters his personal contact information and his password.
  • Users can perform a contact transfer method. Users can express that the information about their contacts will be transferred to an authorized organization by entering their personal contact information and password when asked to authorize the contact transfer.
  • Users can perform a method for transmitting statistics.
  • a user can use his mobile communication device to initiate methods for the transmission of statistics.
  • One way of starting this method is for the user device to have a reads certain marker created for this purpose.
  • Another possibility for initiating the method for transmitting statistics is that a user visits a statistics website of the tracking system with his mobile communication device and carries out a user authentication.
  • the result of the method for transmitting statistics can include that the user interface of the mobile communication device displays user-specific statistics, as is shown in elements 14 and 15 of FIG.
  • the architecture of the tracking system has several features that improve data protection, IT security and privacy. Not all functions of all methods of the tracking system need to be performed by servers of an operator of tracking servers. Alternatively, certain functions and methods of the tracking system can be executed by certain apps on the mobile communication device of a user.
  • One possibility for an app that can implement a method of the tracking system on the mobile communication device of a user is an app that carries out the marker reading method.
  • Another possibility for an app that can implement a method of the tracking system on the mobile communication device of a user is an app that carries out the encrypted logging method.
  • these apps must support functions for the authorization process of the tracking system so that the data stored by the app can be made accessible to an authorized organization in order to track contact and presence information of a specific person in an authorized case.
  • the architecture of the tracking system enables a further improvement in terms of data protection, IT security and privacy by allowing multiple independent tracking service providers to operate multiple tracking systems in parallel, thereby limiting the amount of data that each tracking system collects. If several tracking systems are operated in parallel, a single authorized organization, e.g. a specific health authority, can carry out an authorization procedure with all relevant tracking service providers in order to implement the contact tracking of a specific case. This enables the authorized organization to receive all relevant presence and contact information for this case from all relevant tracking service providers.
  • this property of the architecture of the tracking system enables the parallel operation of several tracking systems, which strengthens data protection, IT security and privacy from the point of view of individual users and from the point of view of society as a whole.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a tracking system which enables the collection of information about persons who are present at a specific time at a specific location, which system uses a mobile communication device (e.g. a smartphone), encrypts the presence information and transmits it in a privacy-protecting form to a tracking data provider. The system uses markers (for example QR code markers) which contain a Uniform Resource Locator (URL). Selected locations are provided with markers of a tracking service provider. Users of the tracking system register with their personal contact information (for example a telephone number) and a PIN code or password which they have chosen. The tracking system enables people to read markers in order to log their presence at a location at a specific time and to store encrypted presence information on a server. The tracking system can use different servers (for example a registration server, a marker server and a logging server) which may be operated by different organisations. The encryption of presence information is carried out using different encryption techniques and different cryptographic keys. In order to protect the presence information of users of the tracking system, which information is stored in logs of the system, presence data are encrypted by means of cryptographic keys. For access to presence information and personal data a combination of cryptographic keys of individual persons and authorised organisations is necessary. Due to the privacy-maintaining properties of the tracking system, it can be ensured that an authorisation procedure must be carried out for every contact tracking request to an authorised organisation. The system can be used in order to track chains of infection of an infectious disease by an authorised organisation (for example a health authority). When using the system for tracking chains of infection, an authorised organisation can carry out a digital contact tracking of persons who were present at the same location, or of persons who had direct contact with one another. The encryption system used by the tracking system guarantees the sovereignty of the users over their personal data and presence information. The consent of the user is necessary so that authorised organisations can access these data, and is enforced technically by means of cryptography.

Description

Privatsphäre-erhaltendes NachverfolgungssystemPrivacy-preserving tracking system
Technisches Gebiet Technical area
[0000] Die Erfindung befasst sich mit dem Sammeln von personenbezogenen Daten und Anwesenheitsinformation, die geschützt werden mittels Maßnahmen der Sicherheit in der Informationstechnik, in einem System bestehend aus vernetzten Computer-Systemen und Geräten zum Lesen von Markern. Die Informationen werden in einer Privatsphäre-erhaltenden Art und Weise verarbeitet, erlauben mit Einwilligung der Nutzer des Systems jedoch eine Kontaktnachverfolgung. Die Erfindung kann verwendet werden, um Infektionsketten einer Infektionskrankheit zu verfolgen. The invention is concerned with the collection of personal data and presence information, which are protected by means of security measures in information technology, in a system consisting of networked computer systems and devices for reading markers. The information is processed in a privacy-preserving manner, but allows contact tracking with the consent of the users of the system. The invention can be used to track chains of infection of an infectious disease.
Klassifizierung Classification
Klasse 706 Datenverarbeitung Class 706 data processing
Klasse 726 Informationssicherheit Class 726 information security
Stand der Technik State of the art
[0001] Es gibt mehrere Anwendungsfalle für ein Datenverarbeitungssystem, das die Anwesenheit einzelner Personen an Orten (Bezugspunkten) protokolliert oder Kontakte von Personen über die Zeit hinweg protokolliert. Ein Beispiel, für das es vorteilhaft ist, ein Datenverarbeitungssystem zur Kontaktnachverfolgung verwenden zu können, ist die Notwendigkeit, Kontakte einzelner Personen nachzuverfolgen, die sich mit einer Infektionskrankheit infiziert haben, um die weitere Ausbreitung der Krankheit einzudämmen. Eine wirksame Mitigierungsstrategie zur Eindämmung der Ausbreitung einer Krankheit besteht darin, für jede als infiziert bekannt gewordene Person deren frühere Kontakte zu identifizieren, die innerhalb der Zeitspanne stattgefunden haben, in der die als infiziert bekannt gewordene Person möglicherweise infektiös war. Kontakte in diesem Zusammenhang umfassen andere Personen, zu denen eine infizierte Person Kontakt hatte, aber auch physikalische Substanzen (ob in festem, flüssigem oder gasförmigem Aggregatszustand), zu denen eine infizierte Person Kontakt hatte, und andere Personen, die in der Folge Kontakt zu den kontaktierten Personen oder den kontaktierten physikalischen Substanzen hatten. There are several application cases for a data processing system that logs the presence of individual people at locations (reference points) or logs contacts of people over time. An example of the benefit of being able to use a contact tracking data processing system is the need to track contacts of individuals who have contracted an infectious disease in order to contain the further spread of the disease. An effective mitigation strategy to contain the spread of disease is to identify, for each person known to be infected, their previous contacts during the period of time that the person known to be infected may have been infectious. Contacts in this context include other people with whom an infected person has been in contact, but also physical substances (whether in solid, liquid or gaseous aggregate state) with which an infected person has come into contact, and other persons who subsequently come into contact with the contacted persons or physical substances contacted.
[0002] Eine Gesundheitsorganisation, z.B. eine Gesundheitsbehörde, kann gesetzlich dazu berechtigt sein, eine bestimmte Menge an Informationen mit Bezug zu einer infizierten Person und für einen gewissen Zeitraum zu erhalten. Um die Ausbreitung einer Infektionskrankheit zu unterdrücken oder zu verlangsamen, kann eine Gesundheitsorganisation berechtigt sein, personenbezogene Kontaktinformationen von Kontaktpersonen und Kontaktsubstanzen, zu denen eine infizierte Person Kontakt hatte, für einen gewissen Zeitraum zu erhalten. Ein Nachverfolgungssystem kann von einer Gesundheitsorganisation verwendet werden, um solche Kontaktinformationen zu sammeln und darauf zuzugreifen. [0003] Gleichzeitig bestehen wichtige Datenschutz- und Informationstechnologie- Sicherheitsinteressen einzelner Personen und der Gesellschaft insgesamt, die bei der Gestaltung eines Nachverfolgungssystems berücksichtigt werden müssen. Informationen über die Anwesenheit einer einzelnen Person an einem bestimmten Ort sowie personenbezogene Kontaktdaten, z.B. eine Telefonnummer, sind schützenswerte persönliche Informationen. Die einzelne Person im Allgemeinen und auch weitere gesellschaftliche Akteure haben ein erhebliches Interesse daran, dass Anwesenheits- und Kontaktinformationen auf wirksame Weise geschützt werden, und dass die Regeln für die Autorisierung des Zugriffs auf diese Daten transparent und technisch erzwingbar sind. Es kann erstrebenswert sein, dass der Zugang zu personenbezogenen Daten berechtigten Organisationen nur bei Vorliegen legitimer Gründe und der Einwilligung betroffener Personen zum Zugriff der berechtigten Organisationen auf ihre Daten gestattet wird. A health organization, such as a health authority, may be legally entitled to receive a certain amount of information relating to an infected person and for a certain period of time. In order to suppress or slow down the spread of an infectious disease, a health organization may be entitled to receive personal contact information from contact persons and contact substances with which an infected person has come into contact for a certain period of time. A tracking system can be used by a health organization to collect and access such contact information. At the same time, there are important data protection and information technology security interests of individuals and society as a whole that must be taken into account when designing a tracking system. Information about the presence of a single person in a certain place as well as personal contact data, e.g. a telephone number, are personal information worthy of protection. Individuals in general and other social actors have a considerable interest in ensuring that presence and contact information are effectively protected and that the rules for authorizing access to this data are transparent and technically enforceable. It may be desirable for authorized organizations to have access to personal data only if there are legitimate reasons and the consent of the data subjects to allow the authorized organizations to access their data.
[0004] Auch wenn eine berechtigte Organisation zulässige Gründe haben kann, Informationen über Kontakte einer infizierten Person innerhalb eines bestimmten Zeitfensters zu erhalten, zusammen mit dem Zeitpunkt dieser Kontakte, einschließlich den Orten, an denen sich eine Person aufgehalten hat und den Zeitpunkten dieser Aufenthalte, sowie Kontaktinformationen von kontaktierten Personen und kontaktierten physikalischen Substanzen einer Person während eines bestimmten Zeitfensters, ist es ebenso erstrebenswert (aus vielerlei Gründen hinsichtlich Datensicherheit, Datenschutz und Privatsphäre), die technische Zugangsmöglichkeit der berechtigten Organisation auf die erforderlichen Informationen zu beschränken. Dies bedeutet, dass das bekannte „Kenntnis nur wenn nötig“-Prinzip in solchen Anwendungsfällen angewandt werden kann. Even if a legitimate organization may have legitimate reasons to obtain information about contacts of an infected person within a certain time window, along with the time of these contacts, including the places where a person has been and the times of these visits, as well as contact information of contacted persons and contacted physical substances of a person during a certain time window, it is also desirable (for various reasons with regard to data security, data protection and privacy) to limit the technical access of the authorized organization to the necessary information. This means that the well-known “knowledge only if necessary” principle can be applied in such use cases.
[0005] Die europäische Datenschutz-Grundverordnung (DSGVO) ist ein EU-Recht für Datenschutz und Privatsphäre, das für Personen eine Kontrolle über ihre persönlichen Daten regelt. Ein wichtiges Ziel bei der Bereitstellung eines Datenverarbeitungssystems für die Kontaktnachverfolgung ist, dass ein solches System konform mit der DSGVO ist und gleichzeitig weitere technische Ziele erfüllt, z.B. dass das System nur einer geringe Menge technischer Ressourcen benötigt und gute Skalierbarkeitseigenschaften besitzt hinsichtlich der Anzahl der Personen die das Nachverfolgungssystem verwenden, der Anzahl von Bezugspunkten und der Anzahl von Interaktionen zwischen diesen. Relevante technische Ressourcen der einzelnen Komponenten des Nachverfolgungssystems umfassen insbesondere CPU, Speicher, Kommunikationsdatenrate und - volumen und Energie. Wenn ein Datenverarbeitungssystem für die Kontaktnachverfolgung bereitgestellt werden soll, ist es auch wichtig, dass das System günstige technische Eigenschaften wie eine geringe Antwortzeit für alle Eingabeschnittstellen des Systems aufweist, einschließlich Benutzeroberflächen über die ein Nutzer Eingaben in das System vornehmen kann, sowie dass das System robust gegen Angriffe ist. [0006] Mögliche Angriffe beinhalten Akteure, die Zugang zu Computersystemen des Nachverfolgungssystems haben oder erlangen können. Dies beinhaltet Computersysteme von Personen, die das Nachverfolgungssystem nutzen, des Nachverfolgungsdienstanbieters, oder einer berechtigten Organisation mit einem legitimen Mandat zum Zugang zu Nachverfolgungsinformationen. Der unzulässige Zugriff auf Computersysteme kann das Extrahieren oder Manipulieren der Nach Verfolgungsdaten umfassen. Ein Nachverfolgungssystem, das Datenschutz und die Privatsphäre der Nutzer des Nachverfolgungssystems gewährleistet, ist robust gegen Angriffe, wenn die Komprom ittierung irgendeines der involvierten Computersysteme dem Angreifer weder Zugang zur Gesamtheit der Nachverfolgungsdaten noch zu einem Teil davon ermöglicht. Das höchste Sicherheitsniveau für Nutzer des Nachverfolgungssystems wird erreicht, wenn Datenschutz und Privatsphäre gewährleistet sind, solange nur irgendein am Nachverfolgungssystem beteiligter Akteur, einschließlich dieser Person selbst, nicht kompromittiert ist. Auch wenn es möglicherweise nicht realisierbar ist, die unzulässige Verwendung des Nachverfolgungssystems zu verhindern, z.B. indem Angreifer ungültige Anwesenheitsinformationen für sich selbst protokollieren, muss es für jeden Nutzer des Nachverfolgungssystems unmöglich sein, die Integrität bestehender Daten durch Manipulation gültiger Nachverfolgungsdaten zu verletzen oder falsche Nachverfolgungsdaten für andere Nutzer des Nachverfolgungssystems zu generieren. The European General Data Protection Regulation (GDPR) is an EU law for data protection and privacy that regulates control over their personal data for individuals. An important goal in providing a data processing system for contact tracking is that such a system is compliant with the GDPR and at the same time fulfills other technical goals, e.g. that the system requires only a small amount of technical resources and has good scalability properties with regard to the number of people who use the tracking system, the number of reference points and the number of interactions between them. Relevant technical resources of the individual components of the tracking system include in particular CPU, memory, communication data rate and volume and energy. If a data processing system is to be provided for contact tracking, it is also important that the system has favorable technical properties such as a short response time for all input interfaces of the system, including user interfaces via which a user can enter inputs into the system, and that the system is robust is against attacks. Possible attacks include actors who have or can gain access to the computer systems of the tracking system. This includes computer systems owned by individuals using the tracking system, the tracking service provider, or an authorized organization with a legitimate mandate to access tracking information. Unauthorized access to computer systems can include extracting or tampering with tracking data. A tracking system that ensures data protection and the privacy of the users of the tracking system is robust against attacks if the compromise of any of the computer systems involved does not allow the attacker access to all or part of the tracking data. The highest level of security for users of the tracking system is achieved if data protection and privacy are guaranteed, as long as any actor involved in the tracking system, including this person himself, is not compromised. Even if it may not be feasible to prevent improper use of the tracking system, e.g. by having attackers log invalid presence information for themselves, it must be impossible for any user of the tracking system to violate the integrity of existing data by manipulating valid tracking data or incorrect tracking data for generate other users of the tracking system.
[0007] Bestehende Nachverfolgungssysteme, die Informationen über die Anwesenheit mobiler Kommunikationsgeräte an einem bestimmten Ort, oder in der Nähe anderer technischer Geräte, oder durch das Vorhandensein eines Markers in der Lesereichweite eines Markerlesegeräts sammeln, können zwar zur Kontaktnachverfolgung genutzt werden, erzielen jedoch möglicherweise nicht erstrebenswerte technische Eigenschaften. Bestimmte Nachverfolgungssysteme können mehr Ressourcen als erforderlich benötigen oder keine akzeptablen Antwortzeiten erzielen. Bestimmte Nachverfolgungssysteme können nicht ausreichend genaue Kontaktinformationen in Raum oder Zeit erfassen oder können nicht in der Lage sein, Kontakte zu physischen Substanzen zu registrieren. Bestimmte Nachverfolgungssysteme können keine Robustheit gegen Angriffe bieten oder können Privatsphäre, Datenschutz, Datensicherheit und Datenintegrität nicht gewährleisten. Existing tracking systems that collect information about the presence of mobile communication devices in a certain location, or in the vicinity of other technical devices, or by the presence of a marker within the reading range of a marker reader can be used for contact tracking, but may not achieve desirable technical properties. Certain tracking systems may use more resources than necessary or may not achieve acceptable response times. Certain tracking systems cannot capture sufficiently accurate contact information in space or time, or may not be able to register contacts with physical substances. Certain tracking systems cannot provide robustness against attacks or cannot guarantee privacy, data protection, data security and data integrity.
Darstellung der Erfindung Presentation of the invention
[0008] Im Folgenden wird ein neuartiges, Privatsphäre-schützendes Nachverfolgungssystem vorgestellt, das die Mängel bestehender Kontakt-Tracking-Systeme überwindet. Mit dem Nachverfolgungssystem können folgende Ziele erreicht werden: Effektive und präzise Kontaktnachverfolgung unter Wahrung der Privatsphäre, Entkopplung von Datenerfassung, Datenverarbeitung und Datenzugang, Zustimmungsbasierter Zugang zu personenbezogenen Daten und Anwesenheitsinformationen, Kryptografisch gesicherter Datenschutz auf Kenntnis-nur-bei- Bedarf-Basis, Transparenz im Erfassungsprozess zur Datenverfolgung, Einhaltung der EU- Datenschutzgrundverordnung. In the following, a novel, privacy-protecting tracking system is presented, which overcomes the shortcomings of existing contact tracking systems. The following goals can be achieved with the tracking system: Effective and precise contact tracking while preserving privacy, decoupling of data acquisition, data processing and data access, consent-based access to personal data and presence information, cryptographically secured data protection on knowledge-only-with- Requirements-based, transparency in the recording process for data tracking, compliance with the EU General Data Protection Regulation.
[0009] Das Nachverfolgungssystem ermöglicht keinen Zugriff auf persönliche Kontaktdaten und Anwesenheitsinformationen von Personen, die das Nachverfolgungssystem vollständig nutzen. Berechtigte Organisationen (z.B. eine Gesundheitsbehörde) können mit Zustimmung einer betroffenen Person (z.B. eine mit einer Infektionskrankheit infizierten Person) den Zugriff auf einzelne Nachverfolgungsdaten beantragen. Der Nachverfolgungsdienstanbieter kann Nachverfolgungsdaten einer betroffenen Person nur einer berechtigten Organisation zur Verfügung stellen, wenn das ausdrücklich von der betroffenen Person autorisiert wurde, z.B. durch Erhalt eines kryptografischen Schlüssels, um die Nachverfolgungsdaten zu entschlüsseln. The tracking system does not provide access to personal contact information and presence information of people who make full use of the tracking system. Authorized organizations (e.g. a health authority) can request access to individual tracking data with the consent of a data subject (e.g. a person infected with an infectious disease). The tracking service provider can only make tracking data of a data subject available to an authorized organization if this has been expressly authorized by the data subject, e.g. by receiving a cryptographic key in order to decrypt the tracking data.
[0010] Das Nachverfolgungssystem umfasst folgende Komponenten: The tracking system comprises the following components:
1. Ein oder mehrere eindeutige Nachverfolgungs-Marker, bei denen es sich um analoge oder digitale Token handeln kann, die eindeutige Kennungen für Personen, Objekte oder Orte darstellen und die von Menschen oder Maschinen gelesen werden können. 2. Ein oder mehrere Marker-Lesegeräte, mit denen eindeutige Marker gelesen werden können. Die Funktion als Marker-Lesegerät kann von Menschen oder Computersystemen, z.B. Mobilkommunikationsgeräten oder spezieller Hardware, bereitgestellt werden. Die Leseergebnisse der Marker können in Computersysteme aufgenommen und über Computemetzwerke, z.B. das Internet, auf andere Computersysteme übertragen werden. 3. Ein oder mehrere Server des Nachverfolgungssystems, die Verfahren zum Empfangen, Verarbeiten, Analysieren und Bereitstellen von Nachverfolgungsdaten ausführen können. Nachverfolgungsdaten können persönliche Kontaktinformationen von Nutzern und deren Anwesenheitsinformationen, die durch das Lesen eindeutiger Marker erzeugt werden, enthalten. 1. One or more unique tracking tokens, which can be analog or digital tokens that are unique identifiers for people, objects, or places and that can be read by humans or machines. 2. One or more marker readers that can be used to read unique markers. The function as a marker reading device can be provided by humans or computer systems, e.g. mobile communication devices or special hardware. The reading results of the markers can be recorded in computer systems and transferred to other computer systems via computer networks, e.g. the Internet. 3. One or more servers of the tracking system that can perform methods of receiving, processing, analyzing and providing tracking data. Tracking data may include users' personal contact information and their presence information generated by reading unique markers.
[0011] Das Nachverfolgungssystem unterstützt die folgenden Akteure: 1. Ein oder mehrere Nutzer des Nachverfolgungssystems, die eindeutige Marker erstellen oder lesen können. 2. Ein oder mehrere Nachverfolgungsdienstanbieter, die Server des Nachverfolgungssystems betreiben können. 3. Eine oder mehrere berechtigte Organisationen, die Zugang zu Nachverfolgungsdaten beantragen und Nachverfolgungsdaten empfangen können. The tracking system supports the following actors: 1. One or more users of the tracking system who can create or read unique markers. 2. One or more tracking service providers that can operate tracking system servers. 3. One or more authorized organizations that can request access to and receive tracking data.
[0012] Das Nachverfolgungssystem weist folgende Eigenschaften auf: 1. Objekte oder Orte an fester Stelle (z.B. Räume) oder in Bewegung (z.B. Züge) können mit eindeutigen Markern versehen werden. Objekte oder Orte können mit mehreren Ausführungen des gleichen Markers ausgestattet werden (z.B. um gleichzeitiges Lesen zu ermöglichen) oder mit mehreren verschiedenen eindeutigen Markern (z.B. um separat gehandhabte Kontaktzonen auszuweisen). 2. Personen, deren Anwesenheit an Objekten oder Orten oder deren Kontakte zu anderen Personen durch das Nachverfolgungssystem erfasst werden, können mit einem eindeutigen Nachverfolgungs-Marker versehen werden. 3. Personen, die mit einem Marker-Lesegerät ausgestattet sind, können eindeutige Marker des Nachverfolgungssystems lesen und kommunizieren ihre eigene eindeutige Kennung und die Kennung des gelesenen Markers zu Servern des Nachverfolgungssystems, um einen Kontakt zu bestätigen. Personen, die mit einem Marker-Lesegerät ausgestattet sind, können auch mehrere eindeutige Nachverfolgungs-Marker lesen, um den Kontakt zwischen ihnen zu bestätigen. Personen, die mit einem Computersystem ausgestattet sind, können einen Webbrowser oder eine bestimmte Anwendung (App) verwenden, um Kontaktinformationen an Server des Nachverfolgungssystems zu übermitteln. 4. Am Server des Nachverfolgungssystems können empfangene Kennungen von eindeutigen Markern eines Objekts, Orts oder einer Person genutzt werden, um die Anwesenheit der Person zu protokollieren, die das Marker-Lesegerät an einem bestimmten Objekt, Ort oder in direktem Kontakt mit einer anderen Person verwendete. The tracking system has the following properties: 1. Objects or locations at a fixed point (eg rooms) or in motion (eg trains) can be provided with unique markers. Objects or locations can be equipped with several versions of the same marker (e.g. to enable simultaneous reading) or with several different unique markers (e.g. to identify separately handled contact zones). 2. People whose presence at objects or locations or whose contacts with other people are recorded by the tracking system can be provided with a clear tracking marker. 3. Individuals equipped with a marker reader can read unique markers from the tracking system and communicate their own unique identifier and the identifier of the marker read to the tracking system servers to confirm a contact. Individuals equipped with a marker reader can also read several unique follow-up markers to confirm contact between them. People equipped with a computer system can use a web browser or a specific application (app) to transmit contact information to servers of the tracking system. 4. At the server of the tracking system, received identifiers of unique markers of an object, place or person can be used to record the presence of the person who used the marker reading device at a certain object, place or in direct contact with another person .
[0013] Das Nachverfolgungssystem umfasst die folgenden Komponenten: 1. Marker des Nachverfolgungssystems können von unterschiedlichem Typ sein (a) Ein möglicher Typ eines Markers ist ein Matrix-Barcode-Etikett. Ein solcher zweidimensionaler Barcode wird auch als QR- Code (Quick Response Code) bezeichnet. Er enthält häufig Daten, die eine Web-Ressource in Form einer URL (Uniform Resource Locator) angeben (b) Marker können auch von einem anderen Typ sein, z.B. Barcodes (linearer oder eindimensionaler Barcode) oder RFID-Marker (Radio Frequency Identifier Tags) oder Bluetooth-Beacons oder Wifi-Geräte, die Beacon-Frames senden, oder auf andere Mittel basierend die geeignet sind einen Marker zu realisieren (c) Marker können auch vordefinierte Zeitdauern eines Kontakts enthalten, z.B. eine bestimmte Anzahl Minuten, Stunden oder Tage, oder sie können einen dauerhaften Kontakt repräsentieren, z.B. für Familienmitglieder, oder für ständig besuchte Orte oder kontinuierlich benutzte Objekte. The tracking system comprises the following components: 1. Markers of the tracking system can be of different types (a) One possible type of marker is a matrix barcode label. Such a two-dimensional barcode is also referred to as a QR code (Quick Response Code). It often contains data that specifies a web resource in the form of a URL (Uniform Resource Locator) (b) Markers can also be of another type, e.g. barcodes (linear or one-dimensional barcode) or RFID markers (Radio Frequency Identifier Tags) or Bluetooth beacons or Wifi devices that send beacon frames, or based on other means that are suitable for realizing a marker they can represent permanent contact, e.g. for family members, or for constantly visited places or objects that are used continuously.
[0014] Ein Bezugspunkt (BP) gibt einen bestimmten Punkt im dreidimensionalen Raum eines Ortes an. Ein BP kann mit einer standortspezifischen Kennung identifiziert werden und mit einem Marker des Nachverfolgungssystems gekennzeichnet werden, mit dem die ortsspezifische Kennung gelesen werden kann. Eine Möglichkeit, das Lesen der ortsspezifischen Kennung zu ermöglichen, besteht darin, den BP mit einem QR-Code zu markieren, der die ortsspezifische Kennung enthält. Ein Standort kann mit einem oder mehreren Markern ausgestattet sein. Jeder Marker eines Standorts kann eine eindeutige standortspezifische Kennung haben. In diesem Fall können verschiedene BPs an diesem Ort durch das Nachverfolgungssystem unterschieden werden. Alternativ ist es möglich, dass mehrere Marker an einem Standort die gleiche standortspezifische Kennung haben. In diesem Fall sind die Marker, die die gleiche standortspezifischen Kennung verwenden, demselben BP zugeordnet. Eine ortsspezifische Kennung des Nachverfolgungssystems kann in Form eines Binärwerts fester Länge, einer Zahl oder einer Textzeichenfolge dargestellt werden. A reference point (BP) indicates a specific point in the three-dimensional space of a location. A BP can be identified with a location-specific identifier and marked with a marker of the tracking system with which the location-specific identifier can be read. One way of enabling the location-specific identifier to be read is to mark the BP with a QR code that contains the location-specific identifier. A location can be equipped with one or more markers. Each location marker can have a unique location-specific identifier. In this case, different BPs in this location can be distinguished by the tracking system. Alternatively, it is possible that several markers at one location have the same location-specific identifier. In this case, the markers that use the same location-specific identifier are assigned to the same BP. A location-specific identifier of the tracking system can be represented in the form of a binary value of fixed length, a number or a text string.
[0015] Eine Ortsvorwahl ist eine numerische oder alphanumerische Kennung, die ein geografisches Gebiet angibt. Eine Möglichkeit für eine Ortsvorwahl ist eine Postleitzahl. Ein Ort kann einer Ortsvorwahl zugeordnet werden. Aufgrund der Tatsache, dass viele Personen einer Ortsvorwahl zugeordnet werden können, können statistische Informationen zu den mit der Ortsvorwahl verbundenen Personen auf datenschutzrechtliche Weise veröffentlicht werden. An area code is a numeric or alphanumeric identifier that indicates a geographic area. One possibility for an area code is a zip code. A place can be assigned to an area code. Due to the fact that many people can be assigned to an area code, statistical information on the people associated with the area code can be published in a data protection manner.
[0016] Personen sind über persönliche Kontaktinformationen (Personal Contact Information, PCI) erreichbar. Mögliche Varianten persönlicher Kontaktinformationen sind Telefonnummern und E- Mail-Adressen. Eine Telefonnummer ist eine Nummer, die beispielsweise gemäß des Standards E.164 formatiert ist und einem Gerät, einer Person, einer Organisation oder einem Dienst zugeordnet ist. Eine E-Mail-Adresse ist eine Adresse eines E-Mail-Dienstes, die einem Gerät, einer Person, einer Organisation oder einem Dienst zugeordnet ist. RFC 5322 gibt das Adressformat (addr-spec) von SMTP (Simple Mail Transfer Protocol) E-Mails an. Zusätzlich zur addr-spec kann die allgemein übliche E-Mail-Adresse auch einen Anzeigenamen, einen Kommentar oder beides enthalten. Es gibt anonyme E-Mail-Provider, die Nutzern anonyme E-Mail-Adressen zur Verfügung stellen. Das Nachverfolgungssystem ermöglicht es Nutzern, eine anonyme E-Mail-Adresse als persönliche Kontaktinformation anzugeben, wodurch ein hohes Maß an Datenschutz gewährleistet wird. Persönliche Kontaktinformationen können auch von anderer Art sein, z.B. in Form einer Instant- Messaging-Nutzer-Kennung oder in Form anderer Informationen, mit denen eine Person kontaktiert werden kann. Individuals can be reached via personal contact information (PCI). Possible variants of personal contact information are telephone numbers and e-mail addresses. A telephone number is a number that is formatted according to the E.164 standard, for example, and is assigned to a device, a person, an organization or a service. An email address is an email service address that is assigned to a device, person, organization, or service. RFC 5322 specifies the address format (addr-spec) of SMTP (Simple Mail Transfer Protocol) emails. In addition to the addr-spec, the common email address can also contain a display name, a comment, or both. There are anonymous email providers who provide users with anonymous email addresses. The tracking system enables users to provide an anonymous email address as personal contact information, which ensures a high level of data protection. Personal contact information can also be of another type, e.g. in the form of an instant messaging user identifier or in the form of other information with which a person can be contacted.
[0017] Eine persönliche Identifikationsnummer (PIN) ist ein numerisches oder alphanumerisches Passwort (PW), das beim Prozess der Authentifizierung eines Nutzers, der auf ein System zugreift, verwendet wird. Das System ermöglicht es Personen, eine PIN oder ein PW zu wählen, um ihre persönlichen Daten einschließlich ihrer PCI zu schützen, wenn sie von Komponenten des Nachverfolgungssystems verarbeitet werden. Nutzer des Nachverfolgungssystems werden bei der Durchführung eines Nutzerregistrierungsverfahrens eindeutige Nutzerkennungen zugewiesen. Durch die Verwendung kryptografischer Hash-Funktionen zum Berechnen der Nutzer-ID basierend auf eingegebenen persönlichen Daten, z.B. persönlichen Kontaktinformationen oder PIN oder Passwort oder einer Kombination davon, wird die Eindeutigkeit der Nutzer-ID sichergestellt, während es unmöglich ist, persönliche Daten aus der Nutzer-ID zu rekonstruieren. A personal identification number (PIN) is a numeric or alphanumeric password (PW) that is used in the process of authenticating a user accessing a system. The system enables individuals to choose a PIN or PW to protect their personal data, including their PCI, when processed by components of the tracking system. Users of the tracking system are assigned unique user IDs when a user registration process is carried out. By using cryptographic hash functions to calculate the user ID based on entered personal data, e.g. personal contact information or PIN or password or a combination thereof, the uniqueness of the user ID is ensured while it is impossible to extract personal data from the user -ID to be reconstructed.
[0018] Das Nachverfolgungssystem führt ein Protokoll, um Anwesenheits- und Kontaktinformationen zu sammeln. Ein Anwesenheitsdatensatz wird im Protokoll für jeden Nutzer gespeichert, der an einem bestimmten Ort mit ortsspezifischer Kennung anwesend war, und der eine authentifizierte Leseprozedur mit dem eindeutigen Marker dieses Ortes durchgeführt hat. Ein Kontaktdatensatz wird im Protokoll für jeden Nutzer gespeichert, der Kontakt mit einem bestimmten Objekt hatte, das durch eine eindeutige Nutzerkennung und eine objektspezifische Kennung identifiziert wurde, und der eine authentifizierte Leseprozedur mit dem eindeutigen Marker dieses Objekts durchgeführt hat. Ein Kontaktdatensatz wird im Protokoll für jeden Nutzer gespeichert, der Kontakt zu einem anderen Nutzer hatte, der durch eine eindeutige Nutzerkennung und eine personenbezogene Kennung identifiziert wurde, und der ein authentifiziertes Leseverfahren mit dem eindeutigen Marker dieses Nutzers durchgeführt hat. Das Protokoll sammelt verschlüsselte Datensätze und stellt so die datenschutzrechtliche Eigenschaft des Nachverfolgungssystems sicher. Da kryptografische Funktionen zum Verschlüsseln von Datensätzen mit Anwesenheits- und Kontaktinformationen verwendet werden, wird das Protokoll des Nachverfolgungssystems auch als Krypto-Protokoll bezeichnet. The tracking system maintains a log to collect presence and contact information. A presence record is stored in the log for each user who was present at a specific location with a location-specific identifier, and the one has performed an authenticated reading procedure with the unique marker of this location. A contact data record is stored in the log for each user who had contact with a certain object, which was identified by a unique user ID and an object-specific identifier, and who carried out an authenticated reading procedure with the unique marker of this object. A contact data record is stored in the log for each user who had contact with another user who was identified by a unique user ID and a personal identifier and who carried out an authenticated reading process with the unique marker of this user. The protocol collects encrypted data records and thus ensures the data protection properties of the tracking system. Because cryptographic functions are used to encrypt records of presence and contact information, the tracking system's protocol is also known as the crypto-protocol.
[0019] Anwesenheits- und Kontaktinformationen, die in verschlüsselter Form im Protokoll gespeichert sind, umfassen PCI, PIN und zusätzliche persönliche Attribute wie Geburtsjahr, Ortsvorwahl der Person und Attribute eines Orts wie Ortsvorwahl des Standorts und Ortsbeschreibungen. Das Nachverfolgungssystem verschlüsselt mit einem kryptografischen Schlüssel des Nachverfolgungssystems bestimmte Teile der Daten, die im Protokoll gespeichert sind und verhindert so unbefugten Zugriff auf die Daten. Das Nachverfolgungssystem verwendet andere spezifische Teile der Daten, die im Protokoll gespeichert sind, insbesondere PCI, unter Verwendung eines öffentlichen Schlüssels einer autorisierten Organisation, wodurch unbefugter Zugriff auf diese Teile der Daten verhindert wird. Dies verhindert den Zugang von Betreibern der Nachverfolgungsserver auf diese Teile der Daten zuzugreifen, und gewährleistet so ein hohes Maß an Datenschutz und IT-Sicherheit des Nachverfolgungssystems. Die Verschlüsselung bestimmter Teile der Daten, die im Protokoll gespeichert sind, einschließlich der PCI, kann unter Verwendung eines öffentlichen Schlüssels einer autorisierten Organisation innerhalb einer kryptografischen Funktion durchgeführt werden, die auf dem mobilen Kommunikationsgerät eines Nutzers des Systems ausgeführt wird. Die Verschlüsselung bestimmter Teile der Daten, die im Protokoll gespeichert sind, einschließlich der PCI, kann in einem Webbrowser des Mobilkommunikationsgeräts eines Nutzers durchgeführt werden, wodurch die Notwendigkeit eliminiert wird, eine bestimmte App auf diesem mobilen Kommunikationsgerät zu installieren. Presence and contact information, which is stored in encrypted form in the log, include PCI, PIN and additional personal attributes such as year of birth, area code of the person and attributes of a location such as area code of the location and location descriptions. The tracking system uses a cryptographic key of the tracking system to encrypt certain parts of the data that are stored in the log, thus preventing unauthorized access to the data. The tracking system uses other specific parts of the data stored in the log, particularly PCI, using an authorized organization's public key, thereby preventing unauthorized access to these parts of the data. This prevents the operators of the tracking server from accessing these parts of the data, and thus ensures a high level of data protection and IT security for the tracking system. The encryption of certain parts of the data stored in the log, including the PCI, can be carried out using a public key of an authorized organization within a cryptographic function which is carried out on the mobile communication device of a user of the system. The encryption of certain parts of the data stored in the log, including the PCI, can be performed in a web browser of a user's mobile communication device, thereby eliminating the need to install a specific app on that mobile communication device.
[0020] Das Nachverfolgungssystem unterstützt die folgenden Verfahren: Nutzerregistrierungsverfahren, Nutzerauthentifizierungsverfahren, Marker-Erstellungsverfahren, Marker-Leseverfahren, Verschlüsselte Protokollierung, Nachverfolgungs-Autorisierungsverfahren Kontaktübertragungsverfahren, Statistikübertragungsverfahren. Die Server des Nachverfolgungssystems können eine oder mehrere Verfahren des Nachverfolgungssystems unterstützen. The tracking system supports the following methods: user registration method, user authentication method, marker creation method, marker reading method, encrypted logging, tracking authorization method Contact transmission method, statistics transmission method. The tracking system servers can support one or more methods of the tracking system.
[0021] Das Nachverfolgungssystem besteht aus mehreren Komponenten, einschließlich eines oder mehrerer Server. Jeder Server des Nachverfolgungssystems kann eines oder mehrere Verfahren der Menge von Verfahren des Nachverfolgungssystems unterstützen. Ein Server des Nachverfolgungssystems kann einem oder mehreren Servertypen zugeordnet werden, je nachdem welche Teilmenge der vom Server unterstützten Verfahren durchgeführt werden. Ein Servertyp kann ein Registrierungsserver sein, also ein Server der das Verfahren zur Registrierung und Authentifizierung von Nutzern, die Erstellung von Markern oder die Autorisierung zu Kontaktnachverfolgung unterstützt. Ein Servertyp kann ein Marker-Server sein, also ein Server der das Leseverfahren von Markern unterstützt. Ein Servertyp kann ein Protokollierungsserver sein, also ein Server der das verschlüsselte Protokollierungsverfahren, das Übertragen von Kontakten oder das Übertragen von Statistiken unterstützt. Es ist möglich, dass ein Server eines bestimmten Typs nicht nur ein oder mehrere Verfahren unterstützt, die für diesen Servertyp charakteristisch ist, sondern auch eine zusätzliche Untergruppe von Verfahren. Beispielsweise ist es möglich, dass ein Registrierungsserver auch das verschlüsselte Protokollierungsverfahren unterstützt. Eine charakteristische Eigenschaft des Nachverfolgungssystems ist, dass nicht jeder Servertyp und nicht jeder bestimmte Server alle Verfahren des Nachverfolgungssystems unterstützen muss. Diese Eigenschaft ermöglicht die Trennung von Daten und Funktionen des Nachverfolgungssystems, sowie von Zugriffsrechten von Administratoren zwischen verschiedenen Servern. Dadurch werden Datenschutz, IT-Sicherheit und Privatsphäre verbessert. The tracking system consists of several components including one or more servers. Each server of the tracking system can support one or more methods of the set of methods of the tracking system. A server of the tracking system can be assigned to one or more server types, depending on which subset of the methods supported by the server are carried out. One type of server can be a registration server, i.e. a server that supports the procedure for registering and authenticating users, creating markers or authorizing contact tracking. One type of server can be a marker server, i.e. a server that supports the reading process of markers. One type of server can be a logging server, i.e. a server that supports the encrypted logging process, the transfer of contacts or the transfer of statistics. It is possible that a server of a certain type supports not only one or more methods which are characteristic of this server type, but also an additional subgroup of methods. For example, it is possible that a registration server also supports the encrypted logging method. A characteristic of the tracking system is that not every type of server and not every particular server has to support all of the methods of the tracking system. This property enables the separation of data and functions of the tracking system, as well as the access rights of administrators between different servers. This improves data protection, IT security and privacy.
[0022] Server des Nachverfolgungssystems werden von einem oder mehreren Betreibern betrieben. Verschiedene Server des Nachverfolgungssystems können von verschiedenen Betreibern betrieben werden, z.B. um Verantwortlichkeiten zu teilen oder zu trennen. Ein Betreiber eines Nachverfolgungsservers kann einen Servertyp betreiben, und ein anderer Betreiber kann einen anderen Typ Server betreiben, wodurch das Zugriffsrecht der Administratoren jedes Betreibers auf eine bestimmte Teilmenge von Servertypen beschränkt wird. Diese Eigenschaft kann Datenschutz, IT-Sicherheit und Privatsphäre des Nachverfolgungssystems weiter verbessern. Servers of the tracking system are operated by one or more operators. Different servers of the tracking system can be operated by different operators, e.g. to share or separate responsibilities. One operator of a tracking server can operate one type of server and another operator can operate another type of server, thereby restricting the access rights of the administrators of each operator to a certain subset of server types. This property can further improve data protection, IT security and privacy of the tracking system.
[0023] Die Nachverfolgungssysteme können berechtigten Organisationen Zugriff auf Nachverfolgungsdaten gewähren: Bestimmte Organisationen können eine Berechtigung besitzen. Organisationen können eine Berechtigung erhalten, falls sie autorisiert sind mit spezifischen personenbezogenen Daten umzugehen. Spezifische personenbezogene Daten können sensible Gesundheitsinformationen enthalten. Zu den Organisationen, die sich mit Gesundheitsinformationen befassen, gehören Gesundheitsdienstleister und Gesundheitsbehörden. Ein Gesundheitsdienstleister erbringt Gesundheitsdienstleistungen für Menschen und ist berechtigt, mit sensiblen Gesundheitsinformationen von Nutzern gemäß der Gesetze und Vorschriften des Gesundheitswesens umzugehen. Eine Gesundheitsbehörde handelt im Namen der Regierung gemäß geltenden Rechts (z.B. des Infektionsschutzgesetzes). The tracking systems can grant authorized organizations access to tracking data: Certain organizations can have authorization. Organizations can receive authorization if they are authorized to handle specific personal data. Specific personal data can contain sensitive health information. Organizations dealing with health information include health care providers and health authorities. A healthcare provider provides health services to people and is authorized to handle sensitive health information from users in accordance with health care laws and regulations. A health authority acts on behalf of the government in accordance with applicable law (e.g. the Infection Protection Act).
[0024] Um die Ausbreitung einer Infektionskrankheit zu begrenzen, kann eine Gesundheitsorganisation frühere Kontakte dieser Person nachverfolgen, wenn eine Person positiv auf eine Infektionskrankheit getestet wurde. Zur Umsetzung des Kenntnis-nur-bei-Bedarf-Prinzips für Gesundheitsorganisationen stellt der Nachverfolgungsdienstleister der Gesundheitsorganisation nur den gemäß einer Kontaktnachverfolgungs-Autorisierungs-Prozedur autorisierten Teil der Protokolldaten zur Verfügung. Die Durchführung dieser Prozedur ermöglicht es, dass die Erfordernisse des spezifischen Falls berücksichtigt werden, wodurch die Anforderungen des Kenntnis-nur-bei-Bedarf-Prinzips erfüllt werden. Diese Eigenschaft des Nachverfolgungssystems vermeidet, dass eine Behörde des öffentlichen Gesundheitswesens Zugriff auf alle von einem Nachverfolgungssystem protokollierten Anwesenheits- und Kontaktinformationen erhalten muss, um eine Kontaktnachverfolgung durchzuführen zu können, zu der sie rechtlich autorisiert ist. Die Kenntnis-nur-bei-Bedarf-Anforderungen spezifizieren das Zeitfenster, in dem die Gesundheitsorganisation Zugriff auf die verschlüsselten Protokolldaten bezüglich Anwesenheit und Kontakt einer infizierten Person erhält. Anwesenheits- und Kontaktinformationen einer infizierten Person enthalten Orte zusammen mit dem Zeitpunkt der Anwesenheit einer infizierten Person, sowie Zeit- und Ortsinformationen ihrer Kontakte, persönliche Kontaktinformationen der Kontaktpersonen und weitere Informationen zu physikalischen Substanzen, zu denen eine infizierte Person Kontakt hatte. To limit the spread of an infectious disease, a health organization can track previous contacts that person has when a person tests positive for an infectious disease. To implement the knowledge-only-when-needed principle for health organizations, the tracking service provider only provides the health organization with the part of the log data authorized in accordance with a contact tracking authorization procedure. Carrying out this procedure enables the needs of the specific case to be taken into account, thereby fulfilling the knowledge-only-when-needed requirements. This property of the tracking system avoids the need for a public health agency to have access to all attendance and contact information logged by a tracking system in order to conduct contact tracking for which it is legally authorized. The knowledge-only-when-required requirements specify the time window in which the health organization is given access to the encrypted log data relating to the presence and contact of an infected person. The presence and contact information of an infected person contains locations along with the time of the presence of an infected person, as well as time and location information of their contacts, personal contact information of the contact persons and other information about physical substances with which an infected person has been in contact.
[0025] Das Nachverfolgungssystem kann einer berechtigten Organisation bestimmte Daten bereitstellen. Die Bereitstellung von Zugriffsrechten einer berechtigten Organisation auf spezifische Daten erfordert, dass das Verfahren zur Autorisierung der Kontaktnachverfolgung erfolgreich durchgeführt wurde. Kryptografische Funktionen werden verwendet um sicherzustellen, dass die berechtigte Organisation nur Zugriff auf die spezifischen Daten erhält, für die sie erfolgreich autorisiert wurde. Ein Merkmal des Nachverfolgungssystems besteht darin, dass die berechtigte Organisation einen kryptografi sehen Schlüssel verwendet, um auf die spezifischen Informationen des Nachverfolgungssystems zuzugreifen, für welche sie autorisiert wurde. The tracking system can provide certain data to an authorized organization. The provision of access rights of an authorized organization to specific data requires that the procedure for authorization of the contact tracing has been carried out successfully. Cryptographic functions are used to ensure that the authorized organization only has access to the specific data for which it has been successfully authorized. A feature of the tracking system is that the authorized organization uses a cryptographic key to access the specific tracking system information for which it is authorized.
Kurze Beschreibung der Zeichnungen Brief description of the drawings
Figur 1 zeigt ein mobiles Kommunikationsgerät eines Nutzers des Nachverfolgungssystems, dessen Benutzeroberfläche unterschiedliche Informationen anzeigt. Figur 2 zeigt die verteilte Systemarchitektur des Nachverfolgungssystems, wobei mobile Kommunikationsgeräte über Lastausgleichsserver mit Registrierungsservern, Marker-Servern und Protokollierungsservem kommunizieren, die mit Privatsphäre-erhaltenden Verarbeitungsservern des Nachverfolgungssystems kommunizieren, die mit Servern berechtigter Personen Organisationen kommunizieren. Figur 3 zeigt Details des Nachverfolgungssystems mit einem mobilen Kommunikationsgerät, das mit Marker-Servern, Registrierungsservern und Protokollierungsservern kommunizieren kann. Figur 4 zeigt Komponenten des Nachverfolgungssystems, die an der Nutzerregistrierung beteiligt sind. Figur 5 zeigt Komponenten des Nachverfolgungssystems, die einen Teil der Nutzerregistrierung durchfuhren. Figur 6 zeigt Komponenten des Nachverfolgungssystems, die einen anderen Teil der Nutzerregistrierung durchfuhren. Figur 7 zeigt Komponenten des Nachverfolgungssystems, die an dem Marker-Leseverfahren beteiligt sind. Figur 8 zeigt Komponenten des Nachverfolgungssystems, die einen Teil des Marker-Leseverfahrens ausfuhren. Figur 9 zeigt Komponenten des Nachverfolgungssystems, die einen anderen Teil des Leseverfahrens ausfiihren. Figur 10 zeigt Komponenten des Nachverfolgungssystems, die das verschlüsselte Protokollierungsverfahren ausfiihren. FIG. 1 shows a mobile communication device of a user of the tracking system, the user interface of which displays different information. FIG. 2 shows the distributed system architecture of the tracking system, with mobile communication devices using load balancing servers with registration servers, marker servers and logging servers that communicate with privacy-maintaining processing servers of the tracking system that communicate with servers of authorized persons organizations. FIG. 3 shows details of the tracking system with a mobile communication device that can communicate with marker servers, registration servers and logging servers. FIG. 4 shows components of the tracking system that are involved in user registration. FIG. 5 shows components of the tracking system which carry out part of the user registration. FIG. 6 shows components of the tracking system which carry out another part of the user registration. Figure 7 shows components of the tracking system involved in the marker reading process. Figure 8 shows components of the tracking system that perform part of the marker reading process. Figure 9 shows components of the tracking system that perform another part of the reading process. FIG. 10 shows components of the tracking system which carry out the encrypted logging method.
Wege zur Ausführung der Erfindung Ways of Carrying Out the Invention
[0026] Details der kryptographi sehen Funktionen des Nachverfolgungssystems werden im Folgenden erläutert: Das Nachverfolgungssystem verwendet ein asymmetrisch kryptografisches Schema mit einem öffentlichen Schlüssel +k, einem privaten Schlüssel -k, einer Verschlüsselungsfunktion enc und einer Entschlüsselungsfunktion dec. Für jedes Datenobjekt m kann jede Entität, die den öffentlichen Schlüssel kennt, unter Verwendung des öffentlichen Schlüssels +k einen Chiffretext c=enc (+k, m) erzeugen. Nur der Besitzer des privaten Schlüssels -k kann den Chiffretext entschlüsseln, um das Datenobjekt zu erhalten: m=dec (-k, c). Details of the cryptographic functions of the tracking system are explained below: The tracking system uses an asymmetric cryptographic scheme with a public key + k, a private key -k, an encryption function enc and a decryption function dec. For each data object m, each entity that knows the public key can generate a cipher text c = enc (+ k, m) using the public key + k. Only the owner of the private key -k can decrypt the ciphertext to obtain the data object: m = dec (-k, c).
[0027] Das Nachverfolgungssystem verwendet öffentliche Schlüssel des Nachverfolgungsdienstanbieters, um bestimmte Daten zu verschlüsseln. Das Nachverfolgungssystem verwendet öffentliche Schlüssel berechtigter Organisationen +k_eo, um bestimmte Daten zu verschlüsseln, auf die nur die berechtigte Organisation zugreifen können soll. Gleichzeitig erhält die berechtigte Organisation nur dann Zugriff auf diese Teilmenge der spezifischen Informationen, die mit einem ihrer öffentlichen Schlüssel verschlüsselt wurden, wenn ein Verfahren zur Autorisierung der Kontaktnachverfolgung erfolgreich durchgefuhrt wurde. The tracking system uses public keys from the tracking service provider to encrypt certain data. The tracking system uses public keys of authorized organizations + k_eo to encrypt certain data that only the authorized organization should be able to access. At the same time, the authorized organization only has access to this subset of the specific information that has been encrypted with one of its public keys if a procedure for authorizing contact tracing has been successfully carried out.
[0028] Ein kryptografi scher Algorithmus, der zum Generieren von verschlüsselten Daten aus dem öffentlichen Schlüssel und dem Datenobjekt verwendet werden kann, ist OpenPGP, das von der OpenPGP-Arbeitsgruppe der Internet Engineering Task Force (IETF) in RFC 4880 spezifiziert wurde. RFC 4880 gibt Datenformate zum Übertragen verschlüsselter Informationen an. Zu den spezifizierten Paketformaten gehören Public-Key Encrypted Session Key Packeis (Tag 1). RFC 8017 spezifiziert PKCS #1, RSA Cryptography Specifications Version 2.2, spezifiziert kryptografi sehe Primitive von RSA, Verschlüsselungsschemata und ASN.l -Syntax zur Darstellung von Schlüsseln und zur Identifizierung der Schemata. Die in RFC 8017 angegebenen Verschlüsselungsschemata umfassen RSAES-OAEP, ein Schema, das das RSA-Verschlüsselungsprimitiv (RSAEP), das RSA- Entschlüsselungsprimitiv (RSADP) und die EME-OAEP-Codierungsmethode kombiniert, die auf dem optimalen asymmetrischen Verschlüsselungsschema von Bellare und Rogaway basiert. One cryptographic algorithm that can be used to generate encrypted data from the public key and the data object is OpenPGP, which was specified in RFC 4880 by the OpenPGP working group of the Internet Engineering Task Force (IETF). RFC 4880 specifies data formats for transmitting encrypted information. The specified packet formats include Public-Key Encrypted Session Key Packeis (Day 1). RFC 8017 specifies PKCS # 1, RSA Cryptography Specifications Version 2.2, specifies RSA cryptographic primitives, encryption schemes and ASN.l syntax for the representation of keys and to identify the schemes. The encryption schemes specified in RFC 8017 include RSAES-OAEP, a scheme that combines the RSA encryption primitive (RSAEP), the RSA decryption primitive (RSADP), and the EME-OAEP encoding method, which is based on the optimal asymmetric encryption scheme by Bellare and Rogaway .
[0029] Nutzer des Systems können Personen sein, die Standorte besuchen und möglicherweise Kontakte zu anderen Personen an diesen Standorten haben, oder Personen, die einem Standort zugeordnet sind, der mit einem Marker ausgestattet ist. Users of the system can be people who visit locations and possibly have contact with other people at these locations, or people who are assigned to a location that is equipped with a marker.
[0030] Figur 3 zeigt relevante Komponenten des Nachverfolgungssystems: Figur 3 zeigt ein mobiles Kommunikationsgerät 601 , die mit mehreren Servern eines Nachverfolgungssystems kommunizieren kann, einschließlich eines Registrierungsservers 603, eines MarkerMarker-Servers 602 und eines Protokollierungsservers 607. Das mobile Kommunikationsgerät 601 kann Daten zum Schutz der Privatsphäre unter Verwendung eines öffentlichen Schlüssels des Nachverfolgungssystems +k_ts 612 und unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation +k_eo 613 verschlüsseln. Das mobile Kommunikationsgerät 601 hat einen lokalen Speicher 604, der eine Nutzer-ID enthält, die von einem Server des Nachverfolgungssystems empfangen wurde, und einen Nutzerschlüssel, der aus einer kryptografischen Hash-Funktion auf dem Nutzergerät hervorgeht und so einen Hash-Wert produziert, der persönliche Kontaktinformationen und das Passwort enthält. Der lokale Speicher 604 enthält auch einen Datenelement-C-Kontakt, der das Ergebnis eines auf dem Nutzergerät ausgefuhrten Verfahren ist, das ein verschlüsseltes Datenelement unter Verwendung der kryptografischen Funktion eines/für einen öffentlichem Schlüssel erzeugt und das als öffentlichen Schlüssel den öffentlichen Schlüssel einer berechtigten Organisation und als Eingabedaten persönliche Kontaktinformationen verwendet. Figure 3 shows relevant components of the tracking system: Figure 3 shows a mobile communication device 601 that can communicate with multiple servers of a tracking system, including a registration server 603, a MarkerMarker server 602 and a logging server 607. The mobile communication device 601 can transfer data to Protection of privacy using a public key of the tracking system + k_ts 612 and encrypting using a public key of an authorized organization + k_eo 613. The mobile communication device 601 has a local memory 604 that contains a user ID that was received from a server of the tracking system and a user key that results from a cryptographic hash function on the user device and thus produces a hash value that Contains personal contact information and password. The local storage 604 also contains a data element C-contact which is the result of a method executed on the user device that generates an encrypted data element using the cryptographic function of / for a public key and which, as the public key, is the public key of an authorized person Organization and personal contact information used as input data.
[0031] Mit diesen Komponenten unterstützt das Nachverfolgungssystem die folgenden Verfahren: Nutzerregistrierungsverfahren, Nutzerauthentifizierungsverfahren, Marker-Erstellungsverfahren, Marker-Leseverfahren, Verschlüsselte Protokollierungsverfahren, Nachverfolgungs- Autorisierungsverfahren, Kontaktübertragungsverfahren, Statistikübertragungsverfahren. With these components, the tracking system supports the following methods: user registration method, user authentication method, marker creation method, marker reading method, encrypted logging method, tracking authorization method, contact transmission method, statistics transmission method.
[0032] Im Folgenden werden die Verfahren des Nachverfolgungssystems in weiteren Details beschrieben. Nutzer können ein Nutzerregistrierungsverfahren mit dem Nachverfolgungssystem durchfuhren. Bei der Registrierung einer Person gibt ein Nutzer des Nachverfolgungssystems persönliche Kontaktinformationen, eine PIN oder ein Passwort sowie Attribute der Person wie Ortsvorwahl und Alter ein. Das Nutzergerät und ein Server des Nachverfolgungssystems führen ein Registrierungsprotokoll durch, das kryptografische Verfahren einschließlich Verschlüsselungs- und kryptografischer Hash-Funktionen, mit kryptografischen Schlüsseln des Nachverfolgungssystems und der berechtigten Organisation, verwendet. Nach Abschluss des Registrierungsvorgangs hat das In the following, the methods of the tracking system are described in further detail. Users can perform a user registration process with the tracking system. When registering a person, a user of the tracking system enters personal contact information, a PIN or a password, and attributes of the person such as area code and age. The user device and a server of the tracking system perform a registration protocol that uses cryptographic methods including encryption and cryptographic hash functions with cryptographic keys of the tracking system and the authorized organization. After the registration process is complete, the
1 i Nutzergerät eine lokale Datenstruktur mit einer Nutzer-ID eingerichtet und das Nachverfolgungssystem im Registrierungsprotokoll einen Eintrag, der ein Registrierungsdatensatz ist. Der Registrierungsdatensatz kann eine Nutzer-ID, einen nutzerspezifischen Schlüssel (als userkey bezeichnet) und verschlüsselte Daten mit Attributen der Person (wie Ortsvorwahl und Alter) enthalten. 1 i User device set up a local data structure with a user ID and the tracking system in the registration log an entry that is a registration data record. The registration data record can contain a user ID, a user-specific key (referred to as a userkey) and encrypted data with attributes of the person (such as area code and age).
[0033] Das Nutzerregistrierungsverfahren kann die folgenden technischen Funktionen umfassen: Es kann Eingabedaten, einschließlich persönlicher Kontaktinformationen (PCI) und eines PIN-Codes oder Passworts (PW) sowie einer Länder- und/oder Ortsvorwahl und optionaler persönlicher Attribute wie Alter, erhalten. Es kann ein verschlüsseltes Datenelement (c-contact genannt) generieren, das persönliche Kontaktinformationen (PCI) enthält und von einer berechtigten Organisation entschlüsselt werden kann. Es kann eine lokale Struktur für personenbezogene Daten generieren, die persönliche Attribute wie Alter und Ortsvorwahl des Wohnsitzes, sowie das verschlüsselte Datenelement mit persönlichen Kontaktinformationen enthält. Es kann einen nutzerspezifischen Schlüssel (userkey genannt) generieren. Eine Möglichkeit den Nutzerschlüssel zu generieren besteht darin, dass ein Verfahren auf dem Nutzergerät ausgefuhrt wird, das einen Hashwert durch eine kryptografische Hashfunktion generiert und Eingabedaten aus der lokalen Struktur personenbezogener Daten verwendet. Es kann ein zusätzliches verschlüsseltes Datenelement mit Attributen (abgekürzt c-attributes) generieren. Zu den Attributen einer Person können die Ortsvorwahl des Wohnsitzes und das Alter gehören. Die Attribute werden so verschlüsselt, dass sie vom Nachverfolgungssystem entschlüsselt werden können. Das Datenelement mit der verschlüsselten Ortsvorwahl heißt c-area-code. Das Datenelement mit dem verschlüsselten Alter heißt c-age. Es kann eine Registrierungsnachricht mithilfe einer Datenstruktur verfassen, die den nutzerspezifischen Schlüssel (userkey) und die persönlichen Attribute (c-attributes) enthält, die vom Nachverfolgungsdienstanbieter entschlüsselt werden können, und sendet die Registrierungsnachricht an den Registrierungsserver des Nachverfolgungssystems. Es kann vom Nachverfolgungssystem eine eindeutige Nutzer-ID (userid genannt) erhalten. Eine Möglichkeit zum Generieren des Nutzerschlüssels besteht darin, dass der Registrierungsserver ein Verfahren ausführt, das mithilfe einer kryptografi sehen Hashfunktion einen Hashwert generiert und Eingabedaten aus der Registrierungsnachricht verwendet. Es kann den Registrierungsvorgang auf dem Nutzergerät abschließen, indem es die lokale Struktur der persönlichen Daten aktualisiert, die folgende Datenelemente enthält: userkey, userid, c-contact und c-attributes (mit c-area-code und c-age). [0034] Die Figuren 4, 5 und 6 zeigen Details einer möglichen Instanziierung des Nutzerregistrierungsverfahrens. Figur 4 zeigt die Komponenten des Nachverfolgungssystems, die an der Nutzerregistrierung beteiligt sind: das mobile Kommunikationsgerät 601 und den Registrierungsserver 603 mit seinem DNS-Namen 606. Figur 4 zeigt eine Möglichkeit, das Datenelement userkey (Nutzerschlüssel) des lokalen Speichers 604 zu erzeugen, indem als Input der kryptografischen Hash-Funktion SHA256 folgende Datenelemente verwendet werden: als persönliche Kontaktinformationen die Telefonnummer 0170/123456789 und als Passwort PW die Zeichenfolge Mypassword. Der generierte kryptografische Hashwert ist ein 256bit langer Binärwert mit der Zeichendarstellung chpwdXYZ 605. Figur 5 zeigt eine erste Nachricht 700, die in der Nutzerregistrierung vom mobilen Kommunikationsgerät 601 an den Registrierungsserver 603 gesendet wird, die als Klartextdatei den Nutzerschlüssel 701 enthält, und die eine Datenstruktur 702 mit verschlüsselten Attributen enthält, in diesem Beispiel mit zwei verschlüsselten Datenelementen, in diesem Beispiel c-area-code und c-age. Das erste verschlüsselte Datenelement c-area-code wird auf dem mobilen Kommunikationsgerät des Nutzers, durch eine kryptografische Funktion des Nachverfolgungssystems, mit einem öffentlichen Schlüssel +k_ts und der Ortsvorwahl erzeugt. Das zweite verschlüsselte Datenelement c-age wird auf dem mobilen Kommunikationsgerät des Nutzers durch eine kryptografische Funktion mit einem öffentlichen Schlüssel des Nachverfolgungssystems +k_ts und dem Alter des Nutzers erzeugt. Figur 6 zeigt eine zweite Nachricht 703, die in der Nutzerregistrierung vom Registrierungsserver an das mobile Kommunikationsgerät gesendet wird und eine Nutzer-ID enthält, die anschließend im lokalen Speicher des mobilen Kommunikationsgeräts gespeichert wird. The user registration process can include the following technical functions: It can receive input data, including personal contact information (PCI) and a PIN code or password (PW) as well as a country and / or area code and optional personal attributes such as age. It can generate an encrypted data element (called c-contact) that contains personal contact information (PCI) and can be decrypted by an authorized organization. It can generate a local structure for personal data that contains personal attributes such as age and area code of residence, as well as the encrypted data element with personal contact information. It can generate a user-specific key (called a userkey). One possibility of generating the user key is that a method is carried out on the user device that generates a hash value using a cryptographic hash function and uses input data from the local structure of personal data. It can generate an additional encrypted data element with attributes (abbreviated c-attributes). Attributes of a person can include the area code of the place of residence and age. The attributes are encrypted so that they can be decrypted by the tracking system. The data element with the encrypted area code is called the c-area code. The data element with the encrypted age is called c-age. It can compose a registration message using a data structure that contains the user-specific key (userkey) and personal attributes (c-attributes) that can be decrypted by the tracking service provider and sends the registration message to the tracking system's registration server. It can receive a unique user ID (called a userid) from the tracking system. One way of generating the user key is for the registration server to carry out a method that uses a cryptographic hash function to generate a hash value and uses input data from the registration message. It can complete the registration process on the user device by updating the local structure of the personal data, which contains the following data elements: userkey, userid, c-contact and c-attributes (with c-area-code and c-age). Figures 4, 5 and 6 show details of a possible instantiation of the user registration process. FIG. 4 shows the components of the tracking system that are involved in user registration: the mobile communication device 601 and the registration server 603 with its DNS name 606 Generate data element userkey (user key) of the local memory 604 by using the following data elements as input of the cryptographic hash function SHA256: the telephone number 0170/123456789 as personal contact information and the character string Mypassword as password PW. The generated cryptographic hash value is a 256-bit long binary value with the character representation chpwdXYZ 605. Figure 5 shows a first message 700 that is sent in the user registration from the mobile communication device 601 to the registration server 603, which contains the user key 701 as a plain text file and which has a data structure 702 with encrypted attributes contains, in this example with two encrypted data elements, in this example c-area-code and c-age. The first encrypted data element c-area-code is generated on the user's mobile communication device by a cryptographic function of the tracking system with a public key + k_ts and the area code. The second encrypted data element c-age is generated on the user's mobile communication device by a cryptographic function with a public key of the tracking system + k_ts and the age of the user. FIG. 6 shows a second message 703 which is sent in the user registration from the registration server to the mobile communication device and contains a user ID which is then stored in the local memory of the mobile communication device.
[0035] Nutzer des Nachverfolgungssystems können eine Nutzerauthentißzierung durchführen, um Zugriff auf zusätzliche Verfahren für registrierte Nutzer zu erhalten. Das Nachverfolgungssystem kann eine Nutzerauthentifizierung durchführen, indem überprüft wird, ob eine bestimmte Person sowohl die persönlichen Kontaktinformationen als auch das Passwort kennt. Bei der Durchführung der Nutzerauthentifizierung muss ein Nutzer beide Informationselemente, die persönlichen Kontaktinformationen und das Passwort, in sein mobiles Kommunikationsgerät eingeben, worauf dort ein nutzerspezifischer Schlüssel (userkey) generiert wird. Eine Möglichkeit, den Nutzerschlüssel zu generieren, besteht darin auf dem Nutzergerät, unter Verwendung einer kryptografischen Hashfunktion, einen Hashwert aus persönlichen Kontaktinformationen und dem Passwort zu generieren. Der resultierende kryptografische Hash mit dem nutzerspezifischen Schlüssel (userkey) wird an einen Server des Nachverfolgungssystems übertragen, wo er mit einem gespeicherten Nutzerschlüssel verglichen werden kann. Stimmen die Schlüssel miteinander überein, war die Nutzerauthentifizierung erfolgreich, was impliziert, dass der authentische Nutzer die Nutzerauthentifizierung durchgeführt hat. Das Nachverfolgungssystem ist in der Lage, Nutzerauthentifizierungen mit einer beliebigen Anzahl von Nachrichten durchzuführen, die ein mobiles Kommunikationsgerät zu einem Server des Nachverfolgungssystems sendet, durch Einfügen eines nutzerspezifischen Schlüssels (userkey) in diese Nachrichten. Eine Nutzerauthentifizierung mit einer beliebigen Anzahl von Nachrichten kann durchgeführt werden, wenn diesen Nachrichten ein Datenelement beigefügt wird, das den nutzerspezifischen Schlüssel (userkey) in Form eines HTTP- Cookies enthält, wie dies in RFC 6265 angegeben ist. Users of the tracking system can perform user authentication in order to gain access to additional methods for registered users. The tracking system can perform user authentication by checking whether a particular person knows both the personal contact information and the password. When performing user authentication, a user must enter both information elements, the personal contact information and the password, into his mobile communication device, whereupon a user-specific key (userkey) is generated there. One possibility of generating the user key is to generate a hash value from personal contact information and the password on the user device using a cryptographic hash function. The resulting cryptographic hash with the user-specific key (userkey) is transmitted to a server in the tracking system, where it can be compared with a stored user key. If the keys match each other, the user authentication was successful, which implies that the authentic user performed the user authentication. The tracking system is able to carry out user authentication with any number of messages that a mobile communication device sends to a server of the tracking system by inserting a user-specific key (userkey) into these messages. User authentication with any number of messages can be performed if these messages are a Data element is attached that contains the user-specific key (userkey) in the form of an HTTP cookie, as specified in RFC 6265.
[0036] Standorte können im Nachverfolgungssystem registriert werden, indem eine Standortregistrierung durchgeführt wird. Technisch muss es keinen Unterschied im Registrierungsverfahren von Personen und Orten geben. Ein Unterschied besteht im Inhalt der Attribute. Attribute eines Standorts können eine oder mehrere Standortbeschreibungen enthalten, während Attribute einer Person persönliche Informationen wie das Alter enthalten können. Bei der Registrierung eines Standorts gibt ein Nutzer des Nachverfolgungssystems die Kontaktinformationen einer Person oder Organisation, die dem Standort zugeordnet ist, eine PIN oder ein Kennwort, sowie Standortattribute wie die Ortsvorwahl und eine Standortbeschreibung ein. Wie bei der Nutzerregistrierung fuhren das Nutzergerät und ein Server des Nachverfolgungssystems ein Registrierungsprotokoll durch, das kryptografische Funktionen einschließlich Verschlüsselungs- und kryptograflscher Hashfunktionen mit kryptografi sehen Schlüsseln des Nachverfolgungssystems und der berechtigten Organisation verwendet. Wie im Fall des Registrierungsverfahrens für Personen hat das Nutzergerät nach Abschluss des Registrierungsverfahrens eine lokale Datenstruktur mit einer Nutzer-ID (userid) eingerichtet und das Nachverfolgungssystem hat in seinem Registrierungsprotokoll einen Registrierungsdatensatz eingetragen. Der Registrierungsdatensatz kann eine Nutzer-ID (userid), einen nutzerspezifischen Schlüssel (userkey) und verschlüsselte Daten mit Attributen des Standorts (wie Ortsvorwahl und Standortbeschreibung) enthalten. Locations can be registered in the tracking system by performing a location registration. Technically, there does not have to be a difference in the registration process of people and places. There is a difference in the content of the attributes. Attributes of a location can contain one or more location descriptions, while attributes of a person can contain personal information such as age. When registering a location, a user of the tracking system enters the contact information of a person or organization associated with the location, a PIN or a password, as well as location attributes such as the area code and a location description. As with user registration, the user device and a server of the tracking system perform a registration protocol that uses cryptographic functions including encryption and cryptographic hash functions with cryptographic keys of the tracking system and the authorized organization. As in the case of the registration process for persons, after the registration process has been completed, the user device has set up a local data structure with a user ID and the tracking system has entered a registration data record in its registration log. The registration data record can contain a user ID, a user-specific key (userkey) and encrypted data with attributes of the location (such as area code and location description).
[0037] Das Verfahren zur Standortregistrierung kann die gleichen technischen Funktionen wie das Verfahren zur Personenregistrierung umfassen. Ein bemerkenswerter Unterschied zwischen den technischen Funktionen der Standortregistrierung und der Personenregistrierung besteht darin, dass das verschlüsselte Datenelement mit Attributen (abgekürzte c-attributes) unterschiedliche Attribute enthalten kann (ortsspezifische Attribute anstelle von personenbezogenen Attributen). Attribute eines Standorts können eine oder mehrere Standortbeschreibungen enthalten. Datenelemente mit verschlüsselten Standortbeschreibungen werden als c-loc-des bezeichnet. Nach Abschluss des Standortregistrierungsvorgangs verfügt das Nutzergerät über eine lokale Standortdatenstruktur, die folgende Datenelemente enthält: userid, userkey, c-contact und c-attributes (mit c-area-code und c- loc-des). The method for location registration can include the same technical functions as the method for person registration. A notable difference between the technical functions of location registration and person registration is that the encrypted data element with attributes (abbreviated c-attributes) can contain different attributes (location-specific attributes instead of personal attributes). Attributes of a location can contain one or more location descriptions. Data elements with encrypted location descriptions are called c-loc-des. After completion of the location registration process, the user device has a local location data structure that contains the following data elements: userid, userkey, c-contact and c-attributes (with c-area-code and c-loc-des).
[0038] Authentifizierte Nutzer können ein Marker-Erstellungsverfahren durchfuhren. Nach Abschluss eines Registrierungsvorgangs für eine Person oder einen Ort hat das Nutzergerät eine lokale Datenstruktur mit einer Nutzer-ID eingerichtet. Bei der Marker-Erstellung wird ein personenbezogener oder ein ortsspezifischer Marker erzeugt, der von mobilen Kommunikationsgeräten gelesen werden kann, die das Nachverfolgungssystem verwenden. QR- Code-Marker sind ein wichtiger Typ von Markern für das Nachverfolgungssystem. Eine Möglichkeit, einen QR-Code-Marker ftir eine Person oder einen Ort zu erstellen, ist eine URL mit dem Protokoll und dem Domänennamen eines Scan-Servers des Nachverfolgungssystems zu erstellen, gefolgt von einem Pfad, der eine Zeichenfolgendarstellung der Nutzer-ID enthält. Wenn in diesem Beispiel das Protokoll https ist, der Domänenname des Scan-Servers tag.qroniton.eu lautet und der Pfad mit der Zeichenfolgendarstellung der userid 123 ist, resultiert daraus die Tag-URL: https://tag.qroniton.eu/123 . Der resultierende QR-Code, der diese URL enthält, ist spezifisch für eine Person oder einen Ort. Authenticated users can carry out a marker creation process. After completing a registration process for a person or a location, the user device has set up a local data structure with a user ID. During marker creation, a person-related or location-specific marker is created that can be read by mobile communication devices that use the tracking system. QR code markers are an important type of marker for the tracking system. A possibility, To create a QR code marker for a person or place, create a URL with the protocol and domain name of a tracking system scan server, followed by a path containing a string representation of the user ID. If in this example the protocol is https, the domain name of the scan server is tag.qroniton.eu and the path with the character string representation of the userid is 123, the result is the tag URL: https://tag.qroniton.eu/123 . The resulting QR code containing this URL is specific to a person or place.
[0039] Authentifizierte Nutzer können ein Marker-Leseverfahren durchfuhren. Um ein Marker- Leseverfahren durchzuflihren muss ein Marker-Lesegerät eines Nutzers des Nachverfolgungssystems die Informationen eines Markers auslesen. Anschließend kontaktiert das Marker-Lesegerät einen Server des Nachverfolgungssystems unter Verwendung der Informationen, die es aus dem Marker ausgelesen hat. Für die Kontaktaufnahme mit einem Server des Nachverfolgungssystems leitet ein Marker-Lesegerät aus den vom Marker ausgelesenen Informationen eine URL ab, die eine bestimmte Ressource eines Servers des Nachverfolgungssystems angibt. Falls die vom Marker ausgelesene URL eine Internetressource ist, die auf dem Server des Nachverfolgungssystems zugänglich ist, kann das Marker-Lesegerät das HTTP-Protokoll für die Kommunikation mit dem Server des Nachverfolgungssystems verwenden. Wenn die aus dem Marker ausgelesene URL eine Internetressource mit dem HTTPS-Protokoll ist, richtet das Marker-Lesegerät vor dem Austausch von HTTP -Nachrichten mit dem Server des Nachverfolgungssystems eine TLS-Sitzung (Transport Layer Security Sitzung) ein. Wenn der Marker ein QR-Code ist, kann das mobile Kommunikationsgerät eine App verwenden, die den QR-Code dekodieren und die URL extrahieren kann. Falls das Marker-Lesegerät so konfiguriert ist, dass eine App, die einen QR-Code decodieren und eine URL aus dem QR-Code extrahieren kann, werden die decodierte URL an den Webbrowser des mobilen Kommunikationsgeräts weitergeleitet. Der Webbrowser, des Geräts richtet eine Sitzung mit dem Webserver des Nachverfolgungssystems ein und greift auf die Webressource auf dem Webserver zu, die im QR-Code angegeben ist. Der Webbrowser des Marker-Lesegeräts kann diesen Zugriff auf eine Webressource in Form einer HTTP-GET-Anforderung auf einen Server ausfuhren, der durch den DNS-Namen der URL und den durch den im Pfadabschnitt der URL angegeben Pfad spezifiziert ist. Falls der lokale Speicher des mobilen Kommunikationsgeräts die Daten enthält, die während der Nutzerregistrierung und der Nutzerauthentifizierung gebildet wurden, überträgt das Marker-Lesegerät nutzerspezifische Daten zu dem kontaktierten Server des Nachverfolgungssystems. Dieser Datensatz enthält eine nutzerspezifische Kennung (userid). Das Marker-Lesegerät kann ein Datenelement übertragen, das die nutzerspezifische Kennung (userid) in Form eines HTTP- Cookies enthält, wie in RFC 6265 spezifiziert. Nach dem Zugriff auf die Ressource des Nachverfolgungsservers, der durch die URL des Markers angegeben ist, und der Übertragung des Datensatzes, der eine nutzerspezifische Kennung (userid) enthält, kann der kontaktierte Server des Nachverfolgungssystems erkennen, dass er durch ein Marker-Lesegerät kontaktiert wurde, das eine Nutzerregistrierung und eine Nutzerauthentifizierung durchgeführt hat. Wenn ein Marker-Lesegerät den Server des Nachverfolgungssystems kontaktiert und keine Datenstruktur mit einer nutzerspezifischen Kennung (userid) überträgt, die aus der Nutzerregistrierung erhalten wurde, kann der kontaktierte Server Daten an das Marker-Lesegerät übertragen, das über die Notwendigkeit einer Nutzerregistrierung informiert. Der Server des Nachverfolgungssystems kann direkt einleiten, dass das Marker-Lesegerät eine Nutzeroberfläche der Nutzerregistrierungsverfahren anzeigt. Authenticated users can perform a marker reading process. In order to carry out a marker reading process, a marker reading device of a user of the tracking system must read out the information from a marker. The marker reading device then contacts a server of the tracking system using the information it has read from the marker. To establish contact with a server of the tracking system, a marker reading device derives a URL from the information read out by the marker, which URL specifies a specific resource of a server of the tracking system. If the URL read by the marker is an Internet resource that is accessible on the server of the tracking system, the marker reader can use the HTTP protocol to communicate with the server of the tracking system. If the URL read from the marker is an Internet resource with the HTTPS protocol, the marker reader sets up a TLS (Transport Layer Security session) session before exchanging HTTP messages with the server of the tracking system. If the marker is a QR code, the mobile communication device can use an app that can decode the QR code and extract the URL. If the marker reader is configured so that an app that can decode a QR code and extract a URL from the QR code, the decoded URL is forwarded to the web browser of the mobile communication device. The device's web browser establishes a session with the tracking system's web server and accesses the web resource on the web server specified in the QR code. The web browser of the marker reading device can carry out this access to a web resource in the form of an HTTP GET request on a server that is specified by the DNS name of the URL and the path specified in the path section of the URL. If the local memory of the mobile communication device contains the data that were created during user registration and user authentication, the marker reading device transmits user-specific data to the contacted server of the tracking system. This data record contains a user-specific identifier (userid). The marker reader can transmit a data element that contains the user-specific identifier (userid) in the form of an HTTP cookie, as specified in RFC 6265. After accessing the tracking server resource indicated by the marker url and the When the data record containing a user-specific identifier (userid) is transmitted, the contacted server of the tracking system can recognize that it has been contacted by a marker reading device that has carried out user registration and user authentication. If a marker reading device contacts the server of the tracking system and does not transmit a data structure with a user-specific identifier (userid) obtained from the user registration, the contacted server can transmit data to the marker reading device, which informs about the need for user registration. The server of the tracking system can directly initiate that the marker reading device displays a user interface of the user registration process.
[0040] Figuren 7, 8 und 9 zeigen Details einer möglichen Instanziierung des Marker-Leseverfahrens. Figur 7 zeigt die beteiligten Komponenten des Nachverfolgungssystems: ein Marker 801 in Form eines QR-Codes, der als Information eine URL 802 enthält, ein mobiles Kommunikationsgerät 601 mit lokalem Speicher 604, das eine Datenstruktur enthält, die Datenelemente für userid, userkey und c-contact enthält, ein Scan-Server 602 mit einem DNS-Namen 607 und ein Registrierungsserver 603 mit einem DNS-Namen 606. In dem in Figur 7 gezeigten Beispiel liest das mobile Kommunikationsgerät 601 die Informationen von dem Marker 801, das die URL https://tag.qroniton.eu/123 enthält. Figur 8 zeigt eine erste Nachricht des Marker-Leseverfahrens, bei der das mobile Kommunikationsgerät den Marker-Server mit dem DNS-Namen tag.qroniton.eu mit einer http-get-Anforderung auf den Pfad 123 kontaktiert. Figur 9 zeigt eine zweite Nachricht des Marker-Leseverfahrens, bei der der Marker-Server mit dem DNS-Namen tag.qroniton.eu mit einer Nachricht 804 mit der Datenstruktur 805 antwortet, die zwei Datenelemente enthält, wobei ein erstes Datenelement die userid des Markers ist (in diesem Beispiel mit der Zeichenfolgendarstellung 123) und ein zweites Datenelement, der sitekey ist, ein eindeutiger Schlüssel, der für diesen Ort in dem bestimmten Zeitfenster spezifisch ist. Das mobile Kommunikationsgerät kann anschließend beide Datenelemente in seinem lokalen Speicher 604 speichern. Figures 7, 8 and 9 show details of a possible instantiation of the marker reading method. FIG. 7 shows the components involved in the tracking system: a marker 801 in the form of a QR code which contains a URL 802 as information, a mobile communication device 601 with a local memory 604 which contains a data structure that contains the data elements for userid, userkey and c- contact contains, a scan server 602 with a DNS name 607 and a registration server 603 with a DNS name 606. In the example shown in FIG. 7, the mobile communication device 601 reads the information from the marker 801, which has the URL https: / /tag.qroniton.eu/123 contains. FIG. 8 shows a first message of the marker reading method in which the mobile communication device contacts the marker server with the DNS name tag.qroniton.eu with an http-get request on the path 123. FIG. 9 shows a second message of the marker reading method in which the marker server with the DNS name tag.qroniton.eu replies with a message 804 with the data structure 805 which contains two data elements, a first data element being the userid of the marker is (in this example with the string representation 123) and a second data element, which is sitekey, is a unique key that is specific to that location in the particular time window. The mobile communication device can then store both data elements in its local memory 604.
[0041] Autorisierte Nutzer können ein verschlüsseltes Protokollierungsverfahren durchführen. Nachdem das Marker-Leseverfahren durchgeführt wurde, wird das verschlüsselte Protokollierungsverfahren von dem mobilen Kommunikationsgerät durchgeführt, mit der Absicht verschlüsselte Anwesenheits- oder Kontaktinformationen an den Protokollierungsserver des Nachverfolgungssystems zu übertragen, welches ein kryptografisches Protokoll beibehält. Das kryptografische Protokoll enthält Datensätze, die so verschlüsselt sind, dass die Kontaktnachverfolgung nur in den Fällen durchgeführt werden kann, in denen ein Nutzer das Nachverfolgungssystem zur Durchführung der Kontaktnachverfolgung autorisiert hat. Authorized users can carry out an encrypted logging process. After the marker reading process has been carried out, the encrypted logging process is carried out by the mobile communication device with the intention of transmitting encrypted presence or contact information to the logging server of the tracking system, which maintains a cryptographic protocol. The cryptographic protocol contains data records that are encrypted in such a way that contact tracking can only be carried out in those cases in which a user has authorized the tracking system to carry out contact tracking.
[0042] Figur 10 zeig Details einer möglichen Instanziierung des verschlüsselten Protokollierungsverfahrens. Figur 10 zeigt das mobile Kommunikationsgerät 601, das eine Nachricht mit einer Datenstruktur 807 an den Protokollierungsserver 608 mit dem DNS-Namen log.qroniton.eu 609 sendet. Die Datenstruktur 807 kann mehrere Datenelemente enthalten, die anschließend im kryptografischen Protokoll des Protokollierungsservers gespeichert werden. Im Beispiel von Figur 10 enthält die Datenstruktur 807 die folgenden Datenelemente: Die Datenstruktur 807 enthält die useridl des Marker, das in dem Marker Leseverfahren gelesen wurde, das direkt vor dem verschlüsselten Protokollierungsverfahren durchgeflihrt wurde, und übermittelt die Information, dass sich das mobile Kommunikationsgerät an dem Ort befand, der mit dem Marker 801 markiert ist. Die Datenstruktur 807 enthält die userid2 des Nutzers des mobilen Kommunikationsgeräts, welche zeigt, dass die mit dem mobilen Kommunikationsgerät assoziierte Person an dem mit dem Marker 801 gekennzeichneten Ort anwesend war. Die Datenstruktur 807 enthält auch das Datenelement der siteid, die auf dem mobilen Kommunikationsgerät durch das Ausfuhren einer kryptografischen Hash- Funktion generiert wurde, mit dem Dateninput des sitekey, welchen das mobile Kommunikationsgerät aus dem Marker-Leseverfahren erhielt. Die Datenstruktur 807 enthält auch das verschlüsselte Datenelement sitekey, das durch eine symmetrische kryptografische Funktion erzeugt wurde, in dem Beispiel von Figur 10 AES, wobei der kryptografische Schlüssel den kryptografischen Hashwert userkey=chpwdXYZ aus dem Passwort und als Dateninput dem sitekey erzeugt hat. Die Datenstruktur 807 enthält auch den verschlüsselten Datenelementkontakt, der durch eine symmetrische kryptografische Funktion erzeugt wurde, im Beispiel von Figur 10 AES, mit einem kryptografischen Schlüssel, dem sitekey, der aus dem Marker-Leseverfahren erhalten wurde, und als Dateninput das verschlüsselte Datenelement c-contact aus dem lokalen Speicher. FIG. 10 shows details of a possible instantiation of the encrypted logging method. Figure 10 shows the mobile communication device 601 that a message with a data structure 807 to the logging server 608 with the DNS name log.qroniton.eu 609. The data structure 807 can contain multiple data elements which are then stored in the cryptographic protocol of the logging server. In the example of FIG. 10, the data structure 807 contains the following data elements: The data structure 807 contains the useridl of the marker that was read in the marker reading process that was carried out directly before the encrypted logging process, and transmits the information that the mobile communication device is connected the location marked with marker 801. The data structure 807 contains the userid2 of the user of the mobile communication device, which shows that the person associated with the mobile communication device was present at the location identified by the marker 801. The data structure 807 also contains the data element of the siteid, which was generated on the mobile communication device by executing a cryptographic hash function, with the data input of the sitekey, which the mobile communication device received from the marker reading process. The data structure 807 also contains the encrypted data element sitekey, which was generated by a symmetric cryptographic function, AES in the example of FIG. 10, the cryptographic key having generated the cryptographic hash value userkey = chpwdXYZ from the password and the sitekey as data input. The data structure 807 also contains the encrypted data element contact that was generated by a symmetric cryptographic function, AES in the example of FIG. 10, with a cryptographic key, the sitekey, which was obtained from the marker reading process, and the encrypted data element c- contact from local storage.
[0043] Nutzer können einNachverfolgungs-Autorisierungsverfahren durchführen. In Fällen, in denen ein Nutzer zum Ausdruck bringen möchte, dass seine Kontakt- und Anwesenheitsinformationen, die von einem Protokollierungsserver des Nachverfolgungssystems gespeicherten wurden, zur Durchführung der Kontaktnachverfolgung verwendet werden können, gibt der Nutzer sein Passwort ein, wenn er aufgefordert wird, die Kontaktnachverfolgung zu autorisieren. Eine Möglichkeit, die Kontaktnachverfolgung zu autorisieren, besteht darin, dass der Nutzer mit seinem mobilen Kommunikationsgerät ein bestimmter Marker für die Autorisierung der Kontaktnachverfolgung liest und anschließend seine persönlichen Kontaktinformationen und sein Passwort eingibt. Users can perform a tracking authorization process. In cases where a user wishes to indicate that their contact and presence information stored by a logging server of the tracking system can be used to carry out contact tracking, the user enters his password when prompted to do contact tracking to authorize. One possibility to authorize the contact tracking is that the user reads a certain marker for the authorization of the contact tracking with his mobile communication device and then enters his personal contact information and his password.
[0044] Nutzer können ein Verfahren zur Kontaktübertragung durchführen. Nutzer können ausdrücken, dass die Informationen über ihre Kontakte zu einer berechtigten Organisation übertragen werden, durch Eingabe ihrer persönlichen Kontaktinformationen und ihr Passwort ein, wenn angefragt wird, die Kontaktübertragung zu autorisieren. Users can perform a contact transfer method. Users can express that the information about their contacts will be transferred to an authorized organization by entering their personal contact information and password when asked to authorize the contact transfer.
[0045] Nutzer können ein Verfahren zur Übertragung von Statistiken durchführen. Ein Nutzer kann sein mobiles Kommunikationsgerät verwenden, um Verfahren zur Übertragung von Statistiken zu initiieren. Eine Möglichkeit zum Starten dieses Verfahrens besteht darin, dass das Nutzergerät einen bestimmten Marker liest, der für diesen Zweck erzeugt wurde. Eine andere Möglichkeit zum Einleiten des Verfahrens zur Übertragung von Statistiken besteht darin, dass ein Nutzer mit seinem mobilen Kommunikationsgerät eine Statistikwebseite des Nachverfolgungssystems besucht und eine Nutzerauthentifizierung durchfuhrt. Das Ergebnis des Verfahrens zur Übertragung von Statistiken kann umfassen, dass die Benutzeroberfläche des mobilen Kommunikationsgeräts nutzerspezifische Statistiken anzeigt, wie in den Elementen 14 und 15 von Figur 1 dargestellt wird. Users can perform a method for transmitting statistics. A user can use his mobile communication device to initiate methods for the transmission of statistics. One way of starting this method is for the user device to have a reads certain marker created for this purpose. Another possibility for initiating the method for transmitting statistics is that a user visits a statistics website of the tracking system with his mobile communication device and carries out a user authentication. The result of the method for transmitting statistics can include that the user interface of the mobile communication device displays user-specific statistics, as is shown in elements 14 and 15 of FIG.
[0046] Die Architektur des Nachverfolgungssystems weist mehrere Merkmale auf, die Datenschutz, IT-Sicherheit und Privatsphäre verbessern. Nicht alle Funktionen aller Verfahren des Nachverfolgungssystems müssen von Servern eines Betreibers von Nachverfolgungsservern ausgeführt werden. Alternativ können bestimmte Funktionen und Verfahren des Nachverfolgungssystems von bestimmten Apps auf dem mobilen Kommunikationsgerät eines Nutzers ausgeführt werden. Eine Möglichkeit für eine App, die ein Verfahren des Nachverfolgungssystems auf dem mobilen Kommunikationsgerät eines Nutzers umsetzen kann, ist eine App, die das Marker- Leseverfahren durchfuhrt. Eine andere Möglichkeit für eine App, die ein Verfahren des Nachverfolgungssystems auf dem mobilen Kommunikationsgerät eines Nutzers umsetzen kann, ist eine App, die das verschlüsselte Protokollierungsverfahren durchfuhrt. In beiden Fällen müssen diese Apps Funktionen für das Autorisierungsverfahren des Nachverfolgungssystems unterstützen, damit die von der App gespeicherten Daten einer berechtigten Organisation zugänglich gemacht werden können, um in einem autorisierten Fall Kontakt- und Anwesenheitsinformationen einer bestimmten Person zu verfolgen. Die Architektur des Nachverfolgungssystems ermöglicht eine weitere Verbesserung in Bezug auf Datenschutz, IT-Sicherheit und Privatsphäre, indem mehrere unabhängige Nachverfolgungsdienstanbieter mehrere Nachverfolgungssysteme parallel betreiben können, wodurch der Datenumfang, den jedes Nachverfolgungssystem sammelt, begrenzt wird. Wenn mehrere Nachverfolgungssysteme parallel betrieben werden, kann eine einzelne berechtigte Organisation, z.B. eine bestimmte Gesundheitsbehörde, mit allen relevanten Nachverfolgungsdienstanbietern ein Autorisierungsverfahren durchführen, um die Kontaktnachverfolgung eines bestimmten Falls zu realisieren. Dies ermöglicht es, dass die berechtigte Organisation alle relevanten Präsenz- und Kontaktinformationen für diesen Fall von allen relevanten Nachverfolgungsdienstanbietem erhält. Gleichzeitig ermöglicht diese Eigenschaft der Architektur des Nachverfolgungssystems den parallelen Betrieb mehrerer Nachverfolgungssysteme, was Datenschutz-, IT-Sicherheits- und Privatsphäre aus Sicht einzelner Nutzer und aus Sicht der Gesellschaft insgesamt stärken. The architecture of the tracking system has several features that improve data protection, IT security and privacy. Not all functions of all methods of the tracking system need to be performed by servers of an operator of tracking servers. Alternatively, certain functions and methods of the tracking system can be executed by certain apps on the mobile communication device of a user. One possibility for an app that can implement a method of the tracking system on the mobile communication device of a user is an app that carries out the marker reading method. Another possibility for an app that can implement a method of the tracking system on the mobile communication device of a user is an app that carries out the encrypted logging method. In both cases, these apps must support functions for the authorization process of the tracking system so that the data stored by the app can be made accessible to an authorized organization in order to track contact and presence information of a specific person in an authorized case. The architecture of the tracking system enables a further improvement in terms of data protection, IT security and privacy by allowing multiple independent tracking service providers to operate multiple tracking systems in parallel, thereby limiting the amount of data that each tracking system collects. If several tracking systems are operated in parallel, a single authorized organization, e.g. a specific health authority, can carry out an authorization procedure with all relevant tracking service providers in order to implement the contact tracking of a specific case. This enables the authorized organization to receive all relevant presence and contact information for this case from all relevant tracking service providers. At the same time, this property of the architecture of the tracking system enables the parallel operation of several tracking systems, which strengthens data protection, IT security and privacy from the point of view of individual users and from the point of view of society as a whole.

Claims

Ansprüche Expectations
1. Ein vernetztes Computersystem, in dem eine mit einem mobilen Kommunikationsgerät ausgestattete Person ein Registrierungsverfahren durchführt, dadurch gekennzeichnet dass: Ein Nutzer des Nachverfolgungssystems einen Registrierungsvorgang mit seinem mobilen Kommunikationsgerät durchführte und dabei persönliche Kontaktinformationen und ein Passwort eingab. Das mobile Kommunikationsgerät, mit dem der Nutzer ein Verfahren zur Nutzerregistrierung durchgeführt hat, einen Marker mit einer für diesen Ort spezifischen Kennung ausliest. Das mobile Kommunikationsgerät, mit dem der Nutzer ein Verfahren zur Nutzerregistrierung durchgeführt hat, verschlüsselte Protokollinformationen an einen Protokollierungsserver überträgt. 1. A networked computer system in which a person equipped with a mobile communication device carries out a registration process, characterized in that: A user of the tracking system carried out a registration process with his mobile communication device and entered personal contact information and a password. The mobile communication device with which the user carried out a user registration process reads out a marker with an identifier specific to this location. The mobile communication device with which the user carried out a user registration process transmits encrypted log information to a logging server.
2. Das vernetzte Computersystem nach Anspruch 1 , wobei die übertragene Datenstruktur persönliche Kontaktinformationen umfasst, die unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation verschlüsselt sind. 2. The networked computer system of claim 1, wherein the transmitted data structure comprises personal contact information encrypted using a public key of an authorized organization.
3. Das vernetzte Computersystem nach Anspruch 1 , wobei die übertragene Datenstruktur persönliche Kontaktinformationen umfasst, die unter Verwendung eines öffentlichen Schlüssels einer berechtigten Organisation verschlüsselt sind, zusätzliche Informationen beinhaltend, die unter Verwendung eines öffentlichen Schlüssels eines Nachverfolgungsdienstanbieters verschlüsselt sind. The networked computer system of claim 1, wherein the transmitted data structure comprises personal contact information encrypted using a public key of an authorized organization including additional information encrypted using a public key of a tracking service provider.
PCT/DE2021/000059 2020-04-05 2021-04-04 Privacy-maintaining tracking system WO2021204313A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP21725684.1A EP4136860A1 (en) 2020-04-05 2021-04-04 Privacy-maintaining tracking system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020002148.4A DE102020002148A1 (en) 2020-04-05 2020-04-05 Privacy-preserving tracking system
DE102020002148.4 2020-04-05

Publications (1)

Publication Number Publication Date
WO2021204313A1 true WO2021204313A1 (en) 2021-10-14

Family

ID=75919166

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2021/000059 WO2021204313A1 (en) 2020-04-05 2021-04-04 Privacy-maintaining tracking system

Country Status (3)

Country Link
EP (1) EP4136860A1 (en)
DE (1) DE102020002148A1 (en)
WO (1) WO2021204313A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180052970A1 (en) * 2016-08-16 2018-02-22 International Business Machines Corporation Tracking pathogen exposure

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180052970A1 (en) * 2016-08-16 2018-02-22 International Business Machines Corporation Tracking pathogen exposure

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ALTUWAIYAN THAMER ET AL: "EPIC: Efficient Privacy-Preserving Contact Tracing for Infection Detection", 2018 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS (ICC), IEEE, 20 May 2018 (2018-05-20), pages 1 - 6, XP033378868, DOI: 10.1109/ICC.2018.8422886 *
DIDEM DEMIRAG ET AL: "Tracking and Controlling the Spread of a Virus in a Privacy-Preserving Way", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 29 March 2020 (2020-03-29), XP081631268 *

Also Published As

Publication number Publication date
DE102020002148A1 (en) 2021-10-07
EP4136860A1 (en) 2023-02-22

Similar Documents

Publication Publication Date Title
US20210067496A1 (en) Method and System for Identity and Access Management for Blockchain Interoperability
EP3447667B1 (en) Cryptographic security for a distributed data storage
DE60028778T2 (en) PROCESS FOR MAINTAINING AND DISTRIBUTION OF INDIVIDUAL FUSES
DE60114986T2 (en) METHOD FOR OUTPUTTING ELECTRONIC IDENTITY
US20050154923A1 (en) Single use secure token appliance
EP3033855B1 (en) Support for decryption of encrypted data
DE60211841T2 (en) Device for updating and revoking the validity of a trade mark in a public-key infrastructure
DE60302276T2 (en) Method for remotely changing a communication password
DE112018005628T5 (en) Data cleansing system for a public host platform
CN108256340B (en) Data acquisition method and device, terminal equipment and storage medium
EP3031226B1 (en) Supporting the use of a secret key
DE102011089580B3 (en) Method for reading e.g. attribute stored in passport, for electronic-commerce application, involves examining whether attribute of security assertion markup language response fulfills criterion as premiss for contribution of service
DE102010053651B3 (en) Method and use of a system for the location-limited display of readable content on a mobile reading device
DE10065667A1 (en) Community administration method and apparatus for performing services on remote systems
EP2289016A2 (en) Use of a mobile telecommunication device as an electronic health insurance card
DE112018001616T5 (en) SECURE SYSTEMS AND METHODS FOR SCANABLE CODES
DE102021205259A1 (en) CREATION OF RESTRICTED MOBILE ACCOUNTS
EP3672142B1 (en) Method and system for securely transferring a data set
AT519025B1 (en) Procedure for exchanging data fields of certified documents
EP3319003B1 (en) Method and system for authenticating a mobile telecommunication terminal on a service computer system and mobile telecommunication terminal
EP3248324B1 (en) Decentralised operating on a produkt using centrally stored ecrypted data
WO2021204313A1 (en) Privacy-maintaining tracking system
DE202020005623U1 (en) Privacy-preserving tracking system
DE10251408A1 (en) Secure and mediated access for e-services
DE102016207469A1 (en) SYSTEM AND METHOD FOR STORING BEHAVIOR DATA AND CONTROLLING ACCESS TO THIS

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21725684

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2021725684

Country of ref document: EP

Effective date: 20221107