Почему так трудно использовать приложения с шифрованием данных?

→ 15.01.2016

Почему приложения с шифрованием данных так трудно использовать?

Защита данных у многих пользователей вызывает массу трудностей из-за недружелюбного пользовательского интерфейса программ.

Даже если два человека будут находиться в одной комнате, им будет трудно безопасно передать информацию. Телефонные звонки, электронные письма и текстовые сообщения могут перехватываться правительством, компаниями или хакерами, даже обычная почта небезопасна.

Частные онлайн-переписки были доступны в течение некоторого времени, но большинству из них нужен высокий уровень безопасности. Неудобная настройка PGP ключа для шифрования электронной почты, которая десятилетиями была без этой опции, и вся переписка была не защищена.

Эдвард Сноуден показал масштаб шпионажа АНБ за обычными гражданами, которые в свою очередь начали беспокоиться за свою цифровую конфиденциальность. Некоторые интернет-компании отреагировали и создали для общения такие простые приложения, как Signal, Telegram и WhatsApp, их приятные интерфейсы маскируют сложные системы безопасности, которые могут противостоять различным атакам.

Другая компания, специализирующаяся на цифровой безопасности, делает простые инструменты, которые доступны для большинства разработчиков приложений, тем самым способствуя росту количества потребителей. SpiderOak работает в бизнесе защиты данных много лет. С помощью сервиса резервного копирования данных Dropbox, который позволяет пользователям сохранять гигабайты данных на серверах компании, таким образом, что даже сама компания не может расшифровать информацию, которую она хранит.

Сервис построен на платформе с открытым исходным кодом под названием Crypton и доступен для каждого человека. Crypton это библиотека, предназначенная для других разработчиков, которые могут использовать её в своих приложениях. Она помогает защитить приватность пользователя, позволяя программистам не знакомым с криптографией сосредоточиться на других вещах.

Директор Crypton Дэвид Даль, говорит, что конфиденциальность – это проблема для многих пользователей. «Исторически, взаимодействие между создателями интерфейсов и учёными специализирующихся на криптографии было минимально», написал Даль.

Отсутствие этой взаимосвязи, говорит он, мешало шифровать связь, используя «обычные приложения с приятным и понятным дизайном». Оправка зашифрованного письма – это многоступенчатый процесс. Он включает в себя длительную первоначальную настройку, поиск и проверку открытого ключа получателя используя программное обеспечение для шифрования сообщения с этого открытого ключа, а после дешифровка ответа.

Несколько простых приложений с защитой конфиденциальности имеют приятный интерфейс, который маскирует сложную систему безопасности способную выдержать интенсивные атаки.

В качестве доказательства правильности концепции простых и понятных программ для защиты конфиденциальности SpiderOak сделали приложение социальной сети на платформе Crypton под названием Kloak. Как и Twitter, Kloak позволяет пользователям передавать короткие сообщения, но в отличие от Twitter там могут общаться люди, которые добавили друг друга в друзья, все фотографии и сообщения шифруются и сохраняются на устройствах пользователей.

Kloak всё ещё находится в бета-версии – это скорее эксперимент, чем готовый продукт.

«Для нас это простой способ помочь разработчикам без знаний криптографии начать делать приложения», сказал соучредитель и исполнительный директор SpiderOak Алан Фэрлесс.

«Вот один хороший пример, в котором нет каких-либо необычных инструментов, нет продвинутых JavaScript фреймворков – всё очень просто и доступно для разработчика».

Одну из возможностей криптографии, которую показывает Kloak – это простой процесс проверки ключа безопасности. Это неотъемлемая часть большинства зашифрованных сообщений.

При отправке и получении зашифрованных сообщений, каждый участник беседы должен быть уверен, что человек на другом конце является действительно тем, за кого себя выдает. Многие современные сервисы шифрования используют систему открытых и закрытых ключей, позволяя пользователям проверять личность своих партнёров путём сравнения сгенерированных паролей или изображений.

Kloak также как Telegram использует систему генерации QR кода, который позволяет пользователям добавлять друзей к своей сети. SpiderOak говорит, что разрабатывает «стильную» замену QR кода, которая будет выглядеть как анимированный рисунок.

«Верификация по PGP ключу просто невыносима для большинства людей», сказал Фэрлесс. «Как сделать людей защищёнными эффективно и ненавязчиво, и чтобы у людей не было проблем с использованием программы»?

SpiderOak в ближайшие несколько месяцев в своих продуктах планирует применить анимированный ключ системы безопасности. Это будут приложения для организации совместной работы, которые составят конкуренцию Microsoft SharePoint. Продукт позволит командам обмениваться сообщениями и файлами, которые будут зашифрованы. Даже у сотрудников SpiderOak не будет к ним доступа.

Несмотря на то что Kloak всего лишь эксперимент, им уже пользуется некоторое количество людей. Инженер Walmart Эндрю Митри сказал, что он пользуется Kloak. Также он сказал, что работает с опытными людьми в плане технологий, и они будут общаться только в приватной (защищённой) среде.

Ещё один бета-тестер Kloak Дэвид Нильсен заметил несколько проблем с юзабилити. Также он оценил подход приложения к конфиденциальности. Он сказал «по крайней мере, Kloak предлагает что-то уникальное, и я надеюсь, что пользователи оценят конфиденциальность».

Самым большим препятствием для любого подобного программного обеспечения это внедрение. Многие пользователи не готовы отказаться от функций, которые они считают важными в пользу шифрования и часто критикуют подобные приложения. Новым приложениям с шифрованием сложно бороться против укоренившихся конкурентов, таких как Facebook и Gmail, которые годами собирали огромную базу пользователей и выживают за счёт их данных.

Благодаря действиям Сноудена открывшего секреты АНБ и увеличивающегося списка работников в крупнейших компаниях и правительственных структурах, есть больше шанса, что пользователи будут требовать большую приватность от приложений, которыми они ежедневно пользуются.

Чтобы удовлетворить эти требования разработчики должны будут инвестировать в создание сложных систем цифровой конфиденциальности, которые будут доступны и удобны потребителям, тем самым давая возможность даже наименее технически подкованным людям чувствовать себя в безопасности.
(via)

comments powered by HyperComments
Система Orphus