Die Menschen wollen sichere Kommunikation, keine nutzbare Kryptografie

Der Sicherheits- und Datenschutzexperte Micah Lee beschrieb kürzlich, wie er beim Aufbau geholfen hat kryptografisch geschützte Kommunikation zwischen Whistleblower Edward Snowden und den Journalisten Glenn Greenwald und Laura Poitras, die ihre Erkenntnisse über die Überwachungsprogramme der NSA mit der Welt teilen würden. Lees Geschichte darüber, wie die drei darum kämpften, die Technologie zu beherrschen, war eine dringende Erinnerung an ein Problem, das mich seit einiger Zeit beschäftigt und Auswirkungen auf jeden hat, der die Privatsphäre privater oder beruflicher Angelegenheiten schützen möchte.





Die kryptografische Software, die wir heute haben, behindert diejenigen, die versuchen, sie mit Rube-Goldberg-Maschinenkomplexität und akademischer Sprache zu verwenden, die so veraltet ist wie ein Paar Jordache-Jeans. Snowdens, Poitras und Greenwalds Auseinandersetzungen mit diesem Problem hätten möglicherweise Snowdens Versuche, sicher zu kommunizieren, vereitelt und die Welt im Dunkeln über die US-Überwachungspraktiken und ihre Auswirkungen auf unsere Sicherheit und Privatsphäre gelassen.

Warum ist die Verwendung von Verschlüsselungssoftware so schrecklich? Denn brauchbare Kryptografie gibt es nicht, obwohl das Schlagwort brauchbare Kryptographie in den letzten Jahren unter Experten immer beliebter wurde. Usability und Krypto sind eigentlich zwei getrennte Disziplinen. Bei einem geht es darum, Dinge herzustellen, mit denen Menschen interagieren; der andere befasst sich mit der technischen Installation, die zwar wichtig ist, aber für den Endverbraucher nicht sichtbar sein sollte. Wenn wir nicht das richtige Gleichgewicht finden, werden die Verbraucher niemals von Krypto profitieren.

Der Cypherpunk Traum – in dem Krypto allgegenwärtig ist und jeder Code als Zweitsprache spricht – wurde nie verwirklicht, weil wir Kryptographen unser Ziel mit dem Ziel unserer Verbraucher verwechselten. Johnny kann nicht verschlüsseln, weil Johnny nie verschlüsseln wollte. Niemand will wirklich Kryptographie an und für sich. Sie wollen kommunizieren, wie und mit wem sie wollen, aber sicher.



Kryptografen und die Sicherheits- und Datenschutzgemeinschaft können dieses Problem nicht selbst beheben. Bei der realen Kryptographie geht es nicht nur um Kryptographie. Es geht genauso um Produktdesign und den Aufbau von Erfahrungen, die funktionieren Pro der Benutzer – keine Arbeit erforderlich von der Benutzer. Es ist ein interdisziplinäres Problem, das nicht nur Kryptografen, sondern auch User-Experience-Designer und Entwickler erfordert.

Äquivalente Probleme wurden in anderen Bereichen der Datenverarbeitung mehr oder weniger gelöst. Das E-Mail-Verschlüsselungssystem PGP debütierte 1991, im selben Jahr wie Linux und das World Wide Web. Die letzten beiden haben sich zu einem zentralen Bestandteil vieler Dienste und Produkte mit Hunderten von Millionen nicht fachkundiger Benutzer entwickelt. Aber wenn Sie versuchen, PGP oder seinen Open-Source-Cousin GPG zu verwenden, werden Sie in vielerlei Hinsicht im Jahr 1991 stecken bleiben – wie Snowden und seine Kontakte feststellten.

Eine Möglichkeit, dieses Problem zu lösen, ist die Anpassung eines in Sicherheitskreisen gängigen Tools, des Sicherheitsaudits, bei dem die Anfälligkeit einer Anwendung für Angriffe durch verschiedene technische Verfahren untersucht wird. Vor kurzem haben Aktivisten Geld gesammelt, um Sicherheitsüberprüfungen von kritischen Tools wie dem zu finanzieren Festplattenverschlüsselungssoftware TrueCrypt . Ich schlage vor, dass wir das gleiche Modell verwenden, um Benutzererfahrungsprüfungen von sicherer Kommunikationssoftware zu finanzieren, und unsere Tools der Art von Benutzertests unterziehen, die die Blockbuster-Apps führender Verbraucherunternehmen verfeinern.



Wir müssen auch die Art und Weise ändern, wie wir mit Benutzern über kryptografische Konzepte und Sicherheit sprechen, und Orte für disziplinübergreifende Forschungen einrichten, um herauszufinden, wie benutzerfreundliche Benutzererfahrungen geschaffen werden können, die durch Sicherheits- und Datenschutztechnologien unterstützt werden.

Im Moment sind die Dinge schlecht, aber unbeständig vielversprechend. Der Öffnen Sie das WhisperSystems-Projekt hat mobile Apps für verschlüsselte Nachrichten und Anrufe entwickelt, die wie normale Apps für Sprache und Text aussehen, und kürzlich angekündigt, dass dies der Fall ist WhatsApp beim Verschlüsseln helfen die Nachrichten seiner Benutzer. Wir haben neue Organisationen wie Einfach sicher , das darauf abzielt, die Entwicklung brauchbarer Sicherheits- und Datenschutzsoftware zu fördern (und von einem Produktdesigner und nicht von einem Kryptographen geleitet wird).

Es gibt jedoch nicht viele dieser außergewöhnlichen Produkte oder Organisationen. Wir sind noch viel zu neu darin für unser eigenes Wohl – oder das der vielen Menschen, die Wege brauchen, um sicher zu bleiben. Und unsere Versuche sind nicht immer erfolgreich. Je früher wir Wege finden, um gemeinsam eine gute Benutzererfahrung und Sicherheit zu bieten, desto mehr Wirkung können die von uns entwickelten Tools haben. Denn seien wir ehrlich, die Massen werden eine gute Erfahrung nicht für eine schlechte opfern, die Verschlüsselung beinhaltet.



Justin Troutman ist ein unabhängiger Kryptograf, der eine Workshop-Reihe namens CRUX ins Leben gerufen hat, die sich der Förderung der Zusammenarbeit zwischen Experten für Kryptografie und User-Experience-Design widmet.

verbergen