Le comunità minoritarie e dissidenti affrontano una sfida sconcertante nei paesi con governi autoritari. Devono rimanere anonimi per evitare persecuzioni, ma devono anche stabilire un'identità affidabile nelle loro comunicazioni. Un gruppo interdisciplinare di ricercatori dell'UC Santa Barbara ha progettato un'applicazione per soddisfare entrambi questi requisiti.

I ricercatori di informatica e comunicazione affiliati al Center for Information Technology &Society dell'università si sono recati in tre paesi per valutare le sfide che i gruppi di minoranza devono affrontare nel mantenere un ambiente sicuro, presenza affidabile sui social media. Sulla base del feedback delle comunità, il team ha progettato un'app per il sistema operativo Android che salvaguarda l'anonimato dei membri del gruppo e verifica l'affidabilità dei post provenienti dal gruppo. Un documento che descrive in dettaglio la tecnologia è apparso nel Journal of Internet Services and Applications .

Il gruppo, guidato dalla professoressa di informatica Elizabeth Belding, viaggiato in Mongolia, Zambia e Turchia, dove i colleghi delle istituzioni locali li mettevano in contatto con i membri delle comunità emarginate. Al tempo, questi paesi offrivano un'alternativa relativamente sicura ad altre nazioni con discorsi ristretti, come la Russia, Cina ed Egitto. Circa due settimane dopo che il gruppo ha visitato la Turchia, però, un tentativo di colpo di Stato ha spinto il governo a reprimere la dissidenza politica.

Interviste e sondaggi con il pubblico in generale e con i membri dei gruppi emarginati in questi paesi hanno confermato che il mantenimento dell'anonimato è fondamentale per la protezione. Ma ha degli svantaggi, come la squadra ha presto imparato. "Il problema con la comunicazione anonima è che non sai se è credibile, " ha detto Miriam Metzger, un professore nel dipartimento di comunicazione, e uno dei coautori del documento. "Se stai ricevendo un messaggio e non sai da chi proviene, probabilmente non farai ciò che quel messaggio ti dice di fare. Soprattutto se è rischioso".

È qui che entra in gioco SecurePost. L'app consente alle comunità di creare gruppi sicuri su Twitter e Facebook che consentono loro di mantenere un presenza visibile sui social. Ciò consente loro di costruire la fiducia con i loro lettori nel tempo, ha spiegato Michael Nekrasov, uno studente di dottorato in informatica e autore principale del documento.

La cosa rivoluzionaria è che SecurePost consente a un gruppo di operare senza alcun elenco dei suoi singoli membri. Inoltre, l'app controlla i post del gruppo, segnalando qualsiasi contenuto privo delle credenziali appropriate. In questo modo, ogni membro è protetto dall'anonimato anche se il gruppo è infiltrato o hackerato, il tutto mentre le comunicazioni del gruppo stesso vengono verificate come affidabili.

Naturalmente, queste comunità vogliono un comodo, ma sicuro per estendere gli inviti di adesione. Il team di ricerca ha appreso che molti gruppi utilizzavano password per questo, tuttavia la condivisione di una password mette sempre a rischio l'account. "Quello che abbiamo trovato è stato le persone non direbbero semplicemente a qualcuno la password, " disse Nekrasov. "Quello che farebbero è scriverlo o inviarlo in un messaggio, e questo è incredibilmente pericoloso."

Invece il team ha sviluppato un metodo molto più sicuro per invitare un nuovo membro al gruppo. Il processo prevede lo scambio di codici QR protetti visivamente o tramite una connessione affidabile, una tecnica che utilizza un paio di visibili, chiavi pubbliche e una seconda coppia di chiavi nascoste, chiavi private per inviare e ricevere informazioni crittografate. Ciò garantisce la sicurezza dell'invito anche se una terza parte ha assistito allo scambio, disse Nekrasov, perché la chiave privata è nascosta sul dispositivo della persona che si unisce al gruppo.

Una volta che il nuovo membro si unisce al gruppo, ricevono una nuova coppia di chiavi. La chiave privata consente loro di firmare i post per conto del gruppo. La chiave pubblica, che chiunque può vedere e usare, consente a qualsiasi utente di social media, inclusi quelli che non fanno parte del gruppo, di verificare i post. Ciò garantisce che se un post viene contraffatto o modificato da un social network o da un governo, qualsiasi utente sarà in grado di identificarlo come un falso.

Il contenuto caricato da un account tramite SecurePost appare come se avesse un unico autore senza modo di identificare i singoli poster o l'elenco dei membri di un gruppo. Lo fa ospitando il gruppo su un server proxy di terze parti, che maschera l'indirizzo IP dell'individuo dal social network. "Questo significa che non devi fidarti di una parte esterna, " ha detto Nekrasov. "Un gruppo può eseguire il proprio server e verificare tutto ciò che sta accadendo."

Cosa c'è di più, SecurePost allega una firma crittografica al post, generato dalla chiave privata del membro del gruppo. L'applicazione verifica quindi automaticamente l'autenticità di questa firma per chiunque altro esegua il programma, indipendentemente dal loro status di appartenenza a un particolare gruppo. Poiché il server proxy non riceve mai effettivamente la chiave privata degli utenti, la funzione di verifica può contrassegnare contenuti come i post scritti da un impostore o da qualcuno che ha violato il proxy.

Il team ha progettato SecurePost tenendo presente la realtà dei suoi utenti. Hanno prodotto l'applicazione per il sistema operativo Android, che all'epoca rappresentava l'86 percento della quota di mercato globale. Lo hanno anche reso compatibile con i dispositivi più vecchi, in modo che a partire da ottobre 2017, Il 99,9 percento dei dispositivi Android registrati con Google potrebbe eseguire l'applicazione. Questo è importante perché molte persone nei gruppi di utenti mirati utilizzano telefoni con sistemi operativi precedenti, che sono più economici da acquistare.

SecurePost può funzionare anche senza una connessione Internet continua, una necessità in molte regioni dove troverà impiego. Invece di caricare immediatamente i contenuti, l'app lo memorizza sul dispositivo e lo pubblica quando la connettività Internet riprende. Per aggirare la vulnerabilità che ciò crea se le autorità confiscano il dispositivo, SecurePost crittografa anche tutti i dati con una password a livello di applicazione. Se l'utente è sotto costrizione, lui o lei può fornire una password falsa che cancella i dati dell'app, compresi i tasti di gruppo.

Il team spera che il software alla fine venga sviluppato in un prodotto a tutti gli effetti con una portata più ampia. "Alla fine del giorno, non siamo un'azienda, siamo ricercatori, " ha detto Metzger. "Possiamo sviluppare app, e possiamo metterli nell'app store, ma non abbiamo un budget per commercializzarli".

"Ma possiamo creare nuovi sistemi attorno ai quali un'azienda potrebbe costruire un business e commercializzare, " ha aggiunto. "E questo è il modo in cui queste tecnologie possono avere un grande impatto".