Mensen willen veilige communicatie, geen bruikbare cryptografie

Beveiligings- en privacy-expert Micah Lee beschreef onlangs hoe hij hielp bij het opzetten cryptografisch beveiligde communicatie tussen klokkenluider Edward Snowden en de journalisten Glenn Greenwald en Laura Poitras, die wat hij had geleerd over de surveillanceprogramma's van de NSA met de wereld zou delen. Lee's verhaal over hoe de drie worstelden om de technologie onder de knie te krijgen, was een dringende herinnering aan een probleem dat me al een tijdje dwarszit en gevolgen heeft voor iedereen die de privacy van persoonlijke of professionele zaken wil waarborgen.





De cryptografische software die we tegenwoordig hebben, hindert degenen die het proberen te gebruiken met Rube Goldberg-machinecomplexiteit en academische taal, zo gedateerd als een Jordache-jeans. De worsteling van Snowden, Poitras en Greenwald met dat probleem had mogelijk de pogingen van Snowden om veilig te communiceren verijdeld, waardoor de wereld in het ongewisse was gelaten over Amerikaanse bewakingspraktijken en hun effecten op onze veiligheid en privacy.

Waarom is versleutelingssoftware zo afschuwelijk om te gebruiken? Want bruikbare cryptografie bestaat niet, ondanks de groeiende populariteit van het modewoord bruikbare crypto de afgelopen jaren onder experts. Bruikbaarheid en crypto zijn in feite twee aparte disciplines. Een daarvan gaat over het maken van dingen waar mensen mee omgaan; de andere houdt zich bezig met technisch sanitair dat, hoewel cruciaal, niet zichtbaar mag zijn voor de eindgebruiker. Tenzij we de juiste balans vinden, zullen consumenten nooit profiteren van crypto.

De cypherpunk droom - waar crypto alomtegenwoordig is en iedereen code als een tweede taal spreekt - kwam nooit uit omdat wij cryptografen ons doel aanzagen voor het doel van onze consumenten. Johnny kan niet versleutelen omdat Johnny nooit wilde versleutelen. Niemand wil echt cryptografie op zich. Wat ze willen is communiceren hoe en met wie ze willen, maar veilig.



Cryptografen en de veiligheids- en privacygemeenschap kunnen dit probleem niet zelf oplossen. Real-world cryptografie gaat niet alleen over cryptografie. Het gaat net zo goed om productontwerp en het bouwen van ervaringen die werken voor de gebruiker - geen werk nodig van de gebruiker. Het is een multidisciplinair probleem dat niet alleen cryptografen vereist, maar ook ontwerpers en ontwikkelaars van gebruikerservaringen.

Gelijkwaardige problemen zijn min of meer opgelost op andere gebieden van informatica. Het e-mailcoderingssysteem PGP debuteerde in 1991, hetzelfde jaar als Linux en het World Wide Web. De laatste twee zijn geëvolueerd om centraal te staan ​​in veel diensten en producten met honderden miljoenen niet-deskundige gebruikers. Maar als je PGP of zijn open-source neef GPG probeert te gebruiken, zul je merken dat je in veel opzichten vastzit in 1991 - zoals Snowden en zijn contacten ontdekten.

Een manier om dit probleem op te lossen, is door een veelgebruikt hulpmiddel in beveiligingskringen aan te passen, de beveiligingsaudit, waarbij de kwetsbaarheid van een applicatie voor aanvallen wordt onderzocht door middel van een verscheidenheid aan technische processen. Onlangs hebben actievoerders geld ingezameld om beveiligingsaudits van kritieke tools te financieren, zoals de versleutelingssoftware harde schijf TrueCrypt . Ik stel voor dat we hetzelfde model gebruiken om gebruikerservaringsaudits van beveiligde communicatiesoftware te financieren, en onze tools te onderwerpen aan het soort gebruikerstests dat de blockbuster-apps van toonaangevende consumentenbedrijven aanscherpt.



We moeten ook de manier veranderen waarop we met gebruikers praten over cryptografische concepten en beveiliging, en plaatsen opzetten voor interdisciplinair onderzoek naar het creëren van vriendelijke gebruikerservaringen ondersteund door beveiligings- en privacytechnologieën.

Op dit moment zijn de dingen slecht, maar inconsequent veelbelovend. De Open WhisperSystems-project heeft mobiele apps gemaakt voor gecodeerde berichten en oproepen die veel lijken op normale apps voor spraak en tekst, en onlangs kondigde het aan dat dit het geval is WhatsApp helpen versleutelen de berichten van zijn gebruikers. We hebben nieuwe organisaties zoals Gewoon veilig , dat tot doel heeft de ontwikkeling van bruikbare beveiligings- en privacysoftware te bevorderen (en wordt geleid door een productontwerper, niet door een cryptograaf).

Er zijn echter niet veel van deze uitzonderlijke producten of organisaties. We zijn hier nog veel te nieuw in voor ons eigen bestwil - of dat van de vele mensen die manieren nodig hebben om veilig te blijven. En onze pogingen zijn niet altijd succesvol. Hoe sneller we manieren vinden om samen een goede gebruikerservaring en beveiliging te bieden, hoe meer impact de tools die we maken kunnen hebben. Want laten we eerlijk zijn, de massa zal een goede ervaring niet opofferen voor een slechte met codering.



Justin Troutman is een onafhankelijke cryptograaf die een workshopreeks creëert, CRUX, die zich toelegt op het bevorderen van samenwerking tussen experts op het gebied van cryptografie en het ontwerpen van gebruikerservaringen.

zich verstoppen