440 likes | 584 Vues
Secure messaging using a mobile phone. Lars Mikkel Aas lars.aas@eunet.no. Security vs Usability. Given a choice between dancing pigs and security users will pick dancing pigs every time ─ McGraw & Felten. Agenda. Kort om oppgaven Vårt behov for sikker SMS Metodevalg Eksperimentet
E N D
Secure messaging using a mobile phone Lars Mikkel Aas lars.aas@eunet.no
Security vs Usability Given a choice between dancing pigs and security users will pick dancing pigs every time ─ McGraw & Felten
Agenda • Kort om oppgaven • Vårt behov for sikker SMS • Metodevalg • Eksperimentet • Eksempler på brukergrensesnitt • Foreløpige konklusjoner
Kort om oppgaven • Utforsker motsetningene mellom brukervennlighet og sikkerhet • Konkret om brukervennlighet og sikkerhet ifbm sikre (krypterte) SMS • Inspirert av en artikkel om PGP • Why Johnny can’t encrypt
Metodikk • Laget en prototyp for sikre (krypterte) SMS meldinger • Prototypen logger all aktivitet, unntatt meldingsinnhold • Prototypen ble brukt i operativ tjeneste i ca. 1 måned • Analyse av loggene • Avsluttende spørreundersøkelse
Prototypen • Java2 Micro Edition (J2ME) • CLDC1.0, MIDP2.0 • Viktige funksjoner: • Kryptere og sende SMS • Motta og dekryptere SMS • PIN kode – kan byttes • Egen innboks • Kan sende vanlig SMS også, ikke motta
Behovet for sikre SMS • Alle deltagerne oppga et behov for å sikre SMS’er minst èn gang pr uke • 54% oppga flere ganger pr uke • Hver 4. ”sensetive” SMS blir allikevel sent
Mobiltelefoner • Nokia 6600 • Nokia 6230i • Nokia N70 • Nokia N73 • SonyEricsson K750i • SonyEricsson K800i • SonyEricsson W800i • Siemens S65
Eksperimentet (1/3) • 21 personer deltok • 7 kvinner, 14 menn • 29 – 56 år • Prototypen installert Over-the-air • WAP-Push • Litt opplæring i form av en manual • Brukt ca. en måneds tid
Eksperimentet (2/3) • 132 krypterte meldinger sendt • 116 krypterte meldinger mottatt • Men, hva med de andre 16? • Sendt til andre mobiler for å teste krypto • Sendt til mobiler jeg ikke har logger fra • SMS time-to-live utløpt • Bug i prototypen
Resultater (1/2) • Def: Security software is usable if the people who are expected to use it: • are reliably made aware of the security tasks they need to perform; • are able to figure out how to successfully perform those tasks; • don't make dangerous errors; and • are sufficiently comfortable with the interface to continue using it.
Resultater (2/2) • Ut i fra loggene og spørreskjemaene definere et sett med indikatorer • Deretter se hvordan indikatorene passer de 4 prinsippene
Indikator #1 – Lærekurve (1/2) • Hvor lang tid brukte deltagerne på å sende sikre (krypterte) SMS?
Indikator #1 – Lærekurve (2/2) • Gjennomsnittlig 8,4sek forbedring (34%)
To sorte får? • P05 og P16 med negativ lærings-kurver • Kan se ut som om P16 er blitt forstyrret
PIN kode (1/2) • Prototypen beskyttet med egen PIN • Default PIN var ”9999” • Mulig å bytte, minimum 4 tall • Ikke påkrevd å bytte • Hvor mange byttet?
PIN kode (2/2) • Kun 1 deltager byttet PIN • 1 annen deltager var innom menyvalget for PIN-bytte, men back’et ut
Brukervennlighet og J2ME • Betydelig utfordring, pga manglende kontroll på menyer og layout • Strider mot viktige prinsipper for god brukervennlighet • Ulikt på forskjellige telefoner
Inntasting av PIN kode • Nokia 6230i • Nokia 6600 • SonyEricsson W800i
Nokia 6230i • Må velge ”Edit” for å kunne skrive inn PIN
Nokia 6230i • Her kan man taste inn PIN kode • ”OK” fører en tilbake til forrige skjerm
Nokia 6230i • For å komme videre må man velge ”Options”
Nokia 6230i • Og nå kan man endelig velge ”OK”
Nokia 6230i • PIN kode akseptert
Nokia 6600 • På denne telefonen kan man taste inn tallene direkte i tekstboksen • Må velge ”Options” for å få tilgang til ”OK”
Nokia 6600 • Og nå kan man velge ”OK”
SonyEricsson W800i • Må velge ”Edit” for å kunne skrive inn PIN
SonyEricsson W800i • Her kan man taste inn PIN kode • ”OK” fører en tilbake til forrige skjerm
SonyEricsson W800i • Her må man velge ”More” for å få tilgang til ”OK” • På Nokia brukte de ”Options” for dette
SonyEricsson W800i • Og nå kan man endelig velge ”OK”
PIN - Oppsummering • Samme program – forskjellig UI • Forskjellig navngiving
Send kryptert eller ukryptert • Når man sender en melding med prototypen, får man to valg: • Secure • Unsecure • Ingen andre valg er tilgjengelig på dette skjermbildet
SonyEricsson W800i • En enkel tekst forklarer valgene • Siden man kun har to softmeny-knapper er dette en logisk løsning
Nokia 6600 • Valgene er litt mer skjult nå
Nokia 6600 • De to valgene dukker opp i ”Options”-menyen
Nokia 6230i • Den forklarende teksten kuttes • At ”Secure” havner der den gjør, er i beste fall flaks • Hvorfor er høyre softmeny tom?
Nokia 6230i • ”Unsecure” ligger i ”Options”-menyen i et annet skjermbilde
Foreløpige konklusjoner (1/2) • Sikker programvare på mobiltelefoner er relativt enkelt – gode muligheter • Brukervennlige applikasjoner derimot er mye vanskeligere • PIN koder byttes ikke frivillig
Foreløpige konklusjoner (2/2) • Deltagerne klarte seg bra og ble raskt fortrolige med prototypen • De ble raskere etterhvert • De gjorde få feil • De vil ha mer – grupper, bilder, osv... • Ved å gå for ”sikkert nok” kan man vinne mye på brukervennlighet
Opponent • Halvar Myrmo
Takk til... • Deltagerne • Veileder, Einar Snekkenes • Biblioteket • Medstudenter • Opponent, Halvar Myrmo • Ansatte ved NISlab og HiG