Jakiej kryptografii potrzebują ludzie?

Aby szyfrowanie było szeroko stosowane, musi zostać wbudowane w atrakcyjne, łatwe w obsłudze aplikacje, takie jak te, do których ludzie już są przyzwyczajeni.

Ekspert ds. bezpieczeństwa i prywatności, Micah Lee, opisywał ostatnio jak pomagał ustanowić kryptograficznie chronioną komunikację pomiędzy Edwardem Snowdenem, a dziennikarzami Glenn Greenwald i Laurą Poitras, którzy chcieli podzielić się ze światem wiedzą, na temat tego, czego Snowden dowiedział się na temat programu inwigilacyjnego NSA. Opowieść Lee o tym, jak trójka zmagała się z technologią, była przypomnieniem o problemie, który gryzł mnie od jakiegoś czasu i miał konsekwencje dla każdego, kto chciałby być pewien swojej prywatności ze względów personalnych czy zawodowych.

Kryptograficzny sofware, którym dysponujemy dzisiaj, pozwala się zgubić każdemu, kto próbuje go używać, ze swoją złożonością maszyny Rube Goldberga i stosowanym akademickim językiem. Szamotaniny Snowdena, Poitras i Greenwalda z tym problemem mogłyby udaremnić próby bezpiecznej komunikacji, pozostawiając świat w ciemności i niewiedzy na temat inwigilacyjnych praktyk USA i ich efektów odbijających się na naszym bezpieczeństwie i prywatności.

Dlaczego szyfrujące oprogramowanie jest tak trudne w obsłudze? Ponieważ nie ma czegoś takiego, jak łatwa w obsłudze kryptografia, pomimo wzrostu popularności szumnego terminu „usable crypto” wśród ekspertów w ostatnich latach. Łatwość w obsłudze i kryptografia to w rzeczywistości dwie oddzielne dziedziny. Jedna dotyczy kształtowania rzeczy, z którymi interagują ludzie; druga zaś skupia się na technicznej hydraulice, która choć istotna, nie powinna być widoczna dla końcowego odbiorcy. Dopóki nie znajdziemy odpowiedniej równowagi, klienci nigdy nie będą wyciągać korzyści z kryptografii.

Cypherpunkowy sen – w którym kryptografia jest wszechobecna, a każdy posługuje się kodem, niczym drugim językiem – nigdy nie stał się rzeczywistością, ponieważ kryptografowie źle określili swój cel jako cel swoich klientów. Jasiu nie potrafi szyfrować, ponieważ Jasiu nigdy nie chciał szyfrować. Nikt z nich tak naprawdę nie chce kryptografii dla niej samej. To, czego chcą, to komunikować się jak chcą, i z kim chcą, ale bezpiecznie.

Kryptografowie oraz społeczność skupiona wokół spraw bezpieczeństwa i prywatności nie mogą naprawić tego problemu sami. Prawdziwa kryptografia nie dotyczy bowiem tylko kryptografii. Tak samo chodzi tu o projekt produktu, jego design, i budowanie doświadczeń, które pracują dla użytkownika – nie wymagają zaś pracy od użytkownika. To interdyscyplinarny problem, który potrzebuje do rozwiązania nie tylko kryptografów, ale i projektantów i developerów doświadczeń użytkownika.

Odpowiednie problemy zostały mniej lub bardziej rozwiązane w innych obszarach komputerowych. System szyfrowania e-maili PGP zadebiutował w 1991, w tym samym roku, co Linux oraz World Wide Web. Ostatnie dwa ewoluowały, by stać się ośrodkiem dla rozwoju wielu usług i produktów, z setkami milionów użytkowników o poziomie nieeksperckim. Ale kiedy próbujesz skorzystać z PGP albo jego open-source’owego kuzyna, GPG, okaże się, że pod wieloma względami utknąłeś w 1991 – tak, jak odkryli to Snowden i jego kontakty.

Jednym ze sposobów, na które możemy zacząć rozwiązywać ten problem, jest sprawdzanie narzędzia w kręgach bezpieczeństwa, audyt bezpieczeństwa, w którym wrażliwość aplikacji na ataki jest badana przez różnorodne techniczne procesy. Ostatnio prowadzący kampanię uzbierali pieniądze w celu ufundowania audytu bezpieczeństwa dla krytycznych narzędzi takich jak oprogramowanie do szyfrowania dysku TrueCrypt. Sugeruję korzystać z tego samego rozwiązania i przeprowadzać audyty doświadczenia ze strony użytkownika software’u do bezpiecznej komunikacji, i poddawać nasze narzędzia takiemu testowaniu przez użytkownika, jak te, dzięki którym powstają największe hity wśród aplikacji przodujących firm konsumenckich.

Musimy także zmienić sposób, w jaki rozmawiamy z użytkownikami o kryptograficznych ideach oraz bezpieczeństwie, a także ustanowić pola interdyscyplinarnych badań na temat tego, jak tworzyć przyjazne dla użytkownika, a dbające bezpieczeństwo i prywatność technologie.

Obecnie spawy mają się kiepsko, ale zapowiadają się obiecująco. Projekt Open WhisperSystems wypuścił aplikacje mobilne do szyfrowania wiadomości i telefonów, które wyglądają w zasadzie niczym „normalne” aplikacje do rozmów i SMS-ów, a ostatnio ogłosili także, że pomagają WhatsApp szyfrować wiadomości ich użytkowników. Powstają teraz organizacje takie jak Simply Secure, której celem jest sprzyjać rozwojowi łatwego w obsłudze oprogramowania dbającego o bezpieczeństwo i prywatność (a prowadzona jest przez projektanta, a nie kryptografa!).

Jednakże, nie ma zbyt wiele takich wyjątkowych produktów czy organizacji. Jesteśmy w tym polu wciąż zbyt nowi. I nasze próby nie zawsze odnoszą sukces. Ale im szybciej znajdziemy sposób, by kreować przyjemne dla użytkowników doświadczenia oferujące bezpieczeństwo, tym większy będzie wpływ tworzonych przez nas narzędzi. Ponieważ, zmierzmy się z tym faktem – ludzie nie mają zamiaru poświęcić dobrego przeżycia na rzecz gorszego, lecz uwzględniająćego szyfrowanie!


Cyfrowa Matka

Może Ci się również spodoba

1 Odpowiedź

  1. rafi napisał(a):

    Nie wiem co jest takiego trudnego w uzywaniu GnuPG. Są okienkowe nakładki i są programy pocztowe umożliwiające wyklikanie szyfrowania. Chyba nie w trudności obsługi programu leży problem. Ludzie mają raczej problemy z ogarnięciem samej idei kryptografii asymetrycznej i na to się już nic nie poradzi. Po prostu luksus prywatności nie jest dla głupich.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *