SYSTEM

Aufbewahrungsfrist einzelner kryptografischer Schlüssel verlängert


14 Okt 2021

Um die Kontaktnachverfolgung durch Gesundheitsämter auch dann sicherzustellen, wenn Smartphones von Nutzer:innen eine Weile offline waren, verlängert luca die Speicherfrist der sogenannten Tagesschlüssel.

 

Bislang löscht das luca-System sowohl alle von den luca Apps der Nutzer:innen verschlüsselt hochgeladenen Check-in-Daten nach 28 Tagen, als auch die sogenannten Tagesschlüssel der Gesundheitsämter (Details zum Zweck dieser Tagesschlüssel in unserem Blog). Letzteres ändert sich zum 15.Oktober 2021.

Der Grund: In Ausnahmefällen könnte es vorkommen, dass einzelne Datensätze sich aufgrund der Löschfristen nicht mehr zur Kontaktnachverfolgung entschlüsseln lassen. Ein mögliches (wenngleich unwahrscheinliches) Szenario sähe aus wie folgt: Eine Nutzer:in schaltet ihr Telefon für fünf Tage in den Flugmodus und checkt dann in einen Betrieb ein, in dem der Betreiber den persönlichen QR-Code der Nutzer:in scannt. Hierzu muss das Smartphone der Nutzer:in nicht online sein. Der von der luca App zum Verschlüsseln der Check-in-Daten verwendete öffentliche Tagesschlüssel ist zu diesem Zeitpunkt fünf Tage alt, da die App sich mangels Internetverbindung keinen aktuellen Schlüssel herunterladen kann.

Will ein Gesundheitsamt 24 oder mehr Tage nach diesem Check-in die Kontaktdaten im Rahmen einer Kontaktnachverfolgung entschlüsseln, schlägt dies fehl: Das luca-System hat das hierzu nötige Schlüsselmaterial bereits gelöscht, da die 28tägige Aufbewahrungsfrist abgelaufen ist.

Aus 28 mach 35 Tage

In der Praxis benötigen Gesundheitsämter Daten nach so langer Zeit in der Regel nicht mehr. Dennoch ist es uns wichtig, unserem Versprechen an Gesundheitsämter nachzukommen und Kontaktdaten von Nutzer:innen für 28 Tage nach ihrem Check-in liefern zu können. Daher ändern wir zum 15. Oktober 2021 die Löschfrist für die Tagesschlüssel von 28 auf 35 Tage.

35 Tage, weil die Apps der Nutzer:innen nach sieben Tagen ohne Internetverbindung nicht mehr zum Check-in verwendet werden können und einen entsprechenden Hinweis anzeigen.

Das Löschen der Check-in-Daten der Nutzer:innen nach 28 Tagen bleibt unverändert. Davon unabhängig verletzt das Verlängern der Speicherdauer um sieben Tage das uns wichtige Prinzip der Datensparsamkeit nicht, erhöht aber die Praxistauglichkeit des luca-Systems.