Forskere laver en applikation, der sikrer anonymitet og troværdighed

Minoritets- og dissidentesamfund står over for en forvirrende udfordring i lande med autoritære regeringer. De skal forblive anonyme for at undgå forfølgelse, men skal også etablere en troværdig identitet i deres kommunikation. En tværfaglig gruppe af forskere ved UC Santa Barbara har designet en ansøgning, der opfylder begge disse krav.

Datalogi- og kommunikationsforskere tilknyttet universitetets Center for Informationsteknologi og Samfund rejste til tre lande for at vurdere de udfordringer, minoritetsgrupper står over for med at opretholde en sikker, troværdig tilstedeværelse på sociale medier. Baseret på fællesskabernes feedback, holdet designede en app til Android-operativsystemet, der ville beskytte gruppemedlemmernes anonymitet samt verificere pålideligheden af ​​indlæg, der kommer fra gruppen. Et papir, der beskriver teknologien, dukkede op i Journal of Internet Services and Applications .

Holdet, ledet af professor i datalogi Elizabeth Belding, rejste til Mongoliet, Zambia og Tyrkiet, hvor kolleger på lokale institutioner forbandt dem med medlemmer af marginaliserede samfund. På det tidspunkt, disse lande tilbød et relativt sikkert alternativ til andre nationer med begrænset tale, ligesom Rusland, Kina og Egypten. Omkring to uger efter, at gruppen besøgte Tyrkiet, imidlertid, et forsøg på statskup fik regeringen til at slå ned på politisk uenighed.

Interviews og undersøgelser med den brede offentlighed og med medlemmer af marginaliserede grupper i disse lande bekræftede, at opretholdelse af anonymitet er afgørende for beskyttelsen. Men det kommer med ulemper, som holdet hurtigt lærte. "Problemet med anonym kommunikation er, at du ikke ved, om det er troværdigt, " sagde Miriam Metzger, en professor i afdelingen for kommunikation, og en af ​​avisens medforfattere. "Hvis du bare får en besked, og du ikke ved, hvem den kommer fra, du kommer sandsynligvis ikke til at gøre, hvad den besked fortæller dig at gøre. Især hvis det er risikabelt."

Det er her, SecurePost kommer ind. Appen giver fællesskaber mulighed for at oprette sikre grupper på Twitter og Facebook, der lader dem opretholde en konsistent, synlig tilstedeværelse på sociale medier. Dette sætter dem i stand til at opbygge tillid til deres læserskare over tid, forklarede Michael Nekrasov, en datalogi doktorand og hovedforfatter af papiret.

Det revolutionerende er, at SecurePost tillader en gruppe at fungere uden nogen liste over dens individuelle medlemmer. Derudover appen tjekker gruppens indlæg, markering af indhold, der mangler de korrekte legitimationsoplysninger. På denne måde hvert medlem er beskyttet af deres anonymitet, selvom gruppen er infiltreret eller hacket, alt mens kommunikation fra selve gruppen bekræftes som troværdig.

Naturligt, disse samfund ønsker en bekvem, men alligevel sikker måde at forlænge medlemsinvitationer på. Forskerholdet erfarede, at mange grupper brugte adgangskoder til dette, Men deling af en adgangskode bringer altid kontoen i fare. "Det vi fandt var, folk ville ikke bare fortælle nogen adgangskoden, " sagde Nekrasov. "Det, de ville gøre, er at skrive det ned eller sende det i en besked, og det er utroligt usikkert."

I stedet udviklede holdet en meget mere sikker metode til at invitere et nyt medlem til gruppen. Processen involverer udveksling af sikre QR-koder visuelt eller over en pålidelig forbindelse, en teknik, der bruger et par synlige, offentlige nøgler og et andet par skjulte, private nøgler til at sende og modtage krypteret information. Dette sikrer invitationens sikkerhed, selvom en tredjepart var vidne til udvekslingen, sagde Nekrasov, fordi den private nøgle er skjult på enheden til den person, der deltager i gruppen.

Når det nye medlem slutter sig til gruppen, de modtager et nyt nøglepar. Den private nøgle gør det muligt for dem at underskrive indlæg på vegne af gruppen. Den offentlige nøgle, som alle kan se og bruge, gør det muligt for enhver bruger af sociale medier – inklusive dem der ikke er i gruppen – at bekræfte indlæg. Dette sikrer, at hvis et indlæg er forfalsket eller ændret af et socialt netværk eller en regering, enhver bruger vil være i stand til at identificere det som en forfalskning.

Indhold uploadet fra en konto via SecurePost ser ud, som om det havde en enkelt forfatter uden mulighed for at identificere individuelle plakater eller en gruppes medlemsliste. Det opnår dette ved at hoste gruppen på en tredjeparts proxyserver, som maskerer den enkeltes IP-adresse fra det sociale netværk. "Det betyder, at du ikke behøver at stole på en ekstern part, " sagde Nekrasov. "En gruppe kan køre sin egen server og verificere alt, hvad der foregår."

Hvad mere er, SecurePost vedhæfter en kryptografisk signatur til indlægget, genereret fra gruppemedlemmets private nøgle. Applikationen verificerer derefter automatisk ægtheden af ​​denne signatur for alle andre, der kører programmet, uanset deres medlemsstatus i en bestemt gruppe. Fordi proxyserveren faktisk aldrig modtager brugernes private nøgle, verifikationsfunktionen kan markere indhold såsom indlæg lavet af en bedrager eller en person, der hackede proxyen.

Holdet designede SecurePost med deres brugeres realiteter i tankerne. De producerede applikationen til Android-operativsystemet, som dengang udgjorde 86 procent af den globale markedsandel. De gjorde det også kompatibelt med ældre enheder, således at fra oktober 2017, 99,9 procent af Android-enheder, der er registreret hos Google, kunne køre applikationen. Dette er vigtigt, fordi mange personer i de målrettede brugergrupper bruger telefoner med ældre operativsystemer, som er billigere at købe.

SecurePost kan også fungere uden en kontinuerlig internetforbindelse, en nødvendighed i mange regioner, hvor den vil finde anvendelse. I stedet for straks at uploade indhold, appen gemmer det på enheden og sender det, når internetforbindelsen genoptages. For at omgå den sårbarhed, dette skaber, hvis myndighederne konfiskerer enheden, SecurePost krypterer også alle data med en adgangskode for hele applikationen. Hvis brugeren er under tvang, han eller hun kan angive en falsk adgangskode, der sletter appens data, inklusive gruppenøglerne.

Teamet håber, at softwaren i sidste ende bliver udviklet til et fuldgyldigt produkt med en bredere rækkevidde. "I sidste ende, vi er ikke et firma, vi er forskere, " sagde Metzger. "Vi kan udvikle apps, og vi kan lægge dem i app store, men vi har ikke et budget til at markedsføre dem."

"Men vi kan skabe nye systemer, som en virksomhed kan bygge en forretning op omkring og markedsføre, " tilføjede hun. "Og det er den måde, disse teknologier kan have en stor indflydelse på."