Про центри довіри

Довірчі відносини необхідні Людству для співіснування найменших складових суспільства, а саме окремих людей. З розвитком цивілізації і головне – зі збільшенням кількості населення (так все у Всесвіті вирішує Маса), окрема людина вже не здатна самостійно перевірити складну структуровану інформацію, що швидко змінюється в реальному часі. Для орієнтування в таких умовах потрібні такі собі Центри Довіри (далі, ЦД).

Про центри довіри

Розглянемо приклади ЦД, з якими стикається кожна людина чи не щодня на дуже різноманітних рівнях та у різних ситуаціях.

Пряме спілкування

З дитинства ми можемо пам’ятати про: “А мої батьки казали, що…” – це апеляція до авторитету і говорить про те, що на якихось підставах ми довіряємо нашим батькам, оскільки переповідаємо їхню позицію вже іншим людям. Чому ж ми їм довіряємо: 1) вони нас люблять, годують, одягають – це визнання певної подяки; 2) також вони неодноразово казали те, чому пізніше ми знаходили підтвердження, наприклад, “не грайся з сірниками – обпечешся”… ми заплювали сірник, він обпікав пальці – таки батьки були праві. Проте існує в Світі нескінченна кількість речей, які і наші батьки не здатні самостійно дослідити і так само покладаються на інші ЦД.

Загалом важко чітко визначити в індивідуальному спілкування сектора довіри. Можна б було припустити, що в системі ієрархії довіри, члени родини мають більшу довіру, ніж друзі, чи вчителі у школі, чи до колеги по роботі. Проте не все так однозначно, оскільки довіра річ крихітка і змінюється з часом під впливом багатьох факторів.

Засоби масової інформації

Сучасні ЗМІ у переважній більшості не є першоджерелами, а подають чиюсь інформацію під певним кутом зору. Наприклад, Сталася подія A -> очевидець описав її так, як побачив і разом з фотографіями виклав у Мережу… далі починається мішанина і інформація з індивідуальними інтерпретаціями починає розтікатись різними каналами, кожен з яких у свій спосіб спотворює її (політичні аспекти, нюанси переклад, індивідуальне ставлення, релігійні корекції, забобони та міфологія, неуважність тощо). Такий собі “зламаний телефон” з дитинства. Оскільки ми не маємо довірчих відносин з першоджерелом (часом навіть потенційно не можемо з ним контактувати, а тим-паче перевірити автентичність його даних), ми змушені обирати ті великі агреговані ЗМІ, яким ми довіряємо з поправкою на те, хто і на чому саме маніпулює. Наприклад, я віддаю перевагу Тижню, Skrypin.UA, Fox News (так, їх з поправками на маніпуляшку можна дивитись), а ось наступні ЗМІ для мене є значно маніпулятивніші і навіть часом “Fake News”: Страна, Громадське та CNN.

До цієї ж категорії можна віднести і соціальні мережі. Останні тенденції визначення того, що є “fake news”, ба, більше того, їх заборона – це монополізація права на “правду”. Це намагаються робити, як і в комерційному секторі (Facebook, Twitter тощо), так і держави в цілому. Благі наміри не мають бути виправданням для надмірної централізації і, як наслідок – диктатури.

Зелений замочок

Кожного дня користувачі Інтернету бачать ці “зелені замочки” біля адреси сайтів, на які ми заходимо. Якщо натиснути на нього, то можна побачити, хто видав сертифікат і який рівень захисту та функціонал він надає. Тема широка, але загалом є декілька базових рівнів, дуже поверхово про рівні сертифікатів: 1) просто шифрується канал між нами і сайтом – ніхто посередині не може влізти у ваше “спілкування”; 2) п.1 + власник сайту перевірений сертифікаційним центром документально, а це вже може мати певні юридичні наслідки для власника сайту (але загалом – це іміджевий момент); 3) додатково до п.2 ресурс зазвичай регулярно перевіряється на відповідність стандартам безпеки та страхується.

Наявність “замочку” не говорить багато про безпеку самого ресурсу чи надійність інформації на ньому – це інструмент захисту вашого “спілкування” з ресурсом – трафік між вами захищено. Єдине правило – не заходити на будь-які сайти, що не мають такого “зеленого замочку”, оскільки це означає наступне: 1) власники сайту не дотримують буквально абеткових вимог до безпеки і довіряти таким ресурсам не можна взагалі (всі ваші логіни та паролі, спілкування з такими ресурсами можна “прослухати” на будь-якому рівні: вашого WiFi, провайдера, дата-центра тощо).

Держави зараз все активніше намагаються “врізатись” у спілкування користувачів і стати таким собі проміжним гравцем, щоб мати доступ до даних, якими ми обмінюємось з різноманітними ресурсами. У держави є традиційне пояснення таких ініціатив: “ми піклуємося про вашу безпеку”, але насправді це означає “ми контролюємо все, що ви робите”. Тому дуже важливо, що незважаючи на різні ситуації і різного роду “feel good decisions” (наприклад, боротьба з наркоторгівлею), не дозволяти державі цензурувати Мережу. Якщо ви хочете захистити себе чи своїх дітей від небажаного контенту, то можете зробити це самі на індивідуальному рівні – існує багато можливостей для цього, переважна більшість з яких не є технічними.

Децентралізована аутентифікація

Всі зустрічались з цим, коли заходиш на якийсь ресурс, а він для вашої авторизації пропонує не тільки зареєструватись, але й просто увійти за допомогою різних соціальних мереж. Тобто ви вже десь зареєстровані і даний сервіс замість того, що б просити вас вигадувати собі логін, пароль тощо, просто звертається до обраного вами сервісу і “питає” в нього чи це справді ви, і, в свою чергу, ви погоджуєтесь використати свої дані на цьому сервісі. Це швидко і зручно.

Для вас це означає, що ви довіряєте, наприклад, своїй соціальній мережі, і цей сервіс довіряє вашій соціальній мережі. Загалом сторонні сервіси для базової роботи більше не потребують підтвердження того, хто ми, а використовує ті дані, що надає про нас інший сервіс.

Інфраструктура відкритих ключів

Продовжуючи тему децентралізованої аутентифікації, переходимо до інфраструктура відкритих ключів (PKI). Ці довірчі відносини вже є частиною нашого життя. Бухгалтерські звіти підписуються сертифікатами, які видані Сертифікаційними Центрами (державними чи комерційними), які у свою чергу сприймаються, як довірені серверами податкової. Також електронні документи підписуються подібним чином, і різні суб’єкти підприємницької діяльності сприймають електронні “підписи” своїх контрагентів, як дійсні, навіть якщо і кожен з них використовує свій сертифікаційний центр. В т.ч. у громадян є можливість авторизації на сайтах державних органів для отримання потрібних послуг.

Тут же і популярна “Країна в смартфоні” – ідея легкого доступу до всього з одного “місця” (пристрою). Справа в тому, що надмірна централізація – це вже проблема сама по собі… тут і диверсифікація ризиків відмови (банально канали падають, або відбувається атака на сервіси), і збільшення в геометричній прогресій кількості вразливостей і можливостей для атак (складне програмне забезпечення і відповідно велика кількість вразливостей), і монополізація в одних руках всієї влади та контролю. Взагалі “Країна в смартфоні” – це не технічна задача… для її реалізації вже мають існувати довірчі відносини між інституціями (яких в нас фактично немає). Банально, якщо держава не може забезпечити автентичність і легітимність будь-якого папірця, який вона видає, то починати “пхати” непрацездатну систему взаємовідносин в “залізяку” не дасть нічого гарного. Навпаки “діджіталізація” збільшить можливість маніпуляцій, про які ми навіть не будемо знати тривалий час. Умовно кажучи, будь-який “підрахуй” кладе на лопатки будь-який довірений “сертифікат”.

Резюме

В сучасному світі швидких технологій і незчисленної кількості контактів та джерел інформації ми змушені довіряти тим, кого не знаємо особисто і навіть не маємо потенційної можливості перевірити. Головною задачею для людини є правильний індивідуальний вибір і регулярна перевірка Центрів Довіри. Це актуально і з тим, що говорять нам наші батьки та друзі, так і з інформацією, що надають нам ЗМІ чи держава.

Вибір ЦД – це чи не найскладніша задача для сучасної людини і вона лежить в розрізі соціальної психології і не є науково-обґрунтованою, а відповідно і технічні засоби не здатні за нас повністю вирішити, які ЦД є надійними, а які ні. Також часом ЦД компрометують себе, або (не)свідомо компрометуються іншіми ЦД – за цим потрібно постійно стежити і навіть в більші мірі, ніж за автентичністю відомостей про окремі події. Технології лише допомагають нам, проте уникнути відповідальності персонального вибору не вийде.