Minoriteter och oliktänkande samhällen står inför en förbryllande utmaning i länder med auktoritära regeringar. De måste vara anonyma för att undvika förföljelse, men måste också etablera en pålitlig identitet i sin kommunikation. En tvärvetenskaplig grupp forskare vid UC Santa Barbara har utformat en ansökan för att uppfylla båda dessa krav.

Datavetenskap och kommunikationsforskare knutna till universitetets Center for Information Technology &Society reste till tre länder för att bedöma de utmaningar minoritetsgrupper står inför när det gäller att upprätthålla en säker, pålitlig närvaro på sociala medier. Baserat på gemenskapernas feedback, teamet designade en app för operativsystemet Android som skulle skydda gruppmedlemmarnas anonymitet samt verifiera tillförlitligheten hos inlägg som kommer från gruppen. Ett papper som beskriver tekniken dök upp i Journal of Internet Services and Applications .

Laget, ledd av datavetenskapsprofessorn Elizabeth Belding, reste till Mongoliet, Zambia och Turkiet, där kollegor på lokala institutioner kopplade dem till medlemmar av marginaliserade samhällen. Just då, dessa länder erbjöd ett relativt säkert alternativ till andra nationer med begränsat tal, som Ryssland, Kina och Egypten. Ungefär två veckor efter att gruppen besökte Turkiet, dock, ett försök till statskupp fick regeringen att slå ner den politiska oenigheten.

Intervjuer och undersökningar med allmänheten och med medlemmar av marginaliserade grupper i dessa länder bekräftade att upprätthållande av anonymitet är avgörande för skyddet. Men det kommer med nackdelar, som laget snart fick veta. "Problemet med anonym kommunikation är att du inte vet om det är trovärdigt, sa Miriam Metzger, en professor vid institutionen för kommunikation, och en av tidningens medförfattare. "Om du bara får ett meddelande och du inte vet vem det kommer ifrån, du kommer förmodligen inte att göra vad meddelandet säger åt dig att göra. Speciellt om det är riskabelt."

Det är här SecurePost kommer in. Appen tillåter gemenskaper att skapa säkra grupper på Twitter och Facebook som låter dem upprätthålla en konsekvent, synlig närvaro på sociala medier. Detta gör det möjligt för dem att bygga upp förtroende med sin läsekrets över tid, förklarade Michael Nekrasov, en doktorand i datavetenskap och huvudförfattare till uppsatsen.

Vad som är revolutionerande är att SecurePost tillåter en grupp att fungera utan någon förteckning över sina enskilda medlemmar. Dessutom, appen kontrollerar gruppens inlägg, flagga allt innehåll som saknar lämpliga referenser. På det här sättet, varje medlem skyddas av sin anonymitet även om gruppen är infiltrerad eller hackad, allt medan kommunikation från själva gruppen verifieras som tillförlitlig.

Naturligtvis, dessa samhällen vill ha en bekväm, men säkert sätt att förlänga medlemsinbjudningar. Forskargruppen fick reda på att många grupper använde lösenord för detta, Men att dela ett lösenord riskerar alltid kontot. "Det vi hittade var folk skulle inte bara berätta för någon lösenordet, " sa Nekrasov. "Vad de skulle göra är att skriva ner det eller skicka det i ett meddelande, och det är otroligt osäkert."

Istället utvecklade teamet en mycket säkrare metod för att bjuda in en ny medlem till gruppen. Processen involverar utbyte av säkra QR-koder visuellt eller över en pålitlig anslutning, en teknik som använder ett par synliga, offentliga nycklar och ett andra par dolda, privata nycklar för att skicka och ta emot krypterad information. Detta säkerställer säkerheten för inbjudan även om en tredje part bevittnade utbytet, sa Nekrasov, eftersom den privata nyckeln är dold på enheten för personen som går med i gruppen.

När den nya medlemmen går med i gruppen, de får ett nytt nyckelpar. Den privata nyckeln gör det möjligt för dem att signera inlägg på gruppens vägnar. Den offentliga nyckeln, som alla kan se och använda, gör det möjligt för alla användare av sociala medier – inklusive de som inte är med i gruppen – att verifiera inlägg. Detta säkerställer att om ett inlägg är förfalskat eller modifierat av ett socialt nätverk eller en regering, alla användare kommer att kunna identifiera det som en förfalskning.

Innehåll som laddas upp från ett konto via SecurePost ser ut som om det hade en enda författare utan något sätt att identifiera enskilda affischer eller en grupps medlemslista. Det åstadkommer detta genom att vara värd för gruppen på en tredjeparts proxyserver, som maskerar individens IP-adress från det sociala nätverket. "Detta betyder att du inte behöver lita på någon extern part, " sa Nekrasov. "En grupp kan köra sin egen server och verifiera allt som pågår."

Vad mer, SecurePost bifogar en kryptografisk signatur till inlägget, genereras från gruppmedlemmens privata nyckel. Applikationen verifierar sedan automatiskt äktheten av denna signatur för alla andra som kör programmet, oavsett deras medlemskapsstatus i en viss grupp. Eftersom proxyservern faktiskt aldrig tar emot användarnas privata nyckel, verifieringsfunktionen kan flagga innehåll som inlägg som gjorts av en bedragare eller någon som hackat proxyn.

Teamet designade SecurePost med verkligheten hos sina användare i åtanke. De producerade applikationen för Android-operativsystemet, som utgjorde 86 procent av den globala marknadsandelen vid den tiden. De gjorde den också kompatibel med äldre enheter, så att från och med oktober 2017, 99,9 procent av Android-enheter registrerade hos Google kunde köra applikationen. Detta är viktigt eftersom många individer i de riktade användargrupperna använder telefoner med äldre operativsystem, som är billigare att köpa.

SecurePost kan också fungera utan en kontinuerlig internetanslutning, en nödvändighet i många regioner där den kommer att kunna användas. Istället för att omedelbart ladda upp innehåll, appen lagrar det på enheten och lägger upp det när internetanslutningen återupptas. För att kringgå den sårbarhet detta skapar om myndigheterna konfiskerar enheten, SecurePost krypterar också all data med ett applikationsomfattande lösenord. Om användaren är under tvång, han eller hon kan ange ett falskt lösenord som raderar appens data, inklusive gruppnycklarna.

Teamet hoppas att programvaran i slutändan utvecklas till en fullfjädrad produkt med större räckvidd. "Vid slutet av dagen, vi är inte ett företag, vi är forskare, " sa Metzger. "Vi kan utveckla appar, och vi kan lägga dem i appbutiken, men vi har ingen budget för att marknadsföra dem."

"Men vi kan skapa nya system som ett företag kan bygga en verksamhet kring och marknadsföra, ", tillade hon. "Och det är så dessa teknologier kan ha stor inverkan."