Secure messaging using a mobile phone Lars Mikkel

Secure messaging using a mobile phone Lars Mikkel Aas lars. aas@eunet. no

Security vs Usability Given a choice between dancing pigs and security users will pick dancing pigs every time ─ Mc. Graw & Felten

Agenda o o o Kort om oppgaven Vårt behov for sikker SMS Metodevalg Eksperimentet Eksempler på brukergrensesnitt Foreløpige konklusjoner

Kort om oppgaven o o o Utforsker motsetningene mellom brukervennlighet og sikkerhet Konkret om brukervennlighet og sikkerhet ifbm sikre (krypterte) SMS Inspirert av en artikkel om PGP n Why Johnny can’t encrypt

Metodikk o o o Laget en prototyp for sikre (krypterte) SMS meldinger Prototypen logger all aktivitet, unntatt meldingsinnhold Prototypen ble brukt i operativ tjeneste i ca. 1 måned Analyse av loggene Avsluttende spørreundersøkelse

Prototypen o Java 2 Micro Edition (J 2 ME) n o CLDC 1. 0, MIDP 2. 0 Viktige funksjoner: n n n Kryptere og sende SMS Motta og dekryptere SMS PIN kode – kan byttes Egen innboks Kan sende vanlig SMS også, ikke motta

Behovet for sikre SMS o o o Alle deltagerne oppga et behov for å sikre SMS’er minst èn gang pr uke 54% oppga flere ganger pr uke Hver 4. ”sensetive” SMS blir allikevel sent

Mobiltelefoner o o o o Nokia 6600 Nokia 6230 i Nokia N 70 Nokia N 73 Sony. Ericsson K 750 i Sony. Ericsson K 800 i Sony. Ericsson W 800 i Siemens S 65

Eksperimentet o 21 personer deltok n n o o 7 kvinner, 14 menn 29 – 56 år Prototypen installert Over-the-air n o (1/3) WAP-Push Litt opplæring i form av en manual Brukt ca. en måneds tid

Eksperimentet o o o (2/3) 132 krypterte meldinger sendt 116 krypterte meldinger mottatt Men, hva med de andre 16? n n Sendt til andre mobiler for å teste krypto Sendt til mobiler jeg ikke har logger fra SMS time-to-live utløpt Bug i prototypen

Eksperimentet (3/3)

Resultater o (1/2) Def: Security software is usable if the people who are expected to use it: n n are reliably made aware of the security tasks they need to perform; are able to figure out how to successfully perform those tasks; don't make dangerous errors; and are sufficiently comfortable with the interface to continue using it.

Resultater o o (2/2) Ut i fra loggene og spørreskjemaene definere et sett med indikatorer Deretter se hvordan indikatorene passer de 4 prinsippene

Indikator #1 – Lærekurve o (1/2) Hvor lang tid brukte deltagerne på å sende sikre (krypterte) SMS?

Indikator #1 – Lærekurve o (2/2) Gjennomsnittlig 8, 4 sek forbedring (34%)

To sorte får? o o P 05 og P 16 med negativ læringskurver Kan se ut som om P 16 er blitt forstyrret

PIN kode o o o (1/2) Prototypen beskyttet med egen PIN Default PIN var ” 9999” Mulig å bytte, minimum 4 tall Ikke påkrevd å bytte Hvor mange byttet?

PIN kode o o (2/2) Kun 1 deltager byttet PIN 1 annen deltager var innom menyvalget for PIN-bytte, men back’et ut

Brukervennlighet og J 2 ME o o o Betydelig utfordring, pga manglende kontroll på menyer og layout Strider mot viktige prinsipper for god brukervennlighet Ulikt på forskjellige telefoner

Inntasting av PIN kode o o o Nokia 6230 i Nokia 6600 Sony. Ericsson W 800 i

Nokia 6230 i o Må velge ”Edit” for å kunne skrive inn PIN

Nokia 6230 i o o Her kan man taste inn PIN kode ”OK” fører en tilbake til forrige skjerm

Nokia 6230 i o For å komme videre må man velge ”Options”

Nokia 6230 i o Og nå kan man endelig velge ”OK”

Nokia 6230 i o PIN kode akseptert

Nokia 6600 o o På denne telefonen kan man taste inn tallene direkte i tekstboksen Må velge ”Options” for å få tilgang til ”OK”

Nokia 6600 o Og nå kan man velge ”OK”

Sony. Ericsson W 800 i o Må velge ”Edit” for å kunne skrive inn PIN

Sony. Ericsson W 800 i o o Her kan man taste inn PIN kode ”OK” fører en tilbake til forrige skjerm

Sony. Ericsson W 800 i o Her må man velge ”More” for å få tilgang til ”OK” n På Nokia brukte de ”Options” for dette

Sony. Ericsson W 800 i o Og nå kan man endelig velge ”OK”

PIN - Oppsummering o o Samme program – forskjellig UI Forskjellig navngiving Taste trykk Skjerm bilder 6230 i 4 3 6600 2 1 W 800 i 4 2

Send kryptert eller ukryptert o Når man sender en melding med prototypen, får man to valg: n n o Secure Unsecure Ingen andre valg er tilgjengelig på dette skjermbildet

Sony. Ericsson W 800 i o o En enkel tekst forklarer valgene Siden man kun har to softmenyknapper er dette en logisk løsning

Nokia 6600 o Valgene er litt mer skjult nå

Nokia 6600 o De to valgene dukker opp i ”Options”-menyen

Nokia 6230 i o o o Den forklarende teksten kuttes At ”Secure” havner den gjør, er i beste fall flaks Hvorfor er høyre softmeny tom?

Nokia 6230 i o ”Unsecure” ligger i ”Options”-menyen i et annet skjermbilde

Foreløpige konklusjoner o o o (1/2) Sikker programvare på mobiltelefoner er relativt enkelt – gode muligheter Brukervennlige applikasjoner derimot er mye vanskeligere PIN koder byttes ikke frivillig

Foreløpige konklusjoner o Deltagerne klarte seg bra og ble raskt fortrolige med prototypen n o (2/2) De ble raskere etterhvert De gjorde få feil De vil ha mer – grupper, bilder, osv. . . Ved å gå for ”sikkert nok” kan man vinne mye på brukervennlighet

Spørsmål?

Opponent o Halvar Myrmo

Takk til. . . o o o Deltagerne Veileder, Einar Snekkenes Biblioteket Medstudenter Opponent, Halvar Myrmo Ansatte ved NISlab og Hi. G

Takk for meg. . .