Langsung ke konten utama

Obstacles to the Adoption of Secure Communication Tools

Abstract Komunitas keamanan komputer telah menganjurkan adopsi luas alat komunikasi yang aman untuk melawan pengawasan massal. Beberapa alat komunikasi pribadi yang populer (misalnya, WhatsApp, iMessage) telah mengadopsi enkripsi ujung ke ujung E2E, dan banyak alat baru (misalnya, Signal, Telegram) telah diluncurkan dengan keamanan sebagai nilai jual utama. Namun masih belum jelas apakah pengguna memahami perlindungan apa yang ditawarkan alat ini, dan apakah mereka menghargai perlindungan itu. Dalam studi ini, kami mewawancarai 60 peserta tentang pengalaman mereka dengan alat komunikasi yang berbeda dan persepsi mereka tentang properti keamanan alat. Kami menemukan bahwa adopsi alat komunikasi yang aman terhalang oleh basis pengguna yang terfragmentasi dan alat yang tidak kompatibel. Selain itu, sebagian besar peserta tidak memahami konsep penting enkripsi ujung ke ujung E2, sehingga membatasi motivasi mereka untuk mengadopsi alat yang aman. Kami mengidentifikasi sejumlah model mental yang salah yang mendukung keyakinan ini. 

Introduction Usabilty telah lama dianggap sebagai tantangan utama untuk komunikasi yang aman, terutama enkripsi E2E. Namun, desain sebagian besar alat komunikasi (dan juga sebagian besar literatur kriptografi tentang protokol komunikasi aman) biasanya tidak melibatkan mereka yang pada akhirnya dimaksudkan untuk menggunakan alat ini, tentu saja tidak pada tahap awal hingga pertengahan desain. Alat komunikasi aman berbasis ponsel baru-baru ini sering dirancang untuk menyembunyikan keamanan dari pengguna sepenuhnya (walaupun dengan biaya keamanan). WhatsApp terkenal menyebarkan enkripsi E2E ke sekitar satu miliar pengguna melalui pembaruan kode pada aplikasinya untuk pesan, panggilan suara, dan komunikasi video [18], dengan hanya sedikit perubahan pada pengalaman pengguna. Beberapa alat komunikasi lainnya (misalnya, Signal, Threema) telah diluncurkan dengan keamanan sebagai titik penjualan eksplisit, tetapi mereka juga menyembunyikan hampir semua detail kriptografi. Electronic Frontier Foundation (EFF) Secure Messaging Scorecard adalah salah satu upaya untuk memberikan informasi keamanan kepada pengguna non-ahli, semacam "panduan konsumen" untuk mengamankan alat komunikasi. Namun, belum ada evaluasi untuk melihat apakah pengguna target memahami kartu skor, atau akan memilih alat yang lebih aman sebagai hasilnya. 
 The key qualitative insights: 
 • Usability is not the primary obstacle to adoption. • Fragmented users bases and lack of interoperability are significant obstacles. • Low Quality of Service (QoS) is an obstacle to adoption. • Sensitivity of information does not drive adoption • Secure communications were perceived as futile • Participants’ security rankings of tools were inaccu- rate • Participants did not understand the EFF Secure Messaging Scorecard • Usability bukanlah hambatan utama untuk adopsi. Peserta melaporkan masalah kegunaan dengan alat yang berbeda, tetapi tidak berhenti menggunakan alat terutama karena mereka. • Basis pengguna yang terfragmentasi dan kurangnya interoperabilitas merupakan hambatan yang signifikan. 

Kecenderungan umum untuk menciptakan alat komunikasi baru yang aman dan menilai kegunaan alat ini merupakan hambatan yang signifikan untuk adopsi karena menciptakan basis pengguna yang terfragmentasi. Juga, untuk menjangkau mitra komunikasi mereka, peserta perlu menggunakan alat yang dapat dioperasikan (yaitu, bekerja di perangkat yang berbeda). 
• Kualitas Layanan yang rendah (QoS) merupakan kendala untuk adopsi. Partisipan menilai kehandalan dan keamanan alat komunikasi dengan QoS panggilan suara dan pesan yang mereka alami. QoS yang rendah tidak hanya menghalangi adopsi, tetapi juga menimbulkan keraguan umum tentang seberapa andal dan amannya alat tersebut. 
• Sensitivitas informasi tidak mendorong adopsi. Kepekaan informasi yang dirasakan harus mendorong adopsi alat komunikasi yang aman, tetapi ini tidak terjadi pada peserta kami. Sebagai gantinya, mereka menggunakan panggilan suara (terlepas dari alatnya) dan teknik kebingungan lainnya untuk bertukar informasi sensitif. 
• Komunikasi yang aman dianggap sia-sia. Sebagian besar peserta tidak percaya bahwa alat yang aman dapat menawarkan perlindungan terhadap musuh yang kuat atau berpengetahuan luas. Sebagian besar peserta memiliki model mental yang salah tentang cara kerja enkripsi, apalagi konsep yang lebih maju (misalnya, tanda tangan digital, sidik jari verifikasi). Jika persepsi bahwa komunikasi yang aman adalah sia-sia tetap ada, ini akan terus menghambat adopsi. 
• Peringkat keamanan alat peserta tidak akurat. Kami meminta peserta kami untuk memberi peringkat pada alat yang telah mereka gunakan dalam hal seberapa aman alat tersebut. Banyak peserta memberi peringkat layanan (misalnya, panggilan suara, pesan) yang ditawarkan oleh alat, daripada memberi peringkat alat terlebih dahulu. Mereka menganggap panggilan lebih aman daripada pesan. Selain itu, mereka mendasarkan peringkat mereka pada seberapa besar basis pengguna alat, QoS, faktor sosial, dan kriteria lainnya, daripada menilai properti keamanan yang ditawarkan alat aman. 
• Peserta tidak memahami Kartu Skor Pesan Aman EFF. Kartu skor berisi tujuh properti keamanan. Empat di antaranya disalahpahami: peserta tidak menghargai perbedaan antara enkripsi point-to-point dan E2E, dan tidak memahami kerahasiaan ke depan atau sidik jari verifikasi. 
Tiga properti lainnya yang mencerminkan desain terbuka (dokumentasi, kode sumber terbuka, dan audit keamanan) dianggap sebagai properti keamanan negatif, dengan peserta percaya bahwa keamanan memerlukan ketidakjelasan. 

Secure Communications: Latensi QoS versus Keamanan, Properti Keamanan menghadapi Permintaan Pemerintah, Pembentukan Trust yang didorong oleh UI, Manajemen PKI dan Sertifikat, Dokumentasi Jaminan Keamanan, Evaluasi Kartu Skor EFF dengan Komunitas target. Studi Pengguna Alat Secure Communication (survei & kesimpulan): Desain UI, Evaluasi non Pakar, Konteks Sosial, Model Mental, Pengaruh Sosial, dll 
Mengapa, kapan dan bagaimana pengguna menggunakan komunikasi yang aman Ancaman apa yang ingin dilindungi pengguna saat berkomunikasi Alat komunikasi mana yang menurut pengguna aman (atau tidak aman) dan mengapa Bagaimana menurut pengguna komunikasi yang aman dapat dicapai, dan bagaimana komunikasi tersebut dapat dilanggar. 

Menyertakan 60 partisipan dan menggunakan 10 wawancara tidak terstruktur dan 50 wawancara semi terstruktur. Strategi: Untuk mengembangkan kedalaman dalam penelitian eksplorasi kami, dilakukan dengan beberapa ronde dan periodik analisis dan kesimpulan sementara Data Rekaman: dalam melakukan wawancara mereka menggunakan layanan transkripsi eksternal dan juga direkam menggunakan rekaman audio Analisis: mereka membuat kode transkrip dan dianalisis oleh tiga peneliti menggunakan Analisis Grounded Theory (metode induktif/terbuka untuk menemukan penjelasan, didasarkan pada data empiris, tentang cara kerja sesuatu) 

Adopsi alat komunikasi: mengapa menggunakannya, pengecekan konfigurasi standar, konteks penggunaan, penggunaan reguler, dan berhenti menggunakan - Bagaimana pengguna mendefinisikan komunikasi yang aman: apa yang ingin mereka lindungi, siapa mitra komunikasi, siapa yang mungkin menjadi penyerang dan apa risiko atau kemampuan mereka Terdapat Model mental yaitu cara kerja komunikasi yang aman menurut mereka- Peringkat keamanan alat komunikasi: berikan nama dan logo & peringkat peringkat keamanan. 

Mengadopsi secure communications tool bukanlah masalah dalam mengaplikasikannya walaupun peserta banyak terhambat dalam usability. Motivasi yang rendah untuk mengadopsi komunikasi yang aman disebabkan oleh beberapa faktor (misalnya, basis pengguna yang kecil, kurangnya interoperabilitas, model mental yang salah tentang cara kerja komunikasi yang aman). Tools harus membuktikan utilitas yang terbukti aman, memahami populasi sasaran, tingkatkan QoS (Quality of Services) 

Rata-rata koefisien Cohen's Kappa (κ) untuk semua tema dalam paper ini adalah 0,83. Nilai di atas 0,75 dianggap sebagai kesepakatan yang sangat baik (excellent). Hasil: dijelaskan secara singkat dan diklasifikasikan dalam setiap topik seperti: Kriteria Adopsi Alat Komunikasi, Informasi Sensitif: Persepsi dan Praktis, Properti Keamanan, Model Ancaman, Model Mental Komunikasi (yang aman) Jelas menyatakan ID partisipan dengan menggunakan P(Number) Diskusi: berdasarkan umpan balik penulis, EFF mendesain ulang kartu skor untuk mengelompokkan alat ke dalam tingkatan umum dari "paling aman" menjadi "tidak aman". Alih-alih tanda centang untuk properti tertentu. Kartu skor juga akan berusaha memberikan lebih banyak informasi non-keamanan yang diinginkan pengguna: misal user basis, koneksi dst 

Tidak terdapat grafik yang menggambarkan distribusi hasil, seperti confidence level atau demografi b. Theory or argument Latar belakang responden tidak disebutkan, demografi dan kecakapan dalam menguasi tools juga tidak terdapat dalam paper ini c. Methods Setiap pertanyaan ditampilkan dalam paper ini, hal ini menyulitkan pembaca untuk memahami arah dari paper ini mau kemana

Tulisan ini dipublikasikan dalam rangka menyelesaikan quiz Mata Kuliah Sekuritas dan Privasi Untuk Pengguna Teknologi Informasi Prodi Cybersecurity and Forensic Telkom University dengan dosen pengampu Yudhistira Nugraha

Mahasiswa : Irwan Hariyanto, 2302210002

Komentar

Posting Komentar

Postingan populer dari blog ini

Rethinking Access Control and Authentication for the Home Internet of Things (IoT)

Komputasi sedang bertransisi dari perangkat pengguna tunggal ke Internet of Things (IoT), di mana banyak pengguna dengan hubungan sosial yang kompleks berinteraksi dengan satu perangkat. Teknik yang digunakan saat ini gagal memberikan spesifikasi kontrol akses yang dapat digunakan atau otentikasi di pengaturan seperti itu. Dalam makalah ini, kami mulai merancang ulang kontrol akses dan otentikasi untuk IoT rumahan. Kami mengusulkan bahwa kontrol akses fokus pada kemampuan IoT (yaitu, tindakan tertentu yang dapat dilakukan perangkat), bukan pada granularitas per perangkat.  Di pengguna online 425 peserta penelitian, kami menemukan perbedaan mencolok dalam keinginan peserta kebijakan kontrol akses untuk kemampuan yang berbeda dalam perangkat tunggal, serta berdasarkan siapa yang mencoba menggunakan kemampuan itu. Dari kebijakan yang diinginkan ini, kami mengidentifikasi kemungkinan k...
Posting Komentar
Baca selengkapnya

Mengevaluasi Persepsi Pengguna tentang Privasi Sistem: Membedakan Aspek Sosial dan Kelembagaan

Abstrak Desain  sistem  memiliki  efek  penting  pada  privasi  pengguna,  tetapi proses   privacy-by-design   dalam  organisasi  jarang  melibatkan  pengguna akhir.  Untuk  menjembatani  kesenjangan  ini,  kami  menyelidiki  bagaimana konsep  User  Centered  Design   (UCD)  dapat  digunakan  untuk  menguji bagaimana  pengguna  memandang  privasi  mereka  dalam  desain  sistem. Kami  menjelaskan  serangkaian  tiga  eksperimen  online,  dengan  1.313  peserta secara  keseluruhan,  di  mana  kami  berusaha  mengembangkan  dan memvalidasi  keandalan  skala  untuk  Users’ Perceived Systems’ Privacy (UPSP).  Kami  menemukan  bahwa  persepsi  privasi  pengguna...
Posting Komentar
Baca selengkapnya