Exposure Notification
Das Exposure Notification Framework (ENF; deutsch „Expositionsbenachrichtigungs-Rahmenwerk“; auch Google/Apple Exposure Notification, GAEN[1]) ist ein von Apple und Google entwickeltes System, dessen Ziel die Reduzierung der Verbreitung von COVID-19 durch Contact-Tracing ist.[2][3] Es stellt eine Programmierschnittstelle (API) bereit, über das offizielle Regierungsstellen wie Gesundheitsbehörden beziehungsweise von diesen beauftragte Dritte auf bereitgestellte Funktionen zugreifen können.[3][4] Das ENF ist auf Betriebssystemebene in iOS und die Google-Play-Dienste eingebunden und ermöglicht den Austausch von Zufallsschlüsseln über Bluetooth Low Energy (BLE).[5]
Funktionsweise
Die hier beschriebene Funktionsweise des ENF basiert auf den Spezifikationen zur Kryptografie in der Version 1.2.[6]
Zu Beginn des Key Schedules wird ein Temporary Exposure Key () – ein 16-Byte-Schlüssel – mit einem Cryptographic Random Number Generator (CRNG) generiert. Generierte wechseln täglich und umfassen jeweils ca. zehn-minütige Zeitintervalle der Form mit Zeitangabe in Unixzeit. Die werden jeweils mit dem Startintervall assoziiert. Das ENF speichert die letzten 14 auf dem Endgerät ab.[6]
Durch und ergeben sich die mit HKDF abgeleiteten Schlüssel Rolling Proximity Identifier Key () und Associated Encrypted Metadata Key (). Für jedes der 144 zehn-minütigen Zeitintervalle können unter Verwendung des Advanced Encryption Standard (AES) durch Rolling Proximity Identifier () gebildet werden. besteht dabei aus , sowie mit als Zeitpunkt der -Erzeugung. Der fließt dann als Initialisierungsvektor in die Verschlüsselung von Bluetooth-Daten wie der Protokollversion und Signalstärke mit AES im Counter Mode. Durch entsteht die Associated Encrypted Metadata (). und wechseln parallel zur zufälligen BLE MAC-Adresse.[6][7]
Die entstandenen und werden in einem Broadcast via Bluetooth an Geräte in der Umgebung verschickt. Zudem empfängt das Endgerät selbst die und anderer Geräte, die das ENF nutzen, und speichert diese ab.[6]
Liegt ein bestätigtes positives Ergebnis eines COVID-19-Tests vor, können die der letzten 14 Tage mit den zugehörigen als Diagnosis Keys zu einem designierten Server hochgeladen werden, welcher die Schlüssel verwaltet und den Clients zur Verfügung stellt.[6]
Die Clients können die Diagnosis Keys herunterladen und über die aufgeführten Schritte die infizierter Personen generieren. Durch einen Vergleich der so generierten mit den über Bluetooth gesammelten lässt sich ermitteln, ob eine Übereinstimmung vorliegt. Ist dies der Fall, liegt ein Risikokontakt vor und die zugehörige wird entschlüsselt, um eine Risikoeinschätzung zu ermöglichen.[6]
Einzelnachweise
- Jaap-Henk Hoepman: A Critique of the Google Apple Exposure Notification (GAEN) Framework. 12. Januar 2021, abgerufen am 26. März 2021 (englisch).
- Privacy-Preserving Contact Tracing. Abgerufen am 25. März 2021 (englisch).
- Apple Developer Documentation - Exposure Notification. Abgerufen am 25. März 2021 (englisch).
- Exposure Notification APIs Addendum. 5. April 2020, S. 1, abgerufen am 25. März 2021 (englisch).
- Bericht zur Datenschutzfolgeabschätzung für die Corona Warn App der Bundesrepublik Deutschland. Robert Koch-Institut, 2. März 2021, S. 15, abgerufen am 25. März 2021.
- Apple Inc., Google LLC: Exposure Notification Cryptography Specification. 2021, abgerufen am 26. März 2021 (englisch).
- Apple Inc., Google LLC: Exposure Notification Bluetooth Specification. 2021, abgerufen am 26. März 2021 (englisch).