La gente quiere comunicaciones seguras, no criptografía utilizable

El experto en seguridad y privacidad Micah Lee describió recientemente cómo ayudó a configurar comunicaciones protegidas criptográficamente entre el denunciante Edward Snowden y los periodistas Glenn Greenwald y Laura Poitras, quienes compartirían con el mundo lo que había aprendido sobre los programas de vigilancia de la NSA. La historia de Lee sobre cómo los tres lucharon para dominar la tecnología fue un recordatorio urgente de un problema que me ha molestado durante un tiempo y tiene implicaciones para cualquiera que quiera garantizar la privacidad de sus asuntos personales o profesionales.





El software criptográfico que tenemos hoy cojea a quienes intentan usarlo con la complejidad de una máquina de Rube Goldberg y un lenguaje académico tan anticuado como un par de jeans Jordache. Las peleas de Snowden, Poitras y Greenwald con ese problema posiblemente podrían haber frustrado los intentos de Snowden de comunicarse de manera segura, dejando al mundo en la oscuridad sobre las prácticas de vigilancia de los EE. UU. y sus efectos en nuestra seguridad y privacidad.

¿Por qué el software de encriptación es tan horrible de usar? Porque no existe la criptografía utilizable, a pesar del crecimiento de la popularidad de la palabra de moda criptografía utilizable entre los expertos en los últimos años. La usabilidad y la criptografía son, de hecho, dos disciplinas separadas. Uno se trata de crear cosas con las que la gente interactúa; el otro se ocupa de la plomería técnica que, aunque crucial, no debe ser visible para el usuario final. A menos que encontremos el equilibrio adecuado, los consumidores nunca se beneficiarán de las criptomonedas.

El ciberpunk El sueño, donde la criptografía es omnipresente y todos hablan código como segundo idioma, nunca llegó a buen término porque los criptógrafos confundimos nuestro objetivo con el objetivo de nuestros consumidores. Johnny no puede cifrar porque Johnny nunca quiso cifrar. Nadie realmente quiere la criptografía en sí misma. Lo que quieren es comunicarse cómo y con quién les plazca, pero de forma segura.



Los criptógrafos y la comunidad de seguridad y privacidad no podemos solucionar este problema por nosotros mismos. La criptografía del mundo real no se trata solo de criptografía. Se trata tanto del diseño del producto como de la creación de experiencias que funcionen por el usuario—no requiere trabajo desde el usuario. Es un problema interdisciplinario que requiere no solo criptógrafos, sino también diseñadores y desarrolladores de experiencia de usuario.

Problemas equivalentes se han resuelto más o menos en otras áreas de la informática. El sistema de cifrado de correo electrónico PGP debutó en 1991, el mismo año que Linux y la World Wide Web. Los dos últimos han evolucionado hasta convertirse en el centro de muchos servicios y productos con cientos de millones de usuarios no expertos. Pero cuando intenta usar PGP o su primo de código abierto, GPG, se encontrará estancado en muchos aspectos en 1991, como descubrieron Snowden y sus contactos.

Una forma en que podemos comenzar a resolver este problema es adaptando una herramienta común en los círculos de seguridad, la auditoría de seguridad, donde se investiga la vulnerabilidad de una aplicación a los ataques a través de una variedad de procesos técnicos. Recientemente, los activistas han recaudado dinero para financiar auditorías de seguridad de herramientas críticas como el software de cifrado de disco duro TrueCrypt . Sugiero que usemos el mismo modelo para financiar auditorías de experiencia de usuario de software de comunicación segura y sometamos nuestras herramientas al tipo de prueba de usuario que perfecciona las aplicaciones de gran éxito de las principales empresas de consumo.



También debemos cambiar la forma en que hablamos con los usuarios sobre los conceptos criptográficos y la seguridad, y establecer lugares para la investigación interdisciplinaria sobre cómo crear experiencias de usuario amigables respaldadas por tecnologías de seguridad y privacidad.

En este momento, las cosas están mal, pero son inconsistentemente prometedoras. El Abrir proyecto WhisperSystems ha creado aplicaciones móviles para llamadas y mensajes encriptados que se parecen mucho a las aplicaciones normales para voz y texto, y recientemente anunció que es ayudar a WhatsApp a cifrar los mensajes de sus usuarios. Tenemos nuevas organizaciones como Simplemente seguro , cuyo objetivo es fomentar el desarrollo de software utilizable de seguridad y privacidad (y está dirigido por un diseñador de productos, no por un criptógrafo).

Sin embargo, no hay muchos de estos productos u organizaciones excepcionales. Todavía somos demasiado nuevos en esto para nuestro propio bien, o el de muchas personas que necesitan formas de mantenerse a salvo. Y nuestros intentos no siempre tienen éxito. Cuanto antes encontremos formas de ofrecer una buena experiencia de usuario y seguridad juntas, mayor impacto tendrán las herramientas que creamos. Porque seamos realistas, las masas no van a sacrificar una buena experiencia por una mala que incluya encriptación.



Justin Troutman es un criptógrafo independiente que crea una serie de talleres, CRUX, dedicada a fomentar la colaboración entre expertos en criptografía y diseño de experiencia de usuario.

esconder