Minderheden en dissidente gemeenschappen staan ​​voor een verbijsterende uitdaging in landen met autoritaire regeringen. Ze moeten anoniem blijven om vervolging te voorkomen, maar moeten ook een betrouwbare identiteit vaststellen in hun communicatie. Een interdisciplinaire groep onderzoekers van UC Santa Barbara heeft een applicatie ontworpen om aan beide vereisten te voldoen.

Informatica- en communicatieonderzoekers verbonden aan het Centre for Information Technology &Society van de universiteit reisden naar drie landen om de uitdagingen te beoordelen waarmee minderheidsgroepen worden geconfronteerd bij het handhaven van een veilige, betrouwbare aanwezigheid op sociale media. Op basis van de feedback van de gemeenschappen, het team ontwierp een app voor het Android-besturingssysteem die de anonimiteit van groepsleden zou beschermen en de betrouwbaarheid van berichten van de groep zou verifiëren. Een paper waarin de technologie wordt beschreven, verscheen in de Journal of Internet Services and Applications .

Het team, onder leiding van professor computerwetenschappen Elizabeth Belding, reisde naar Mongolië, Zambia en Turkije, waar collega's van lokale instellingen hen in contact brachten met leden van gemarginaliseerde gemeenschappen. Destijds, deze landen boden een relatief veilig alternatief voor andere landen met beperkte spraak, zoals Rusland, China en Egypte. Ongeveer twee weken nadat de groep Turkije had bezocht, echter, een poging tot staatsgreep bracht de regering ertoe de politieke dissidentie de kop in te drukken.

Interviews en enquêtes met het grote publiek en met leden van gemarginaliseerde groepen in deze landen bevestigden dat het handhaven van anonimiteit cruciaal is voor bescherming. Maar het heeft nadelen, zoals het team al snel leerde. "Het probleem met anonieme communicatie is dat je niet weet of het geloofwaardig is, " zei Miriam Metzger, een professor in de afdeling communicatie, en een van de co-auteurs van het papier. "Als je net een bericht krijgt en je weet niet van wie het komt, je gaat waarschijnlijk niet doen wat dat bericht je zegt te doen. Zeker als het risicovol is."

Dit is waar SecurePost om de hoek komt kijken. Met de app kunnen gemeenschappen veilige groepen maken op Twitter en Facebook waarmee ze een consistente, zichtbare aanwezigheid op sociale media. Dit stelt hen in staat om in de loop van de tijd vertrouwen op te bouwen bij hun lezerspubliek, legde Michael Nekrasov uit, een doctoraatsstudent in de informatica en hoofdauteur van het artikel.

Wat revolutionair is, is dat SecurePost een groep in staat stelt te werken zonder een rooster van zijn individuele leden. Aanvullend, de app controleert de berichten van de groep, het markeren van alle inhoud die niet over de juiste inloggegevens beschikt. Op deze manier, elk lid wordt beschermd door zijn anonimiteit, zelfs als de groep is geïnfiltreerd of gehackt, terwijl communicatie van de groep zelf als betrouwbaar wordt geverifieerd.

Van nature, deze gemeenschappen willen een gemakkelijke, maar toch veilige manier om lidmaatschapsuitnodigingen uit te breiden. Het onderzoeksteam ontdekte dat veel groepen hiervoor wachtwoorden gebruikten, het delen van een wachtwoord brengt echter altijd het account in gevaar. "Wat we vonden was, mensen zouden niet zomaar iemand het wachtwoord vertellen, "zei Nekrasov. "Wat ze zouden doen is het opschrijven of in een bericht sturen, en dat is ongelooflijk onveilig."

In plaats daarvan ontwikkelde het team een ​​veel veiligere methode om een ​​nieuw lid voor de groep uit te nodigen. Het proces omvat het visueel of via een vertrouwde verbinding uitwisselen van beveiligde QR-codes, een techniek die gebruik maakt van een paar zichtbare, openbare sleutels en een tweede paar verborgen, privésleutels om versleutelde informatie te verzenden en te ontvangen. Dit zorgt voor de veiligheid van de uitnodiging, zelfs als een derde partij getuige was van de uitwisseling, zei Nekrasov, omdat de privésleutel is verborgen op het apparaat van de persoon die lid wordt van de groep.

Zodra het nieuwe lid lid wordt van de groep, ze ontvangen een nieuw sleutelpaar. Met de privésleutel kunnen ze namens de groep berichten ondertekenen. De publieke sleutel, die iedereen kan zien en gebruiken, stelt elke gebruiker van sociale media in staat om berichten te verifiëren, ook degenen die niet in de groep zitten. Dit zorgt ervoor dat als een bericht wordt vervalst of gewijzigd door een sociaal netwerk of de overheid, elke gebruiker kan het als een vervalsing identificeren.

Inhoud die is geüpload vanaf een account via SecurePost, lijkt alsof het een enkele auteur heeft zonder manier om individuele posters of het lidmaatschapsrooster van een groep te identificeren. Het bereikt dit door de groep te hosten op een proxyserver van derden, die het IP-adres van het individu maskeert van het sociale netwerk. "Dit betekent dat je een externe partij niet hoeft te vertrouwen, "zei Nekrasov. "Een groep kan zijn eigen server draaien en alles controleren wat er gaande is."

Bovendien, SecurePost bevestigt een cryptografische handtekening aan de post, gegenereerd op basis van de privésleutel van het groepslid. De applicatie verifieert vervolgens automatisch de authenticiteit van deze handtekening voor iedereen die het programma uitvoert, ongeacht hun lidmaatschapsstatus in een bepaalde groep. Omdat de proxyserver nooit de persoonlijke sleutel van de gebruiker ontvangt, de verificatiefunctie kan inhoud markeren, zoals berichten die zijn gemaakt door een bedrieger of iemand die de proxy heeft gehackt.

Het team heeft SecurePost ontworpen met de realiteit van zijn gebruikers in gedachten. Zij produceerden de applicatie voor het Android-besturingssysteem, die destijds 86 procent van het wereldwijde marktaandeel vertegenwoordigde. Ze hebben het ook compatibel gemaakt met oudere apparaten, zodat vanaf oktober 2017, 99,9 procent van de bij Google geregistreerde Android-apparaten zou de applicatie kunnen uitvoeren. Dit is belangrijk omdat veel personen in de beoogde gebruikersgroepen telefoons gebruiken met oudere besturingssystemen, die goedkoper zijn in aanschaf.

SecurePost kan ook werken zonder een continue internetverbinding, een noodzaak in veel regio's waar het gebruik zal vinden. In plaats van onmiddellijk inhoud te uploaden, de app slaat het op het apparaat op en plaatst het wanneer de internetverbinding wordt hervat. Om de kwetsbaarheid te omzeilen die ontstaat als autoriteiten het apparaat in beslag nemen, SecurePost versleutelt ook alle gegevens met een applicatiebreed wachtwoord. Als de gebruiker onder druk staat, hij of zij kan een vals wachtwoord opgeven waarmee de gegevens van de app worden gewist, inclusief de groepstoetsen.

Het team hoopt dat de software uiteindelijk doorontwikkeld wordt tot een volwaardig product met een groter bereik. "Aan het einde van de dag, we zijn geen bedrijf, wij zijn onderzoekers, " zei Metzger. "We kunnen apps ontwikkelen, en we kunnen ze in de app store plaatsen, maar we hebben geen budget om ze op de markt te brengen."

"Maar we kunnen nieuwe systemen creëren waar een bedrijf een bedrijf omheen kan bouwen en op de markt kan brengen, " voegde ze eraan toe. "En dat is de manier waarop deze technologieën een grote impact kunnen hebben."