Cilvēki vēlas drošus sakarus, nevis lietojamu kriptogrāfiju

Drošības un privātuma eksperts Micah Lee nesen aprakstīja, kā viņš palīdzēja iestatīt kriptogrāfiski aizsargāti sakari starp trauksmes cēlēju Edvardu Snoudenu un žurnālistiem Glenu Grīnvaldu un Lauru Poitru, kuri dalīsies ar pasauli tajā, ko viņš bija uzzinājis par NSA uzraudzības programmām. Lī stāsts par to, kā viņi trīs cīnījās, lai apgūtu tehnoloģiju, bija steidzams atgādinājums par problēmu, kas mani jau kādu laiku ir nomocījusi un ietekmē ikvienu, kas vēlas nodrošināt personisku vai profesionālo lietu privātumu.





Mūsdienās pieejamā kriptogrāfijas programmatūra apgrūtina tos, kuri mēģina to izmantot ar Rube Goldberg mašīnas sarežģītību un akadēmisko valodu, kas datēta ar Jordache džinsu pāri. Snoudena, Puatrasas un Grīnvalda strīdi ar šo problēmu, iespējams, varētu izjaukt Snoudena mēģinājumus sazināties droši, atstājot pasauli neziņā par ASV novērošanas praksi un tās ietekmi uz mūsu drošību un privātumu.

Kāpēc šifrēšanas programmatūras lietošana ir tik šausmīga? Tā kā nav tādas lietas kā lietojama kriptogrāfija, neskatoties uz to, ka pēdējos gados ekspertu vidū ir pieaugusi modes vārda lietojamā kriptogrāfija popularitāte. Lietojamība un šifrēšana faktiski ir divas atsevišķas disciplīnas. Viens ir par tādu lietu veidošanu, ar kurām cilvēki mijiedarbojas; otrs ir saistīts ar tehnisko santehniku, kas, lai arī tā ir ļoti svarīga, nedrīkst būt redzama gala lietotājam. Ja mēs neatradīsim pareizo līdzsvaru, patērētāji nekad negūs labumu no kriptovalūtas.

The ciferpanks sapnis — kur kriptovalūta ir visuresoša un visi runā kodu kā otro valodu — nekad nesasniedza piepildījumu, jo mēs, kriptogrāfi, uzskatījām, ka mūsu mērķis ir mūsu patērētāju mērķis. Džonijs nevar šifrēt, jo Džonijs nekad nav vēlējies šifrēt. Neviens īsti nevēlas kriptogrāfiju pati par sevi. Viņi vēlas sazināties, kā un ar ko, lūdzu, bet droši.



Kriptogrāfi un drošības un privātuma kopiena paši nevar atrisināt šo problēmu. Reālās pasaules kriptogrāfija nav tikai kriptogrāfija. Tas tikpat daudz attiecas uz produktu dizainu un darba pieredzes veidošanu priekš lietotājam — nav nepieciešams darbs no lietotājs. Tā ir starpdisciplīnu problēma, kurai nepieciešami ne tikai kriptogrāfi, bet arī lietotāju pieredzes dizaineri un izstrādātāji.

Līdzvērtīgas problēmas ir vairāk vai mazāk atrisinātas citās skaitļošanas jomās. E-pasta šifrēšanas sistēma PGP debitēja 1991. gadā, tajā pašā gadā, kad Linux un World Wide Web. Pēdējie divi ir kļuvuši par galvenajiem daudziem pakalpojumiem un produktiem ar simtiem miljonu nepieredzējušu lietotāju. Taču, mēģinot izmantot PGP vai tā atvērtā pirmkoda brālēnu GPG, jūs daudzējādā ziņā būsiet iestrēdzis 1991. gadā — kā atklāja Snoudens un viņa kontakti.

Viens no veidiem, kā mēs varam sākt risināt šo problēmu, ir drošības aprindās izplatīta rīka, drošības audita, pielāgošana, kurā lietojumprogrammas neaizsargātība pret uzbrukumiem tiek pētīta, izmantojot dažādus tehniskus procesus. Nesen kampaņas dalībnieki ir piesaistījuši naudu, lai finansētu tādu svarīgu rīku drošības auditus kā cietā diska šifrēšanas programmatūra TrueCrypt . Es iesaku izmantot to pašu modeli, lai finansētu drošas saziņas programmatūras lietotāju pieredzes auditus, un pakļaut mūsu rīkus tādai lietotāju pārbaudei, kas uzlabo vadošo patērētāju uzņēmumu populārās lietotnes.



Mums arī jāmaina veids, kā mēs runājam ar lietotājiem par kriptogrāfijas koncepcijām un drošību, un jāizveido vietas starpdisciplīnu pētījumiem par to, kā radīt draudzīgu lietotāja pieredzi, kuras pamatā ir drošības un privātuma tehnoloģijas.

Šobrīd viss ir slikti, bet nekonsekventi daudzsološi. The Atveriet WhisperSystems projektu ir izveidojis mobilās lietotnes šifrētai ziņojumapmaiņai un zvaniem, kas izskatās līdzīgi parastajām balss un teksta lietotnēm, un nesen paziņoja, ka palīdz WhatsApp šifrēt tās lietotāju ziņas. Mums ir jaunas organizācijas, piemēram Vienkārši drošs , kuras mērķis ir veicināt izmantojamas drošības un privātuma programmatūras izstrādi (un to vada produktu dizainers, nevis kriptogrāfs).

Tomēr šo izcilo produktu vai organizāciju nav daudz. Mēs joprojām esam pārāk jauni šajā jomā mūsu pašu vai daudzo cilvēku labā, kuriem nepieciešami veidi, kā saglabāt drošību. Un mūsu mēģinājumi ne vienmēr ir veiksmīgi. Jo ātrāk mēs atradīsim veidus, kā kopā nodrošināt labu lietotāja pieredzi un drošību, jo lielāku ietekmi var atstāt mūsu izstrādātie rīki. Tā kā atzīsimies, liela daļa netaisās upurēt labu pieredzi sliktas pieredzes dēļ, kas ietver šifrēšanu.



Džastins Troutmens ir neatkarīgs kriptogrāfs, kas veido semināru sēriju CRUX, kas veltīta sadarbības veicināšanai starp kriptogrāfijas un lietotāju pieredzes dizaina ekspertiem.

paslēpties