----- Forwarded message from SAFE <safe@rublacklist.net> -----

From: SAFE <safe@rublacklist.net>
Date: Tue, 7 Feb 2017 01:30:50 +0300
Subject: Re: SAFE.rublacklist.net
To: stargrave@stargrave.org

Здравствуйте,

Извините, пожалуйста, за задержку с ответом на это письмо.

Спасибо за подробные комментарии.

Проект SAFE изначально планировался как ресурс для целевой аудитории -
гражданских активистов. Мы давно и много работаем с этой группой,
поэтому наши рекомендации учитывают ее особенности. Материалы проекта
связаны с другими образовательными инициативами. Разумеется, мы
надеемся, что эти тексты будут полезны широкой публике. Да, нужно
сказать о целевой аудитории прямым текстом на сайте. Это наша
недоработка, и мы обязательно ее исправим в ближайшем будущем.

В этом контексте я постараюсь дать комментарий к вашим замечаниям.

> удручает пункт "Избегайте
> паролей-фраз". Как же так? Все действительно серьёзные программы именно
> и только парольные фразы и заставляют вводить парольные фразы, но никак
> не пароли.

Вы совершенно правы. Увы, моя практика показывает, что в нашей целевой
аудитории люди воспринимают слово "фраза" как "больше одного слова",
то есть, два. (Смайлик). Примерно так, как рекомендация на множестве
сайтов "пароль должен быть не менее 8 символов" прочитывается людьми
как "пароль должен состоять из 8 символов". Мы пробовали давать такие
тестовые задания людям в фокус-группах и убеждались, что наши
предположения верны. Возникают пароли, представляющие собой названия,
например, популярных музыкальных коллективов или художественных
произведений, причем пользователи стремятся выбрать эти "фразы"
покороче "для легкости" (то, о чем вы и говорите, если я правильно вас
понял - до "сотни и более" не доходит никогда). Фактически, "парольная
фраза" в таком исполнении мало чем отличается от одного слова-пароля и
бывает даже короче одного слова. И да, такой пароль может оказаться в
словаре злодея, если словарь состоит из слов (а не символов) - то
есть, речь идет не о "классическом" brute force, перебирании всех
возможных символов, а о перебирании слов. Плюс социальная инженерия, и
вот уже это не такая хорошая парольная фраза, как казалось. Возможно,
социальная инженерия здесь даже более сильный аргумент - надо
подумать, не стОит ли нам переиначить аргументацию.

Таким образом, я вполне согласен с вами, но специфика подачи материала
для аудитории требует от нас определенных упрощений. И да, возможно,
мы чересчур упростили. Будем улучшать, спасибо.

> К сожалению на всём этом ресурсе нет ни слова про свободное программное
> обеспечение.

Это объясняется просто: еще не написали. Судя по тому, что это уже не
первое замечание по поводу свободного ПО, нужно переместить тему
повыше в нашем списке приоритетов.

> Также в "критериях" есть пункт о "бесплатности" -- на мой взгляд,
> платная она или нет никоим образом не влияет на качество выполнения
> задач. Безусловно это приятный "бонус", но в принципе не учитывать
> платные программы и считать что плата за них является недостойным
> критерием -- как-то странно. Речь же о безопасности, о приватности, а не
> о том как бы это подешевле сделать?

В нашем контексте задача формулируется так: выбрать оптимальный
вариант из множества программ. Иногда вопрос ставят ребром: "Почему вы
советуете именно эту программу?" (Вполне нормальный вопрос,
согласитесь). Наш список - фактически ответ на этот вопрос. Целевая
аудитория - люди, которые, скажем мягко, не очень искушены в вопросах
цифровой безопасности (и даже грамотности), поэтому не склонны
инвестировать скудные личные средства в опробование новых средств
защиты. И даже если вопрос, который я привел выше, не задается,
кто-нибудь непременно интересуется, платная ли та программа, о которой
речь, или нет. Для людей бесплатность оказывается важным фактором,
хоть она и не связана с функциональностью.

Еще один аргумент заключается в том, что, к сожалению, по-прежнему
немало людей пользуется контрафактным ПО. Мы рассматриваем это как
фактор риска. Отказ от контрафактного ПО и замена его
легальным/бесплатным/открытым софтом - тема отдельная, но можно
сказать, что одна из причин такой приверженности людей к "пираткам" -
незнание ими альтернатив. Мы стараемся (в меру своих сил) обратить
внимание людей, что для привычных им платных программ существуют
бесплатные аналоги.

> А то, в итоге, получается что в "глоссарии" GnuPG это просто навсего
> "Популярная бесплатная программа для шифрования информации,
> альтернативная PGP". Ни слова о том что это свободное ПО. Тем ли она
> ценна что бесплатна, неужели это настолько основное её отличие?

Конечно, нет, не основное. Но, как я постарался объяснить выше,
достойное упоминания. Про свободный софт еще напишем, и тогда сможем
ссылаться на этот материал из других текстов. (Мы исходим из того, что
читатель из нашей аудитории вполне понимает, что такое "бесплатная
программа", но необязательно понимает, что такое "свободная
программа"). Проект SAFE имеет ту особенность, что мы не публикуем
"ленту новостей" из постепенно уходящих в архив материалов, а
дорабатываем опубликованное. Доработаем и это.

> Ещё придерусь: PGP и GnuPG это программы реализующие стандарт OpenPGP --
> это важно понимать и иметь в виду что, грубо говоря, они совместимы по
> формату между собой и их можно совместно использовать.

Про совместимость - акцентируем. Тут особенность в том, что для
конечного пользователя даже название "GnuPG" часто не звучит. Он видит
реализации, оболочки. Поэтому, вероятно, есть смысл говорить с
пользователем на его языке, т.е. приводить примеры (названия)
конкретных программ, которые описаны на сайте, с которыми он может
столкнуться в репозиториях ПО, которые окажутся установлены у его
друзей и коллег. Mailvelope, gpg4usb, PGP, Thunderbird+Enigmail и т.д.
Акцентировать на этом внимание - правильно. Сделаем.

> И ещё придерусь:
> и PGP и GnuPG не только умеют шифровать -- как мне кажется, чаще всего
> их используют для создания/проверки ЭЦП. Гораздо гораздо чаще и важнее
> людям иметь аутентификацию, а не конфиденциальность данных.

Запросы нашей целевой аудитории, наоборот, склоняются к
конфиденциальности - поэтому мы и начали с нее. Раньше я "давал"
шифрование и ЭЦП в одном материале: рассказывал сначала об одном,
потом сразу переходил к другому. Оказалось, это чрезмерная нагрузка
для аудитории (читателей). Люди, только что узнавшие понятие "открытый
ключ" и преодолевшие предубеждение перед словом "шифрование" (слово
"криптография" и его производные я стараюсь меньше использовать по
этой же причине), начинают путаться и делать ошибки. Поэтому я стал
"отделять" одно от другого, насколько позволяли обстоятельства. Это не
причина умалчивать значение GnuPG и др. для аутентификации, когда речь
идет о словаре/глоссарии, но в более обширных материалах я бы
продолжил "разносить" эти два важных действия по соседним, но все-таки
разным текстам.

Проблема тут еще и чисто техническая. Самый наглядный инструмент,
который мне приходилось использовать для демонстраций - gpg4usb -
имеет недоработку именно в части цифровой подписи. К сожалению, наши
попытки убедить разработчиков устранить эту проблему не привели к
результату. И это лишь частный пример. На сегодняшний день мы не имеем
инструмента для шифрования и ЭЦП, который бы полностью соответствовал
нашим задачам. Для продвинутых пользователей и специалистов вроде вас
это, скорее всего, не так, но мы спотыкаемся и о такие вещи, как,
например, отсутствие нормальной локализации Mailvelope. Будем
надеяться, что читатели и критики подскажут, на какое ПО нам следовало
бы обратить внимание.

Чуть позже пришло замечание насчет смены паролей. Это пункт не столько
технический (даже вообще не технический), сколько психологический.
Люди, с которыми мы работаем, часто не меняют пароли годами. (Личный
"рекорд" из моей практики - 10 лет). За это время пароли оказываются
многократно скомпрометированы, о чем их владельцы, бывает, даже не
подозревают. Поэтому смена пароля важна на стадии внедрения парольной
политики. Кроме того, хотя это может прозвучать странно, смена паролей
помогает людям практиковаться и вспоминать те разделы настроек, куда
они почти не заглядывают. Например, в случае, если пароль все-таки
скомпрометирован и этот факт обнаружен, человек идет набитой тропой и
быстро меняет пароль. Люди, которые делали это давно, чаще испытывают
растерянность, неуверенность в себе, теряют время и т.д.

Еще раз большое спасибо за комментарии. Похвалы приятны, но полезную
критику мы любим еще больше.

-----------------
С уважением,

Сергей Смирнов
проект SAFE

----- End forwarded message -----

-- 
Sergey Matveev (http://www.stargrave.org/)
OpenPGP: CF60 E89A 5923 1E76 E263  6422 AE1A 8109 E498 57EF