From 768d4377f9a98acef2286f9d3fcfe8fa58fec1f2 Mon Sep 17 00:00:00 2001 From: norangebit Date: Tue, 7 Jul 2020 22:19:16 +0200 Subject: [PATCH 1/6] Run CI only on master and develop --- .drone.yml | 5 +++++ 1 file changed, 5 insertions(+) diff --git a/.drone.yml b/.drone.yml index 82b2dae..23bd765 100644 --- a/.drone.yml +++ b/.drone.yml @@ -27,6 +27,11 @@ steps: event: - tag +trigger: + branch: + - master + - develop + volumes: - name: config host: From 823dd6c9b640ead401582b6c01c8d987e6e92712 Mon Sep 17 00:00:00 2001 From: norangebit Date: Tue, 7 Jul 2020 22:44:13 +0200 Subject: [PATCH 2/6] Add pandoc-citeproc --- makefile | 5 ++++- 1 file changed, 4 insertions(+), 1 deletion(-) diff --git a/makefile b/makefile index f1b6c96..970e314 100644 --- a/makefile +++ b/makefile @@ -1,5 +1,8 @@ out/documentation.pdf: header.yaml documentazione.md out - pandoc header.yaml documentazione.md -F pandoc-crossref -o out/documentazione.pdf + pandoc header.yaml documentazione.md \ + -F pandoc-crossref \ + -F pandoc-citeproc \ + -o out/documentazione.pdf out: mkdir out From fe3f3a31c6b13cc0cfc4f10827d956457192f761 Mon Sep 17 00:00:00 2001 From: norangebit Date: Wed, 8 Jul 2020 19:16:24 +0200 Subject: [PATCH 3/6] Add app and bluetooth intro --- documentazione.md | 31 +++++++++++++++++++++++++++++-- 1 file changed, 29 insertions(+), 2 deletions(-) diff --git a/documentazione.md b/documentazione.md index 0d3f74c..addb237 100644 --- a/documentazione.md +++ b/documentazione.md @@ -1,4 +1,4 @@ -# Protocollo TCN +# Protocollo TCN {#sec:tcn-protocol} @@ -27,16 +27,43 @@ # Applicazione +L'applicazione permette di tracciare i contatti degli utenti attraverso l'impiego del Bluetooth Low Energy (BLE). +In particolare lo smartphone di ogni utente si comporta sia da trasmittente di beacon bluetooth che da ricevente. +In questo modo quando due utenti entrano nel raggio di azione del bluetooth il contatto verrà memorizzato sui rispettivi dispositivi. +L'applicazione prevede differenti modalità di funzionamento, ognuna delle quali garantisce un differente livello di privacy. +Nella modalità di funzionamento ***A*** ogni qual volta si verifica un contatto l'applicazione si occupa di notificare immediatamente l'evento al server in modo tale che esso possa essere aggiunto al database. +Questa modalità è quella meno *privacy friendly* in quanto la comunicazione avviene in *real-time* e all'interno del messaggio scambiato viene riportato sia l'UUID del utente sia quello della persona incontrata. + +La modalità ***B*** prevede lo scambio delle stesse informazioni previste per la modalità precedente, ma solo se richiesto dalle autorità sanitarie. +In questo modo non solo si evita che i dati siano catturati dal server in *real-time*, ma si espongono le informazioni dell'utente solo quando queste sono strettamente necessarie. +Sia in questa modalità, che nella precedente si è scelto di non ruotare gli UUID identificativi degli utenti in modo da facilitare la generazione del grafo sul server. +Questa soluzione può mettere a repentaglio la privacy degli utenti e essere sfruttata da *avversari* per ottenere informazioni sulle abitudini degli utilizzatori[^catena-negozi]. + +[^catena-negozi]: Per esempio una catena di negozi attraverso l'impiego di uno scanner bluetooth potrebbe ricostruire la *fedeltà* degli utenti, conoscere i settori del negozio preferiti ecc. + +L'ultima modalità, la ***C***, è quella che tutela maggiormente la privacy degli utilizzatori attraverso due accorgimenti: + +- Rotazione degli UUID +- Matching locale + +La generazione degli UUID avviene attraverso una derivazione deterministica come visto nella @sec:tcn-protocol, in modo tale da avere lo stesso livello di privacy di una soluzione randomica, ma migliore scalabilità. +Mentre il matching locale permette di condividere il minor numero di informazioni possibili e solo quando strettamente necessario. +Infatti in questa modalità l'applicazione carica le informazioni sul server solo in seguito alla richiesta delle autorità sanitarie. +Inoltre a differenza delle prime due modalità è previsto l'upload unicamente degli UUID che il dispositivo ha assunto nel tempo, in questo modo il server non è in grado di conoscere o ricavare i contatti avuti dall'utente. ## Bluetooth +L'interazione tra l'hardware bluetooth del dispositivo è l'applicazione è stata gestita attraverso l'impiego della libreria *Android Beacon Library* @AndroidBeaconLibrary che permette di gestire più facilmente le operazioni con beacon bluetooth. +Inoltre per rendere l'applicazione più funzionale, e quindi garantirne il funzionamento anche in background o a schermo spento è stato utilizzato un *foreground service* @ServicesOverview per tenere in *primo piano* le operazioni di trasmissione e scansione anche quando l'applicazione non lo è. +Data la natura variegata di Android, le diverse implementazioni del sistema operativo adoperate dai vari produttori non si comportano sempre nello stesso modo, motivo per il quale alcuni dispositivi tenderanno a terminare, o mettere in pausa ugualmente l'applicazione[^dont-kill-my-app]. +Potendo opera unicamente nello spazio utente non è stato possibile superare questi limiti. +[^dont-kill-my-app]: Molti produttori Android per aumentare la vita della batteria dei propri dispositivi tendono a stoppare e ridurre le funzionalità delle applicazioni. Maggiori dettagli possono essere trovati al seguente link \url{https://dontkillmyapp.com}. ### Trasmissione - ### Scansione From 5de8b3b42b2881f460d0595a1bab45b582ad4afa Mon Sep 17 00:00:00 2001 From: norangebit Date: Wed, 8 Jul 2020 21:19:52 +0200 Subject: [PATCH 4/6] Add transmission --- documentazione.md | 29 +++++++++++++++++++++++++++++ 1 file changed, 29 insertions(+) diff --git a/documentazione.md b/documentazione.md index addb237..dd95c0a 100644 --- a/documentazione.md +++ b/documentazione.md @@ -63,6 +63,35 @@ Potendo opera unicamente nello spazio utente non è stato possibile superare que ### Trasmissione +Il dispositivo dell'utente deve eseguire il broadcast di un beacon bluetooth contenete l'UUID identificativo. +Questa operazione è stata svolta attraverso la classe `BeaconTransmitter` messa a disposizione dalla *Android Beacon Library*. +Inoltre per la modalità di funzionamento *C* è stato necessario prevedere un meccanismo di rotazione delle chiavi. +Questa rotazione viene settata attraverso la funzione `rotateTCN()` che sfrutta un `Handler` per programmare la rotazione dell'UUID. + +``` {.kotlin #lst:rotate-tcn caption="Codice necessario alla torazione del tcn."} +private fun rotateTCN() { + val advertiseHandler = Handler() + val changeTCN: Runnable = object : Runnable { + override fun run() { + tcnManager.nextTcn() + startAdvertising() + advertiseHandler.postDelayed( + this, + TCNManager.ELAPSE_BETWEEN_NEW_TCN + ) + } + } + + advertiseHandler.postDelayed( + changeTCN, + TCNManager.ELAPSE_BETWEEN_NEW_TCN + ) +} +``` + +La scelta della frequenza di *advertising* è stata dettata dai vincoli tracciati dall'API di Android @AdvertiseSettings. +Infatti la libreria permette di trasmettere un beacon o con una frequenza di 1 *Hz*, 3 *Hz* o 10 *Hz*. +Fortunatamente questi vincoli non si sono rilevati troppo limitanti infatti la frequenza di un Hertz, quindi un beacon trasmetto ogni secondo, permette di avere una buona trasmissione e di risparmiare batteria, inoltre in fase di scanning evita che siano registrate più interazioni nello stesso ciclo. ### Scansione From 7112ff839ad506569878b4b6cc2d0c46644f5292 Mon Sep 17 00:00:00 2001 From: norangebit Date: Wed, 8 Jul 2020 21:40:27 +0200 Subject: [PATCH 5/6] Add transition intensity --- documentazione.md | 17 +++++++++++++++++ 1 file changed, 17 insertions(+) diff --git a/documentazione.md b/documentazione.md index dd95c0a..e37a29a 100644 --- a/documentazione.md +++ b/documentazione.md @@ -93,6 +93,23 @@ La scelta della frequenza di *advertising* è stata dettata dai vincoli tracciat Infatti la libreria permette di trasmettere un beacon o con una frequenza di 1 *Hz*, 3 *Hz* o 10 *Hz*. Fortunatamente questi vincoli non si sono rilevati troppo limitanti infatti la frequenza di un Hertz, quindi un beacon trasmetto ogni secondo, permette di avere una buona trasmissione e di risparmiare batteria, inoltre in fase di scanning evita che siano registrate più interazioni nello stesso ciclo. +Sempre attraverso l'API di Android è stata settata la potenza di trasmissione del beacon. +Anche in questo caso la scelta era limitata a poche alternative: + +- HIGH +- MEDIUM +- LOW +- ULTRA_LOW + +Com'è possibile dedurre anche dai nomi dei vari livelli, l'API non fornisce nessuna stima quantitativa[^dispositivi-non-omogenei], ma solo delle indicazioni qualitative delle intensità del segnale trasmesso. +L'individuazione del livello più adatto è stata svolta per via sperimentale utilizzando cinque dispositivi differenti. +I due livelli più alti sono stati immediatamente scartati in quanto permettevano di rilevare i beacon a distanze elevate cosa che avrebbe minato la bontà dell'applicazione. +Con il livello ULTRA_LOW si è notato che venivano rilevate unicamente le interazioni inferiori al metro in contesti *free space*. +Poiché l'organizzazione mondiale della sanità raccomanda una distanza di almeno un metro @AdvicePublicCOVID19 questo livello di trasmissione non consente di rilevare contatti potenzialmente a rischio. +Per questo motivo si è scelto di utilizzare il livello LOW che permette di rilevare contatti fino a circa due metri. + +[^dispositivi-non-omogenei]: D'altronde, data la natura non omogenea dei vari dispositivi Android, una stima quantitativa sarebbe stata impossibile da ottenere. + ### Scansione From 35190a2541589538fae6c5d362af5c62b3f84f24 Mon Sep 17 00:00:00 2001 From: norangebit Date: Thu, 9 Jul 2020 12:39:45 +0200 Subject: [PATCH 6/6] Add correction --- documentazione.md | 23 ++++++++++++----------- 1 file changed, 12 insertions(+), 11 deletions(-) diff --git a/documentazione.md b/documentazione.md index e37a29a..407911e 100644 --- a/documentazione.md +++ b/documentazione.md @@ -31,14 +31,14 @@ L'applicazione permette di tracciare i contatti degli utenti attraverso l'impieg In particolare lo smartphone di ogni utente si comporta sia da trasmittente di beacon bluetooth che da ricevente. In questo modo quando due utenti entrano nel raggio di azione del bluetooth il contatto verrà memorizzato sui rispettivi dispositivi. -L'applicazione prevede differenti modalità di funzionamento, ognuna delle quali garantisce un differente livello di privacy. -Nella modalità di funzionamento ***A*** ogni qual volta si verifica un contatto l'applicazione si occupa di notificare immediatamente l'evento al server in modo tale che esso possa essere aggiunto al database. -Questa modalità è quella meno *privacy friendly* in quanto la comunicazione avviene in *real-time* e all'interno del messaggio scambiato viene riportato sia l'UUID del utente sia quello della persona incontrata. +L'applicazione prevede differenti modalità di funzionamento, ognuna delle quali garantisce un diverso livello di privacy. +Nella modalità di funzionamento ***A*** ogni qual volta si verifica un contatto l'applicazione si occupa di notificare immediatamente l'evento al server in modo tale che esso possa essere aggiunto al database remoto. +Questa modalità è quella meno *privacy friendly* in quanto la comunicazione avviene in *real-time* e all'interno del messaggio scambiato viene riportato sia l'UUID dell'utente sia quello della persona incontrata. La modalità ***B*** prevede lo scambio delle stesse informazioni previste per la modalità precedente, ma solo se richiesto dalle autorità sanitarie. In questo modo non solo si evita che i dati siano catturati dal server in *real-time*, ma si espongono le informazioni dell'utente solo quando queste sono strettamente necessarie. Sia in questa modalità, che nella precedente si è scelto di non ruotare gli UUID identificativi degli utenti in modo da facilitare la generazione del grafo sul server. -Questa soluzione può mettere a repentaglio la privacy degli utenti e essere sfruttata da *avversari* per ottenere informazioni sulle abitudini degli utilizzatori[^catena-negozi]. +Questa soluzione può mettere a repentaglio la privacy degli utenti ed essere sfruttata da *avversari* per ottenere informazioni sulle abitudini degli utilizzatori[^catena-negozi]. [^catena-negozi]: Per esempio una catena di negozi attraverso l'impiego di uno scanner bluetooth potrebbe ricostruire la *fedeltà* degli utenti, conoscere i settori del negozio preferiti ecc. @@ -47,19 +47,19 @@ L'ultima modalità, la ***C***, è quella che tutela maggiormente la privacy deg - Rotazione degli UUID - Matching locale -La generazione degli UUID avviene attraverso una derivazione deterministica come visto nella @sec:tcn-protocol, in modo tale da avere lo stesso livello di privacy di una soluzione randomica, ma migliore scalabilità. -Mentre il matching locale permette di condividere il minor numero di informazioni possibili e solo quando strettamente necessario. +La generazione degli UUID avviene attraverso una derivazione deterministica come visto nella @sec:tcn-protocol, in modo tale da avere lo stesso livello di privacy di una soluzione randomica, ma con una migliore scalabilità. +Mentre il matching locale permette di condividere il minor numero di informazioni possibili e solo quando questo è strettamente necessario. Infatti in questa modalità l'applicazione carica le informazioni sul server solo in seguito alla richiesta delle autorità sanitarie. Inoltre a differenza delle prime due modalità è previsto l'upload unicamente degli UUID che il dispositivo ha assunto nel tempo, in questo modo il server non è in grado di conoscere o ricavare i contatti avuti dall'utente. ## Bluetooth -L'interazione tra l'hardware bluetooth del dispositivo è l'applicazione è stata gestita attraverso l'impiego della libreria *Android Beacon Library* @AndroidBeaconLibrary che permette di gestire più facilmente le operazioni con beacon bluetooth. -Inoltre per rendere l'applicazione più funzionale, e quindi garantirne il funzionamento anche in background o a schermo spento è stato utilizzato un *foreground service* @ServicesOverview per tenere in *primo piano* le operazioni di trasmissione e scansione anche quando l'applicazione non lo è. +L'interazione tra l'hardware bluetooth del dispositivo e l'applicazione è stata gestita attraverso l'impiego della libreria *Android Beacon Library* @AndroidBeaconLibrary che permette di gestire più facilmente le operazioni con beacon bluetooth. +Inoltre per rendere l'applicazione più funzionale, e quindi garantirne il funzionamento anche in background o a schermo spento è stato utilizzato un *foreground service* @ServicesOverview, che consente di mantenere in *primo piano* le operazioni di trasmissione e scansione anche quando l'applicazione non lo è. Data la natura variegata di Android, le diverse implementazioni del sistema operativo adoperate dai vari produttori non si comportano sempre nello stesso modo, motivo per il quale alcuni dispositivi tenderanno a terminare, o mettere in pausa ugualmente l'applicazione[^dont-kill-my-app]. Potendo opera unicamente nello spazio utente non è stato possibile superare questi limiti. -[^dont-kill-my-app]: Molti produttori Android per aumentare la vita della batteria dei propri dispositivi tendono a stoppare e ridurre le funzionalità delle applicazioni. Maggiori dettagli possono essere trovati al seguente link \url{https://dontkillmyapp.com}. +[^dont-kill-my-app]: Molti produttori Android per aumentare la durata della batteria dei propri dispositivi tendono a stoppare e ridurre le funzionalità delle applicazioni. Maggiori dettagli possono essere trovati al seguente link \url{https://dontkillmyapp.com}. ### Trasmissione @@ -90,8 +90,9 @@ private fun rotateTCN() { ``` La scelta della frequenza di *advertising* è stata dettata dai vincoli tracciati dall'API di Android @AdvertiseSettings. -Infatti la libreria permette di trasmettere un beacon o con una frequenza di 1 *Hz*, 3 *Hz* o 10 *Hz*. -Fortunatamente questi vincoli non si sono rilevati troppo limitanti infatti la frequenza di un Hertz, quindi un beacon trasmetto ogni secondo, permette di avere una buona trasmissione e di risparmiare batteria, inoltre in fase di scanning evita che siano registrate più interazioni nello stesso ciclo. +Infatti la libreria permette di trasmettere un beacon con una frequenza di 1 *Hz*, 3 *Hz* o 10 *Hz*. +Fortunatamente questi vincoli non si sono rilevati troppo limitanti infatti la frequenza di un Hertz, quindi un beacon trasmetto ogni secondo, permette di avere una buona trasmissione e di risparmiare batteria. +Inoltre in fase di scanning evita che siano registrate più interazioni nello stesso ciclo. Sempre attraverso l'API di Android è stata settata la potenza di trasmissione del beacon. Anche in questo caso la scelta era limitata a poche alternative: