Исследователи информатики и коммуникации, связанные с университетским центром информационных технологий и общества, побывали в трех странах, чтобы оценить проблемы, с которыми сталкиваются группы меньшинств в поддержании безопасного и надежного присутствия в социальных сетях. Основываясь на отзывах сообществ, команда разработала приложение для операционной системы Android, которое будет защищать анонимность членов группы, а также проверять надежность сообщений, поступающих от группы. Документ с подробным описанием технологии появился в Journal of Internet Services and Applications.
Команда под руководством профессора информатики Элизабет Белдинг побывала в Монголии, Замбии и Турции, где коллеги из местных учреждений связали их с членами маргинализованных сообществ. В то время эти страны предлагали относительно безопасную альтернативу другим странам с ограничениями на свободу слова, таким как Россия, Китай и Египет. Однако примерно через две недели после того, как группа посетила Турцию, попытка государственного переворота побудила правительство подавить политическое диссидентство.
Интервью и опросы среди широкой общественности и членов маргинализованных групп в этих странах подтвердили, что сохранение анонимности имеет решающее значение для защиты. Но, как вскоре выяснилось, у него есть недостатки. «Проблема анонимного общения в том, что вы не знаете, заслуживает ли оно доверия», – сказала Мириам Мецгер, профессор кафедры коммуникаций и один из соавторов газеты. "Если вы просто получаете сообщение и не знаете, от кого оно исходит, вы, вероятно, не собираетесь делать то, что вам говорит это сообщение. Особенно если это рискованно."
Вот где на помощь приходит SecurePost. Приложение позволяет сообществам создавать безопасные группы в Twitter и Facebook, что позволяет им поддерживать постоянное и заметное присутствие в социальных сетях.
Это позволяет им со временем укрепить доверие своих читателей, – пояснил Михаил Некрасов, докторант информатики и ведущий автор статьи.
Что революционно, так это то, что SecurePost позволяет группе работать без какого-либо списка ее отдельных членов. Кроме того, приложение проверяет сообщения группы, отмечая любой контент, для которого отсутствуют соответствующие учетные данные. Таким образом, каждый член защищен своей анонимностью, даже если в группу проникли или взломали, а сообщения от самой группы проверяются как заслуживающие доверия.
Естественно, этим сообществам нужен удобный, но безопасный способ рассылки приглашений. Исследовательская группа выяснила, что многие группы использовали для этого пароли, однако обмен паролем всегда подвергает риску учетную запись. «Мы обнаружили, что люди просто не скажут кому-то пароль», – сказал Некрасов. "Они бы записали это или отправили в сообщении, а это невероятно небезопасно."
Вместо этого команда разработала гораздо более безопасный метод приглашения нового члена в группу.
Процесс включает обмен безопасными QR-кодами визуально или через доверенное соединение, метод, который использует пару видимых открытых ключей и вторую пару скрытых закрытых ключей для отправки и получения зашифрованной информации. По словам Некрасова, это обеспечивает безопасность приглашения, даже если третье лицо было свидетелем обмена, потому что закрытый ключ скрыт на устройстве человека, присоединяющегося к группе.
Как только новый участник присоединяется к группе, он получает новую пару ключей. Закрытый ключ позволяет им подписывать сообщения от имени группы. Открытый ключ, который может видеть и использовать любой, позволяет любому пользователю социальных сетей, в том числе не входящему в группу, проверять сообщения. Это гарантирует, что если сообщение подделано или изменено социальной сетью или правительством, любой пользователь сможет идентифицировать его как подделку.
Исследователи создали расширение для интернет-браузера, которое автоматически проверяет подлинность сообщений. Криптографическая подпись, видимая под каждым сообщением слева, скрыта при запуске расширения справа.
Контент, загруженный из учетной записи через SecurePost, выглядит так, как если бы у него был один автор, без возможности идентифицировать отдельные плакаты или список участников группы. Это достигается путем размещения группы на стороннем прокси-сервере, который маскирует индивидуальный IP-адрес из социальной сети. "Это означает, что вам не нужно доверять какой-то посторонней стороне", – сказал Некрасов. "Группа может запустить свой собственный сервер и проверять все, что происходит."
Более того, SecurePost прикрепляет к сообщению криптографическую подпись, сгенерированную из закрытого ключа члена группы. Затем приложение автоматически проверяет подлинность этой подписи для всех, кто запускает программу, независимо от их статуса членства в определенной группе. Поскольку прокси-сервер на самом деле никогда не получает закрытый ключ пользователя, функция проверки может помечать контент, такой как сообщения, сделанные самозванцем или кем-то, кто взломал прокси.
Команда разработала SecurePost с учетом реалий пользователей.
Они создали приложение для операционной системы Android, которое в то время занимало 86 процентов мирового рынка. Они также сделали его совместимым со старыми устройствами, так что по состоянию на октябрь 2017 года 99.9 процентов устройств Android, зарегистрированных в Google, могут запускать приложение. Это важно, потому что многие люди в целевых группах пользователей используют телефоны со старыми операционными системами, которые дешевле купить.
SecurePost также может работать без постоянного подключения к Интернету, что необходимо во многих регионах, где он найдет применение.
Вместо того, чтобы сразу загружать контент, приложение сохраняет его на устройстве и публикует, когда подключение к Интернету возобновляется. Чтобы обойти уязвимость, которая возникает, если власти конфискуют устройство, SecurePost также шифрует все данные с помощью пароля для всего приложения.
Если пользователь находится под принуждением, он или она может предоставить ложный пароль, который стирает данные приложения, включая ключи группы.
Команда надеется, что программное обеспечение в конечном итоге станет полноценным продуктом с более широким охватом. «В конце концов, мы не компания, мы исследователи», – сказал Мецгер. «Мы можем разрабатывать приложения и размещать их в магазине приложений, но у нас нет бюджета на их маркетинг."
«Но мы можем создавать новые системы, на основе которых компания могла бы строить бизнес и продавать их», – добавила она. "Вот так эти технологии могут иметь большое влияние."