Secure messaging using a mobile phone Lars Mikkel Aas lars.aas@eunet.no

Security vs Usability Given a choice between dancing pigs and security users will pick dancing pigs every time ─ McGraw & Felten Gary McGraw og Edward Felten

Agenda Kort om oppgaven Vårt behov for sikker SMS Metodevalg Eksperimentet Eksempler på brukergrensesnitt Foreløpige konklusjoner

Kort om oppgaven Utforsker motsetningene mellom brukervennlighet og sikkerhet Konkret om brukervennlighet og sikkerhet ifbm sikre (krypterte) SMS Inspirert av en artikkel om PGP Why Johnny can’t encrypt

Metodikk Laget en prototyp for sikre (krypterte) SMS meldinger Prototypen logger all aktivitet, unntatt meldingsinnhold Prototypen ble brukt i operativ tjeneste i ca. 1 måned Analyse av loggene Avsluttende spørreundersøkelse

Prototypen Java2 Micro Edition (J2ME) Viktige funksjoner: CLDC1.0, MIDP2.0 Viktige funksjoner: Kryptere og sende SMS Motta og dekryptere SMS PIN kode – kan byttes Egen innboks Kan sende vanlig SMS også, ikke motta

Behovet for sikre SMS Alle deltagerne oppga et behov for å sikre SMS’er minst èn gang pr uke 54% oppga flere ganger pr uke Hver 4. ”sensetive” SMS blir allikevel sent

Mobiltelefoner Nokia 6600 Nokia 6230i Nokia N70 Nokia N73 SonyEricsson K750i SonyEricsson K800i SonyEricsson W800i Siemens S65 Legg inn bildet av modellene

Eksperimentet (1/3) 21 personer deltok 7 kvinner, 14 menn 29 – 56 år Prototypen installert Over-the-air WAP-Push Litt opplæring i form av en manual Brukt ca. en måneds tid

Eksperimentet (2/3) 132 krypterte meldinger sendt 116 krypterte meldinger mottatt Men, hva med de andre 16? Sendt til andre mobiler for å teste krypto Sendt til mobiler jeg ikke har logger fra SMS time-to-live utløpt Bug i prototypen

Eksperimentet (3/3)

Resultater (1/2) Def: Security software is usable if the people who are expected to use it: are reliably made aware of the security tasks they need to perform; are able to figure out how to successfully perform those tasks; don't make dangerous errors; and are sufficiently comfortable with the interface to continue using it.

Resultater (2/2) Ut i fra loggene og spørreskjemaene definere et sett med indikatorer Deretter se hvordan indikatorene passer de 4 prinsippene

Indikator #1 – Lærekurve (1/2) Hvor lang tid brukte deltagerne på å sende sikre (krypterte) SMS?

Indikator #1 – Lærekurve (2/2) Gjennomsnittlig 8,4sek forbedring (34%)

To sorte får? P05 og P16 med negativ lærings-kurver Kan se ut som om P16 er blitt forstyrret

PIN kode (1/2) Prototypen beskyttet med egen PIN Default PIN var ”9999” Mulig å bytte, minimum 4 tall Ikke påkrevd å bytte Hvor mange byttet?

PIN kode (2/2) Kun 1 deltager byttet PIN 1 annen deltager var innom menyvalget for PIN-bytte, men back’et ut

Brukervennlighet og J2ME Betydelig utfordring, pga manglende kontroll på menyer og layout Strider mot viktige prinsipper for god brukervennlighet Ulikt på forskjellige telefoner

Inntasting av PIN kode Nokia 6230i Nokia 6600 SonyEricsson W800i

Nokia 6230i Må velge ”Edit” for å kunne skrive inn PIN

Nokia 6230i Her kan man taste inn PIN kode ”OK” fører en tilbake til forrige skjerm

Nokia 6230i For å komme videre må man velge ”Options”

Nokia 6230i Og nå kan man endelig velge ”OK”

Nokia 6230i PIN kode akseptert

Nokia 6600 På denne telefonen kan man taste inn tallene direkte i tekstboksen Må velge ”Options” for å få tilgang til ”OK”

Nokia 6600 Og nå kan man velge ”OK”

SonyEricsson W800i Må velge ”Edit” for å kunne skrive inn PIN

SonyEricsson W800i Her kan man taste inn PIN kode ”OK” fører en tilbake til forrige skjerm

SonyEricsson W800i Her må man velge ”More” for å få tilgang til ”OK” På Nokia brukte de ”Options” for dette

SonyEricsson W800i Og nå kan man endelig velge ”OK”

PIN - Oppsummering Samme program – forskjellig UI Forskjellig navngiving Taste trykk Skjermbilder 6230i 4 3 6600 2 1 W800i

Send kryptert eller ukryptert Når man sender en melding med prototypen, får man to valg: Secure Unsecure Ingen andre valg er tilgjengelig på dette skjermbildet

SonyEricsson W800i En enkel tekst forklarer valgene Siden man kun har to softmeny-knapper er dette en logisk løsning

Nokia 6600 Valgene er litt mer skjult nå

Nokia 6600 De to valgene dukker opp i ”Options”-menyen

Nokia 6230i Den forklarende teksten kuttes At ”Secure” havner der den gjør, er i beste fall flaks Hvorfor er høyre softmeny tom?

Nokia 6230i ”Unsecure” ligger i ”Options”-menyen i et annet skjermbilde

Foreløpige konklusjoner (1/2) Sikker programvare på mobiltelefoner er relativt enkelt – gode muligheter Brukervennlige applikasjoner derimot er mye vanskeligere PIN koder byttes ikke frivillig

Foreløpige konklusjoner (2/2) Deltagerne klarte seg bra og ble raskt fortrolige med prototypen De ble raskere etterhvert De gjorde få feil De vil ha mer – grupper, bilder, osv... Ved å gå for ”sikkert nok” kan man vinne mye på brukervennlighet

Spørsmål?

Opponent Halvar Myrmo

Takk til... Deltagerne Veileder, Einar Snekkenes Biblioteket Medstudenter Opponent, Halvar Myrmo Ansatte ved NISlab og HiG

Takk for meg...