012345

}w !"#$%&'()+,-./012345
M ASARYKOVA UNIVERZITA FAKULTA INFORMATIKY

Návrh uživatelského rozhraní aplikace pro šifrování disku ˇ B AKALÁ RSKÁ PRÁCE

Agáta Daˇrbujanová

Brno, jaro 2016

Prohlášení Prohlašuji, že tato bakaláˇrská práce je mým puvodním ˚ autorským dílem, které jsem vypracovala samostatnˇe. Všechny zdroje, prameny a literaturu, které jsem pˇri vypracování používala nebo z nich cˇ erpala, v práci rˇ ádnˇe cituji s uvedením úplného odkazu na pˇríslušný zdroj.

Agáta Daˇrbujanová

Vedoucí práce: Ing. Milan Brož iii

Podˇekování Ráda bych podˇekovala vedoucímu bakaláˇrské práce Ing. Milanovi Brožovi za jeho cenné rady, vstˇrícný pˇrístup a trpˇelivost po celou dobu vedení práce. Dˇekuji také Mgr. Petrovi Fuˇcíkovi, PhD. za konzultaci pˇri tvorbˇe dotazníku a všem respondentum ˚ za jejich cˇ as a ochotu pˇri úˇcasti na výzkumu. V neposlední rˇ adˇe chci podˇekovat své rodinˇe a pˇrátelum ˚ za to, že mˇe po celý cˇ as podporovali.

v

Shrnutí Cílem práce je návrh uživatelského rozhraní aplikace pro šifrování disku. Souˇcástí práce je dotazník, který napomáhá porozumˇení uživatelum, ˚ následné vytvoˇrení uživatelských rolí a specifikace funkcionality aplikací pro šifrování disku. Dále je zde popsána analýza již existujících aplikací pro šifrování disku, a to konkrétnˇe TrueCryptu, BitLockeru, zuluCryptu a LibreCryptu. Hlavním pˇrínosem práce je soubor doporuˇcení pro tvorbu nového rozhraní a návrh obrazovek nové aplikace.

vii

Klíˇcová slova uživatelské rozhraní, použitelnost, heuristické hodnocení, specifikace, šifrování disku, hesla

ix

Obsah 1 2 3

4

5

6

Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zpusob ˚ návrhu rozhraní . . . . . . . . . . . . . . . . . . . Ochrana dat na úložišti a uživatelé . . . . . . . . . . . . 3.1 Softwarové šifrování . . . . . . . . . . . . . . . . . . 3.2 Výzkum uživatelu˚ . . . . . . . . . . . . . . . . . . . 3.3 Výsledky výzkumu . . . . . . . . . . . . . . . . . . . 3.3.1 Duvod ˚ používání šifrování . . . . . . . . . . 3.3.2 Citlivost dat . . . . . . . . . . . . . . . . . . . 3.3.3 Zkušenosti . . . . . . . . . . . . . . . . . . . . 3.3.4 Pocity . . . . . . . . . . . . . . . . . . . . . . 3.3.5 Ztráta dat . . . . . . . . . . . . . . . . . . . . 3.3.6 Zpomalení poˇcítaˇce . . . . . . . . . . . . . . . 3.3.7 Ohodnocení svých schopností . . . . . . . . 3.4 Zpˇetná vazba a zhodnocení výzkumu . . . . . . . . Požadovaná funkcionalita . . . . . . . . . . . . . . . . . . 4.1 Uživatelské role . . . . . . . . . . . . . . . . . . . . . 4.1.1 Korporátní uživatel . . . . . . . . . . . . . . . 4.1.2 Pokroˇcilý uživatel . . . . . . . . . . . . . . . 4.2 Specifikace požadavku˚ . . . . . . . . . . . . . . . . . 4.2.1 Diagram pˇrípadu˚ užití . . . . . . . . . . . . . 4.2.2 Textová specifikace . . . . . . . . . . . . . . . Práce se šifrovaným operaˇcním systémem . Dešifrování kontejneru . . . . . . . . . . . . Dešifrování externího disku . . . . . . . . . Zašifrování operaˇcního systému . . . . . . Vytvoˇrení šifrovaného kontejneru . . . . . Vytvoˇrení šifrovaného externího zaˇrízení . Zmˇena hesla šifrovaného zaˇrízení . . . . . Záloha dešifrovacího klíˇce . . . . . . . . . . Hodnocení použitelnosti a popis vybraných aplikací . . 5.1 TrueCrypt . . . . . . . . . . . . . . . . . . . . . . . . 5.2 BitLocker . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 zuluCrypt . . . . . . . . . . . . . . . . . . . . . . . . 5.4 LibreCrypt . . . . . . . . . . . . . . . . . . . . . . . . Uživatelské rozhraní . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 3 5 5 6 7 7 8 9 11 11 12 12 12 15 15 15 15 16 16 16 16 17 18 18 18 18 19 19 21 22 25 27 28 31 xi

6.1

Navigace . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.2 Chybové hlášky . . . . . . . . . . . . . . . . . . . . . . . 6.2.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.3 Zadávání hesla . . . . . . . . . . . . . . . . . . . . . . . 6.3.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.4 Vytvoˇrení a zmˇena hesla . . . . . . . . . . . . . . . . . . 6.4.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.5 Výbˇer šifrovacího algoritmu, autentizaˇcní operace, souborového systému a zálohy obnovovacího klíˇce . . . . . 6.5.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.6 Externí zaˇrízení . . . . . . . . . . . . . . . . . . . . . . . 6.6.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.7 Nápovˇeda . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.8 Pruvodce ˚ pˇri tvorbˇe a správˇe šifrovaných objektu˚ . . . 6.8.1 Jak aplikovat . . . . . . . . . . . . . . . . . . . . 6.9 Doporuˇcení . . . . . . . . . . . . . . . . . . . . . . . . . 7 Závˇer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A Dotazník . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B Obrazovky . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

xii

31 33 33 33 34 34 34 38 38 39 39 40 40 40 40 42 42 43 49 53

1 Úvod Nárust ˚ kapacity elektronických úložišt’ s sebou pˇrinesl velké množství výhod i nová nebezpeˇcí. Naskýtá se zde možnost ukládat veškerá data na jediný, dostateˇcnˇe velký disk. Mít své údaje a informace uloženy na jednom místˇe je jistˇe pohodlné a praktické z hlediska pˇrístupu povolané osoby. Když ale k takovémuto úložišti získá pˇrístup i nepovolaná osoba, má možnost pracovat se všemi uloženými daty. Uchránˇeny jsou pouze informace nacházející se na jiném místˇe. Z tohoto duvodu ˚ vzniká nutnost takovouto situaci rˇ ešit. Jedním ze zpusob ˚ u, ˚ které jsou k dispozici, je šifrování. To znamená, že data nebudou pro neoprávnˇenou osobu (neboli útoˇcníka) cˇ itelná. Další ochranou muže ˚ být použití steganografie, což je metoda, pˇri níž je utajována samotná existence informací [1]. Zpráva zde nemusí být šifrována – ochranou je, že je skrytá a o její existenci ví pouze ten, kdo ji vytvoˇril, a ten, komu byla urˇcena. Steganografii je možné kombinovat spolu se šifrováním. Duležitost ˚ použitelnosti a srozumitelnosti aplikací se v posledních letech stále zvyšuje. Vzhledem k velkému rozšíˇrení poˇcítaˇcu˚ nemužeme ˚ po všech chtít expertní znalosti [2]. V souˇcasné dobˇe je na trhu velké množství nástroju, ˚ které by mˇely koncovému uživateli umožnit nastavit si nˇekteré z výše uvedených zabezpeˇcení dat, a to bez pomoci odborníka. V celé této práci jsou zvažovány pouze desktopové aplikace. Mnohé z nich jsou poskytovány zdarma. Pˇrestože jsou tyto nástroje snadno volnˇe dostupné, nepatˇrí mezi standardní vybavení osobního poˇcítaˇce. Jedním z duvod ˚ u˚ muže ˚ být fakt, že uživatel se muže ˚ obávat samotného použití aplikace, protože se mu napˇr. jeví pˇríliš složitá a ve chvíli, kdy jí má použít, se dostává do stresu. Je tedy duležité ˚ tuto pˇrekážku pˇrekonat. Toho lze dosáhnout mj. tak, že aplikace na šifrování disku budou více pˇrívˇetivé pˇri používání. Takovýto návrh je cílem této práce, která je souˇcástí projektu LUKS/libcryptsetup (Linux Unified Key Setup) pro Windows 1 , který je realizován v Centre for Research on Cryptography and Security2 Fakulty informatiky Masarykovy univerzity (FI MU). V kapitole 2 uvádím jednotlivé kroky, které pˇredcházejí samot1. crcs.cz/wiki/doku.php?id=public:crocs:projects#luks_libcryptsetup_ for_windows_platform 2. www.fi.muni.cz/research/crocs/

1

1. Ú VOD nému návrhu rozhraní. Dále, v kapitole 3, je struˇcnˇe rozebráno softwarové šifrování a následnˇe vˇenuji velkou pozornost pochopení uživatelu˚ prostˇrednictvím dotazníku. V kapitole 4 jsou popsány dvˇe uživatelské role, které zde zvažuji, a jejich požadavky na funkcionalitu aplikace. Kapitola 5 obsahuje charakteristiku aplikací TrueCrypt, BitLocker, zuluCrypt a LibreCrypt a jejich následné ohodnocení pomocí heuristik. Kapitola 6 je souborem doporuˇcení a návrhu˚ pro realizaci nového rozhraní.

2

2 Zpusob ˚ návrhu rozhraní Vývoj a návrh softwaru je iterativní proces, který se skládá z nˇekolika cˇ ástí. Prvním krokem je identifikace potencionálních uživatelu˚ vyvíjeného produktu. Je duležité ˚ si ujasnit, pro jakou cílovou skupinu je aplikace urˇcena, jestli se jedná o specializovanou aplikaci urˇcenou odborníkum, ˚ nebo o aplikaci pro každého (napˇr. terminály na letištích) [3]. Majoritní skupinou, která využívá aplikace pro šifrování disku, jsou zamˇestnanci firem cˇ i podnikatelé, kteˇrí chrání firemní data. Dále je tˇreba uživatele poznat, pochopit jejich potˇreby a smýšlení. K tomu slouží rozhovory, dotazníky, pozorování v pˇrirozeném prostˇredí apod. Z duvodu ˚ omezení v rámci bakaláˇrské práce byl vybrán sbˇer dat pomocí standardizovaného dotazníku. V dotazníkovém šetˇrení, které bylo realizováno v rámci této práce a je zmínˇeno níže, uživatelé uvedli, jakým zpusobem ˚ a za jakým úˇcelem aplikace pro šifrování používají a jaké s nimi mají zkušenosti. Tato cˇ ást vývoje softwaru bývá nˇekdy opomíjena cˇ i jí není pˇripisována dostateˇcná du˚ ležitost, ovšem bez pochopení uživatelu˚ není možné navrhnout produkt, který bude uspokojovat jejich potˇreby [4]. Tohoto porozumˇení uživatelum ˚ je využito pˇri tvorbˇe uživatelských rolí (viz podkapitolu 4.1). Ve chvíli, kdy jsou známi uživatelé a jejich oˇcekávání, dochází k rozhodnutí, jaké úlohy bude možné pomocí pˇríslušné aplikace rˇešit. K zaznamenání tˇechto požadavku˚ na funkcionalitu slouží specifikace. Pro utˇrídˇení zpusob ˚ u˚ používání je k dispozici diagram pˇrípadu˚ užití. Návrh pokraˇcuje tvorbou dalších diagramu, ˚ které zde nejsou použity proto, že se zabývají implementaˇcními detaily. Poslední cˇ ástí vývoje, která zde bude aplikována, jsou prototypy [5], které graficky naznaˇcují navrhované rozhraní. Výhodou papírových prototypu˚ je, že jsou lehce zahoditelné a rychlé na výrobu, což je výhodné pˇri komunikaci se zákazníkem, který si mnohdy nedokáže pˇredstavit, jak bude rozhraní vypadat, cˇ i má pˇredstavu zcela odlišnou. Podle jeho pˇripomínek je snadné návrh upravit. Po prototypech dochází ke grafickým návrhum ˚ na poˇcítaˇci, které vypadají už jako funkˇcní rozhraní. Toto rozhraní musí být po otestování ještˇe pˇrizpu˚ sobeno stylu a požadavkum ˚ konkrétních operaˇcních systému, ˚ napˇr.

3

˚ 2. Z P USOB NÁVRHU ROZHRANÍ

Windows1 , Linux Gnome2 a Mac OS3 , a to podle Human Interface Guidelines (dále HIG). HIG je sada doporuˇcení, jak má rozhraní aplikací v daném operaˇcním systému vypadat, jaké klávesové zkratky mají být podporovány, jaké má být použito písmo, jak má probíhat instalace apod. Grafický návrh rozhraní je možné popsat jako „umˇení organizovat informace v prostoru“ [3], což zahrnuje prezentaci, vyhledávání, prohlížení, nápisy, kategorie, rˇ azení, manipulaci a strategické skrývání informací.

1. https://dev.windows.com/en-us/desktop/design 2. https://developer.gnome.org/hig/stable/ 3. https://developer.apple.com/library/mac/documentation/ UserExperience/Conceptual/OSXHIGuidelines/

4

3 Ochrana dat na úložišti a uživatelé 3.1 Softwarové šifrování Navzdory existenci hardwarového šifrování disku je v této práci rozebráno pouze softwarové. Jedná se o šifrování, které je implementováno pomocí softwaru, který lze nainstalovat. To je již na takové úrovni, aby bylo dostateˇcnˇe rychlé a bezpeˇcné a zárovenˇ je i levnˇejší. Výhodou také je, že není potˇreba speciální hardware a podpora disku [6]. Naopak nevýhodou je, že softwarové šifrování stále do urˇcité míry zpomaluje poˇcítaˇc. Šifrovací programy by mˇely umožnovat ˇ následující akce: •

Tvorba šifrovaných kontejneru. ˚1

•

Šifrování a dešifrování pevných disku˚ (i pokud obsahují operaˇcní systém).

•

Šifrování a dešifrování externích USB disku. ˚

•

Správa šifrovaných jednotek.

Mohou samozˇrejmˇe nabízet i další doplnkové ˇ služby. Aplikace pro šifrování disku využívají ruzných ˚ šifer a hašovacích funkcí, mezi kterými si muže ˚ uživatel vybrat. Dále je zde rˇ ešeno, jakým zpusobem ˚ dojde k dešifrování dat, a to jestli bude nutné zadat heslo cˇ i dešifrovací klíˇc, vložit nˇejaký token (napˇr. kartu cˇ i USB disk), cˇ i provést jiný autentizaˇcní a autorizaˇcní úkon. Pokud uživatel nezná nebo zapomene heslo, pˇrípadnˇe klíˇc, cˇ i nevlastní pˇríslušný token, není možné, aby získal data v otevˇrené (nezašifrované) podobˇe. Vše, co je zde zmínˇeno, zde rozebírám pouze z uživatelského pohledu, nebot’ samotná problematika šifrování je velmi složitá a její detailní pochopení není nutným pˇredpokladem návrhu dobrého rozhraní. Dˇríve bylo možné nastavit šifrování pouze pomocí terminálu cˇ i pˇríkazové rˇ ádky. U nˇekterých aplikací tak tomu stále je (napˇr. LUKS 1. Kontejnerem je zde myšlen virtuální objekt, který vypadá jako obyˇcejný soubor, ve skuteˇcnosti však obsahuje šifrovaná data cˇ i soubory.

5

3. O CHRANA DAT NA ÚLOŽIŠTI A UŽIVATELÉ [7]), ale existuje i nemalé množství programu˚ s uživatelsky pˇrívˇetivˇejším rozhraním, a to napˇr. níže rozebíraný TrueCrypt, BitLocker, zuluCrypt a LibreCrypt.

3.2 Výzkum uživatelu˚ Nejslabším cˇ lánkem ochrany dat vˇetšinou bývají lidé, kteˇrí s tˇemito daty pracují, a proto je duležité, ˚ aby si uvˇedomovali duležitost ˚ jejich ochrany. Nejvˇetší skupinou, kde mívá zneužití dat nejzávažnˇejší následky, bývají firmy a jejich obchodní tajemství, která jsou chránˇena zákonem [8]. Tím, jaké názory, pocity a zkušenosti mají zamˇestnanci s ochranou dat, jsem se zabývala ve svém výzkumu, který je souˇcástí mé bakaláˇrské práce. Cílem bylo zjistit, jaké mají uživatelé subjektivní zkušenosti se šifrováním a šifrovanými zaˇrízeními, k cˇ emu je používají, jak se k problematice šifrování staví a proˇc. Za šifrovaná zaˇrízení v tomto výzkumu považuji šifrované pevné disky v poˇcítaˇci, zašifrovaný operaˇcní systém, šifrované flash disky a jiná šifrovaná externí zaˇrízení. Výzkum byl realizován pomocí elektronického dotazníku v anglickém jazyce, který byl respondentum ˚ poslán e-mailem. Tento dotazník byl vytvoˇren pomocí Formuláˇre Google2 a je pˇriložen (lze ho nalézt v Pˇríloze A). Sbˇer dat probíhal od 9. 3. 2015 do 31. 3. 2015. Cílovou skupinou byli lidé, kteˇrí ve svém zamˇestnání používají šifrovaná zaˇrízení zejména proto, že to vyžaduje bezpeˇcnostní politika jejich firmy. Získat data od tˇechto jednotek výzkumu není jednoduché, proto jsem požádala studenty FI MU, kteˇrí pracují v nˇejaké firmˇe, jejíž zamˇestnanci šifrovaná zaˇrízení používají, aby zde rozeslali dotazník. Sbˇer dat byl proveden pouze ve firmˇe Red Hat3 , protože jiní oslovení zástupci firem se na výzkumu odmítli podílet cˇ i se k žádosti nevyjádˇrili. Ve firmˇe Red Hat byli o vyplnˇení dotazníku požádáni všichni zamˇestnanci, kterým byl pomocí memo-listu4 poslán e-mail s touto 2. Elektronická verze dotazníku je zde:https://docs.google.com/forms/d/ 1FDJsllNBFqDv0Xk0Y6KQFPdLgGTqJTf4oWAjWk4Cba8/viewform 3. www.redhat.com/en 4. „Memo-list is a mailing list that we subscribe everyone in the organization to, and historically we used memo-list for anything from making important announcements to discussing company strategy to sharing jokes“ (www.managementexchange. com/story/employee-led-evolution-memo-list-red-hat).

6

3. O CHRANA DAT NA ÚLOŽIŠTI A UŽIVATELÉ prosbou a odkazem na dotazník. Vzorek byl sestaven samovýbˇerem z celkového poˇctu pˇribližnˇe 7100 zamˇestnancu˚ [9]. Protože vˇetšina adresátu˚ e-mail ani neˇcetla a tudíž nebyla o existenci výzkumu informována, nelze urˇcit návratnost ani poˇcet odmítnutých žádostí o úˇcast. Celkem se výzkumu zúˇcastnilo 141 lidí. Uživatele dˇelím na dvˇe skupiny, a to na ty, kteˇrí mˇeli zkušenost se šifrovanými zaˇrízeními i pˇred nástupem do aktuálního zamˇestnání, a na ty, kteˇrí takovou zkušenost nemˇeli a se šifrováním se setkali ˇ poprvé ve firmˇe, kde aktuálnˇe pracují. Cím více dokáže uživatel využívat ruzné ˚ možnosti šifrování, tím muže ˚ být pravdˇepodobnˇejší, že je bude používat. Pokud lidé nevˇerˇ í, že šifrování zvyšuje ochranu jejich dat a nebo si nemyslí, že jejich data je nutné chránit, mohou být ménˇe motivováni je šifrovat než lidé, kteˇrí ochranˇe vˇerˇ í a považují svá data za cenná. Odrazující mohou být i negativní zkušenosti, napˇr. ztráta dat cˇ i zpomalení poˇcítaˇce.

3.3 Výsledky výzkumu 3.3.1 Duvod ˚ používání šifrování Z provedeného výzkumu vyplývá, že uživatelé používají aplikace z odlišných duvod ˚ u, ˚ napˇr. je to od nich vyžadováno nebo používání aplikace považují za výhodné. Stejné je to i s duvody, ˚ proˇc uživatelé používají šifrování. Bezpeˇcnostní politika firmy, ve které byl provádˇen sbˇer dat, svým zamˇestnancum ˚ naˇrizuje používat šifrování. Pouze 83 % respondentu˚ vybralo možnost, že jsou povinni používat šifrování, pˇrestože to vyžaduje jejich zamˇestnavatel. A necelých 9 % se pˇriznalo, že je nepoužívají. Výsledky jsou znázornˇeny grafem na obrázku 3.1. Pokud je ale toto naˇrízení jedinou motivací, používání šifrování nemusí mít takový úˇcinek, jaký by mohlo mít, protože zamˇestnanci se mohou pokusit o zjednodušení své práce a používat je pouze v nevyhnutelných pˇrípadech. Dalším motivaˇcním faktorem muže ˚ být také to, že z používání šifrování mají uživatelé lepší pocit. Tento pocit by mohl pramenit bud’to z toho, že dodržují bezpeˇcnostní politiku své firmy, nebo proto, že si uvˇedomují duležitost ˚ ochrany dat. Dobrý pocit z používání má pˇribližnˇe 56 % respondentu. ˚ Dalšími duvody ˚ muže ˚ být také to, že si uživatel uvˇedomuje, že má citlivá data, která je dobré chránit. S touto možností se ztotožnilo necelých 69 % odpovídajích. 7

3. O CHRANA DAT NA ÚLOŽIŠTI A UŽIVATELÉ

Obrázek 3.1: Duvody ˚ používání šifrovaných disku˚ O problematiku šifrování se zajímá více než 31 % zúˇcastnˇených. Prostˇrednictvím otevˇrené odpovˇedi jsem získala další tˇri možné varianty, které u této otázky respondentum ˚ chybˇely, a to následující: „also keeps system integrity protected to certain level, remember an evil maid uploading trojan horses“, „If I told you, I’d have to kill you.“ (pokud tato odpovˇed’ nebyla myšlena jako vtip, bylo by možné ji formulovat také jako „du˚ vod používání šifrování je tajný“) a „Because most Linux distros make it so easy, the question is really: why not?“. 3.3.2 Citlivost dat Rozšíˇrením první otázky dotazníku je otázka následující, která zkoumá, ˇ jak citlivá jsou data uživatele. Cím více citlivými uživatel svá data shledává, tím více muže ˚ být motivovaný je chránit. 38 % respondentu˚ svá data nepovažují ani za citlivá, ani za veˇrejná, zhruba 50 % považuje svá data za citlivá a 17 % je za citlivá nepokládá. Necelá 3 % odpovídajících se nebylo schopno zaˇradit. Pˇresné výsledky jsou zobrazeny grafem na obrázku 3.2. Pokud respondent svá data považoval za citlivá, byl zjištˇen také duvod ˚ tohoto jeho postoje. Nˇekteˇrí majitelé dat si uvˇedomují fakt, že jejich data mají cenu, kterou lze vyjádˇrit v penˇezích (tuto možnost vybralo necelých 43 % lidí) a nebo že jsou zajímavá pro jiné lidi (svá data za takto zajímavá považuje 51 % respondentu). ˚ Jiní zase svá data 8


Obrázek 3.2: Míra citlivosti dat mohou považovat za cenná už jen z toho duvodu, ˚ že patˇrí jim, ale ve skuteˇcnosti žádnou finanˇcní hodnotu mít nemusí (ale mohou). Svá data za duvˇ ˚ erná považuje 80 % úˇcastníku˚ výzkumu. 16 jedincu˚ z dotázaných využilo možnosti se k této otázce vyjádˇrit svými slovy. Vˇetšina vyjádˇrení by se dala zahrnout do nabízených možností, šlo tam pouze o nˇejaké vysvˇetlení cˇ i konkretizaci, proˇc jsou data považována za osobní cˇ i za zajímavá pro útoˇcníka. Ráda bych zde zmínila alesponˇ tyto odpovˇedi: „Includes personal information so is covered by legislation“, „Why not?“, „The disc contains unencrypted private keys for root access via SSH to various servers reachable via Internet.“, „Government Data“, „Only some data are sensitive for me (my keys for pgp and ssh)“ a „My data contains other people’s data that were not classified as public (but also weren’t explicitly classified as confidential)“. 3.3.3 Zkušenosti Lidé, kteˇrí se se šifrováním dat dostali do kontaktu ještˇe pˇred nástupem do svého souˇcasného zamˇestnání, k nˇemu mohou mít jiný postoj než lidé, kteˇrí se s ním nyní setkávají poprvé, protože si na tuto problematiku již vytvoˇrili nˇejaký názor. Pˇred nástupem do firmy Red Hat používalo šifrování 59 % zamˇestnancu, ˚ kteˇrí se zapojili do výzkumu, necelých 14 % zkusilo zašifrovat svuj ˚ disk a 21 % s ním nepˇrišlo pˇred nástupem do souˇcasného zamˇestnání do kontaktu. Aˇc9


Obrázek 3.3: Zpusoby ˚ používání šifrování koli firma Red Hat vyžaduje po svých zamˇestnancích, aby používali šifrování, tak více jak 6 % zamˇestnancu˚ se pˇriznalo, že jej nepoužívá (pˇrestože u otázky cˇ . 1 vybralo možnost „I do not use disc encryption“ 9 %). Uživatelé neradi pˇriznávají, že jim software pˇrijde pˇríliš složitý nebo že nˇekterým funkcím nerozumí. Tuto situaci rˇ eší tak, že pˇrebyteˇcné funkce nepoužívají [2]. Proto byla další otázka formulována tak, aby uživatelé vybrali cˇ innosti, pˇri kterých se setkávají se šifrováním. Zjišt’ovaly se tedy nejen souˇcasné zkušenosti uživatelu˚ se šifrováním, ale i to, jestli jim systém nepˇrijde pˇríliš složitý. Vˇetšina uživatelu˚ (88 %), kteˇrí se zúˇcastnili výzkumu, zadávají své heslo pˇred startem operaˇcního systému. Pˇribližnˇe 70 % je schopno zmˇenit heslo šifrovaného zaˇrízení a/nebo používají šifrování i na svém osobním poˇcítaˇci. Pˇresné výsledky lze vyˇcíst z grafu na obrázku 3.3. Tˇri respondenti uvedli ještˇe další cˇ innosti, které provádˇejí a které jim nebyly nabídnuty prostˇrednictvím uzavˇrených odpovˇedí, a to: „I’m able to recreate my encryption setup manually via command line tools (which I found useful for maintenance or recovery few times in the past), but I would not dare to change crypto options much (encryption scheme, cypher ... ) as I consider the defaults safe enough“, „creating encrypted block devices and moving existing systems onto them“ a „I’m thoroughly familiar with dm-crypt & LUKS as used in modern Linux distros like Fedora & RHEL. Also, I use GnuPG & OpenSSL for file encryption.“ 10

3. O CHRANA DAT NA ÚLOŽIŠTI A UŽIVATELÉ 3.3.4 Pocity Dotázaným bylo také umožnˇeno vyjádˇrit jejich pocity. Je možné, že si uvˇedomují duležitost ˚ šifrování a následky, které muže ˚ mít zcizení dat, ale nemyslí si, že se toto téma týká pˇrímo jich osobnˇe, ale pouze jejich kolegu˚ cˇ i ostatních lidí. Nejprve byli dotázáni, jestli vˇerˇ í, že šifrování zvyšuje bezpeˇcnost jejich dat, s cˇ ímž souhlasí pˇres 96 % respondentu, ˚ a jestli pokládají za pravdˇepodobné, že jejich chránˇená data nˇekdo zneužije. 42 % si myslí, že je toto zneužití pravdˇepodobné, 34 % že je nepravdˇepodobné, 18 % zaujímá neutrální postoj a necelých 6 % zvolilo odpovˇed’ nevím. Následnˇe se vyjadˇrovali k tomu, jestli je takováto ochrana dat v jejich pˇrípadˇe zbyteˇcností, s cˇ ímž 89 % respondentu˚ nesouhlasí, cˇ i jim pˇripadá pˇríliš komplikované. 74 % zúˇcastnˇených nepovažuje šifrování za pˇríliš komplikované a 16 % je neutrálních. 3.3.5 Ztráta dat Duležitým ˚ pˇredpokladem ovlivnujícím ˇ postoj k šifrování muže ˚ být zkušenost, kdy se majitel nemuže ˚ ke svým datum ˚ dostat, protože ztratil cˇ i zapomnˇel heslo. Tuto situaci zažilo 20 % respondentu. ˚ Tato nepˇríjemná zkušenost muže ˚ být zmírnˇena napˇr. tím, že technici data zachránili. Horší situace muže ˚ nastat, pokud byla data nenávratnˇe ztracena (což zažilo 59 % z tˇech, kteˇrí ztratili cˇ i zapomnˇeli své heslo). Nˇekdy je ale možné, že ztráta dat není nepˇríjemnou zkušeností, protože již nemˇela žádnou hodnotu. O data pˇrišla více jak polovina uživatelu˚ z tˇech, kteˇrí ztratili cˇ i zapomnˇeli heslo, pˇribližnˇe polovina z nich ale nepovažovala data za duležitá, ˚ proto se o jejich záchranu ani nepokusila. Nˇekteˇrí opˇet využili možnosti volného vyjádˇrení. Jejich odpovˇedi by se daly shrnout do tvrzení, že si po cˇ ase vzpomnˇeli na své heslo. Jeden uživatel se svˇerˇ il, že „I will try to brute force it in near future“. Ke ztrátˇe dat muže ˚ dojít také ve chvíli, kdy je disk poškozen a není možné jej odemknout. To se stalo pˇribližnˇe 18 % respondentu. ˚ V tuto chvíli mohou být data zachránˇena ze zálohy. Mˇelo by být známo, že je duležité ˚ provádˇet zálohu dat, ale ne každý tuto cˇ innost opravdu vykonává. Z dat vyplývá, že 62 % dotázaných zálohuje data pravidelnˇe. 11

3. O CHRANA DAT NA ÚLOŽIŠTI A UŽIVATELÉ 3.3.6 Zpomalení poˇcítaˇce Uživatelé také mˇeli možnost vyjádˇrit svuj ˚ dojem ohlednˇe zpomalení poˇcítaˇce, které mohlo vzniknout z duvodu ˚ režie spojené s provozováním šifrování na tomto stroji. Nˇekteré muže ˚ toto zpomalení skuteˇcnˇe obtˇežovat a tudíž i odrazovat (z výzkumu ale vyplývá, že se jedná o necelé procento), jiní zpomalení sice zaznamenají, ale pˇrijde jim zanedbatelné (19 %) a nˇekteˇrí si jej ani nepovšimnou (75 %). 3.3.7 Ohodnocení svých schopností Poslední otázka zjišt’ovala, za jak zkušené cˇ i znalé uživatelé považují sami sebe. Výzkumu se tedy dle svého mínˇení zúˇcastnilo 6 % zaˇcáteˇcníku, ˚ 37 % bˇežných uživatelu, ˚ 45 % pokroˇcilých uživatelu˚ a 12 % expertu. ˚

3.4 Zpˇetná vazba a zhodnocení výzkumu Vzhledem k nemožnosti urˇcit návratnost a vzorku pouze z jedné firmy nepovažuji výsledky výzkumu za zobecnitelné na celou populaci lidí, kteˇrí používají šifrování. Získaný vzorek muže ˚ být také specifický v tom, že tito lidé si pod šifrováním disku vybaví konkrétní aplikaci, a tou je v tomto pˇrípadˇe LUKS [7]. Nevýhodou muže ˚ být, že nˇekteré vˇeci vnímají uživatelé, kteˇrí používají jinou aplikaci, odlišnˇe, a to napˇr. zpomalení poˇcítaˇce pˇri používání šifrování. Jedná se tedy o jejich subjektivní pocity, jejichž zjištˇení muže ˚ být užiteˇcné k lepšímu porozumˇení uživatelum, ˚ kteˇrí rozhraní nejenom používají, ale kteˇrí mu i do urˇcité míry rozumí. Hlavní skupinou používající aplikace umožnující ˇ šifrování a steganografii nemusejí být lidé, kteˇrí nepotˇrebují (ˇci nechtˇejí) vytváˇret šifrované kontejnery apod., protože dnes je velmi rozšíˇrené a dostaˇcující zadání hesla pˇred startem operaˇcního systému, který byl pˇredtím zabezpeˇcen odborníkem. Z tohoto duvodu ˚ považuji vybraný vzorek z informatiku˚ za vhodný. Oni jsou nejvˇetší skupinou uživatelu˚ aplikace, pro které navrhuji uživatelské rozhraní. Je také možné pouˇcit se z nˇekterých chyb, které byly objeveny pˇri sbˇeru dat. Pro získání vˇetšího vzorku by bylo také tˇreba jít jinou 12

3. O CHRANA DAT NA ÚLOŽIŠTI A UŽIVATELÉ cestou než pomocí memo-listu, aby si pˇríjemci dotazníku opravdu všimli a bylo by tak možné urˇcit návratnost. Nˇekteˇrí z oslovených byli z výzkumu rozpaˇcití. Vzhledem k orientaci firmy Red Hat je vˇetšina jejích zamˇestnancu˚ technicky zamˇerˇená, celý výzkum se jim zdál málo zamˇerˇ ený na problematiku šifrování a nechápali smysl zjišt’ování pocitu, ˚ názoru, ˚ subjektivního vnímání a interpretaci zkušeností. Nˇekteré z oslovených to dokonce odradilo od zodpovˇezení otázek. Dva z nich, kteˇrí využili možnosti zpˇetné vazby, neporozumˇeli smyslu otázky „How much sensitive are your data? “ Nevidˇeli smysl ve zjišt’ování úrovnˇe citlivosti dat a místo ordinální škály navrhovali škálu nominální („Sensitive“, „Not sensitive“, „Moderately sensitive“ a „I do not know“). Nominální škála nezachytí tolik detailu˚ jako škála ordinální, ale mohla by být pro tento výzkum dostaˇcující. Pro respondenty by bylo také snazší vybrat z nabízených odpovˇedí tu, která vystihuje jeho situaci, protože by se zabýval pouze tím, jestli jeho data jsou cˇ i nejsou citlivá. Vzhledem k relativnˇe cˇ etné zpˇetné vazbˇe by bylo možné provozovat i web o výzkumu, kde by se zájemci mohli dozvˇedˇet více informací, napˇr. to, proˇc je vybrán konkrétní vzorek. Jeden oslovený projevil obavu, jestli nenastane chyba výbˇeru vzorku, pokud je vybrán z lidí, kterým bezpeˇcnostní politika firmy naˇrizuje šifrování. Takoví zamˇestnanci sice nemají na výbˇer, jestli budou šifrování používat cˇ i nikoli, mohou ale mít vlastní názor na to, jestli je pokládají za duležité, ˚ je to pro nˇe praktické, pohodlné apod. Tyto informace bylo možné respondentum ˚ poskytnout i pˇred vyplnˇením dotazníku, protože by to nemˇelo zapˇríˇcinit zkreslení výsledku˚ výzkumu. Je duležité ˚ zvýšit motivaci subjektu˚ výzkumu k zapojení se do nˇej, více zduraznit, ˚ proˇc je duležité ˚ zabývat se i motivací a subjektivním vnímání používání (nejen) šifrování a také oslovené ujistit, že cílem je opravdu zjištˇení jejich pocitu˚ a subjektivních zkušeností, protože na zkoumání skuteˇcných (nikoli osobních) problému˚ s používáním existují vhodnˇejší metody, napˇr. dotazník spojený s experimentem. Aplikace tˇechto návrhu˚ by mohla zpˇríjemnit participaci na výzkumu a pˇrinést lepší výsledky.

13

4 Požadovaná funkcionalita 4.1 Uživatelské role Uživatelské role jsou popisem vztahu mezi uživatelem a systémem, a to kolekcí charakteristických potˇreb, zájmu, ˚ oˇcekávání a chování v souvislosti se systémem [10]. Je tˇreba znát potˇreby uživatelu, ˚ aby jim bylo možné pˇrizpusobit ˚ návrh rozhraní. Zjištˇení tˇechto potˇreb bylo cílem výzkumu, který je popsán v pˇredchozí kapitole. Každý uživatel je individuální, není tedy možné popsat potˇreby každého jednotlivce. Na základˇe provedeného výzkumu, který je souˇcástí této práce, byly vytvoˇreny dvˇe hlavní uživatelské role (nejedná se o konkrétní reálné uživatele), pro které je rozhraní navrženo. Korporátní uživatel je primární, tzn., že rozhraní bude navrženo pˇredevším pro nˇej, Pokroˇcilý uživatel je sekundární. 4.1.1 Korporátní uživatel Korporátní uživatel ovládá poˇcítaˇc k bˇežné kanceláˇrské práci a prohlížení internetu. Jeho pracovní notebook je zašifrován, protože to vyžaduje politika firmy, ve které pracuje. Musí dodržovat pˇredpisy firmy, ve které pracuje, proto si nevolí žádné vlastní nastavení. Data, která jsou chránˇena šifrováním, považuje spíše za citlivá a to proto, že jsou duvˇ ˚ erná. Ochranˇe dat prostˇrednictvím šifrování vˇerˇ í a nemyslí si, že je to zcela zbyteˇcné. Používání šifrování mu nepˇrijde ani pˇríliš komplikované. Nedokáže posoudit, jestli mu šifrování disku zpomaluje poˇcítaˇc. Nikdy nepˇrišel o svá data, jejich záloha je provádˇena automaticky, bez vˇedomí uživatele. S aplikací pro šifrování disku pˇrichází do kontaktu tak, že zadá heslo pˇri startu operaˇcního systému a po nˇejaké dobˇe jej zmˇení. Šifrování disku používá pouze v práci, nikoli na osobním poˇcítaˇci. 4.1.2 Pokroˇcilý uživatel Pokroˇcilý uživatel využívá poˇcítaˇc nejenom k prohlížení internetu a plnˇení kanceláˇrské práce, ale i k více specializovaným cˇ innostem. 15

4. P OŽADOVANÁ FUNKCIONALITA Šifrování na pracovním notebooku používá primárnˇe proto, že si uvˇedomuje duležitost ˚ šifrování. Používal by jej tedy i v pˇrípadˇe, že by jeho zamˇestnavatel šifrování nevyžadoval a používá jej i na svém osobním poˇcítaˇci. Chránˇená data považuje za citlivá a hodnotná, tudíž i za zajímavá pro ostatní. Používání šifrování nepovažuje za komplikované. O svá data již nˇekdy pˇrišel, proto provádí u tˇech nejduležitˇ ˚ ejších zálohu. Aplikaci pro šifrování disku používá tak, že zadává heslo pˇri startu operaˇcního systému, cˇ as od cˇ asu zmˇení heslo, vytvoˇrí šifrovaný externí USB disk cˇ i šifrovaný kontejner na osobním poˇcítaˇci. Takovéto externí zaˇrízení a kontejner také pˇripojuje a používá. Pˇri tvorbˇe vˇetšinou využívá pˇreddefinované volby, nˇekdy si ale chce vše nastavit jinak než standardnˇe. Pokud si poˇrídí nový osobní poˇcítaˇc cˇ i zmˇení operaˇcní systém, chce jej celý zašifrovat.

4.2 Specifikace požadavku˚ Stanovením si uživatelských rolí je možné zjistit, jaké funkce by mˇela vyvíjená aplikace podporovat. Protože takový popis není pˇríliš praktický pro neustálé nahlížení a pˇrizpusobování ˚ vývoji tˇemto požadavkum, ˚ používají se ruzné ˚ diagramy cˇ i specifikace. Specifikace je proces, kdy jsou vstupní požadavky uživatelu˚ transformovány do specifikaˇcních modelu˚ [11]. 4.2.1 Diagram pˇrípadu˚ užití Pˇrehledné vyjádˇrení požadované funkcionality nabízí grafické znázornˇení systému v diagramu pˇrípadu užití (viz obrázek 4.1). K samotným souborum, ˚ které jsou uložené v šifrovaných jednotkách již uživatel po dešifrování nepˇristupuje pomocí aplikace, ale tak, jak je zvyklý u nešifrovaných souboru. ˚ 4.2.2 Textová specifikace Práce se šifrovaným operaˇcním systémem Pro uživatele tento pˇrípad užití znamená po zapnutí poˇcítaˇce a následné výzvˇe zadání hesla pˇri startu operaˇcního systému cˇ i pˇripojení 16

4. P OŽADOVANÁ FUNKCIONALITA

Obrázek 4.1: Diagram pˇrípadu˚ užití externího zaˇrízení s klíˇcem. Pokud chce zmˇenit heslo cˇ i operaci, po jejímž úspˇešném provedení je šifrovaný operaˇcní systém spuštˇen, je nutné spustit aplikaci pro šifrování disku, která mu nabídne mj. možnost zmˇenit heslo cˇ i operaci. Uživatel vybere jednu z tˇechto akcí. Pˇri zmˇenˇe hesla zadá staré jednou a nové dvakrát (pro kontrolu, jestli nezadal nˇejaký znak chybnˇe). Aplikace vyhodnotí zadané heslo, uživatel na základˇe tohoto vyhodnocení zmˇení cˇ i potvrdí zmˇenu hesla a aplikace jej informuje o tom, že k tomu skuteˇcnˇe došlo. Pokud vybere zmˇenu operace, je mu zobrazeno aktuální nastavení a možné alternativy, ze kterých uživatel vybere. Poté, co aplikace po uživateli vyžádá opˇetovné potvrzení, jej informuje o úspˇešnosti zmˇeny.

Dešifrování kontejneru Uživatel musí pomocí aplikace vybrat pˇríslušnou operaci pro dešifrování kontejneru. Je mu zobrazen klasický pruvodce ˚ operaˇcního systému pro výbˇer souboru, kde uživatel vybere šifrovaný kontejner, který na první pohled vypadá jako obyˇcejný soubor. Poté, co je uživatel vyzván k potvrzení výbˇeru souboru, musí zadat pˇríslušné heslo cˇ i pˇripojit externí zaˇrízení s klíˇcem. Po úspˇešné dešifrovací operaci je pˇríslušný kontejner otevˇren a pˇripraven k použití. 17

4. P OŽADOVANÁ FUNKCIONALITA Dešifrování externího disku V závislosti na používaném operaˇcním systému se muže ˚ dešifrování externího disku lišit. Uživatel muže ˚ vybrat skrze aplikaci šifrované externí zaˇrízení podobnˇe jako je to pˇri výbˇeru a dešifrování šifrovaného kontejneru. Pokud je po pˇripojení tohoto disku vyzván k dešifrovací operaci pˇrímo, vykoná ji dle pokynu˚ na obrazovce. Zašifrování operaˇcního systému Prostˇrednictvím aplikace uživatel spustí akci zašifrování operaˇcního systému. Na obrazovce je vyzván k výbˇeru šifry a dešifrovací operace. Po nastavení cˇ i odsouhlasení výchozích hodnot je uživatel upozornˇen, že tato operace je nevratná a není možné ji pˇrerušit. Pokud uživatel akceptuje tento fakt, je operace spuštˇena. Vytvoˇrení šifrovaného kontejneru Tento pˇrípad užití je stejný jako zašifrování operaˇcního systému s tím rozdílem, že uživatel musí vytvoˇrit soubor, ze kterého vytvoˇrí šifrovaný kontejner, musí mu stanovit velikost a souborový systém. To samé platí pro situaci, kdy uživatel vybere již existující soubor, který chce zašifrovat. Je vytvoˇren šifrovaný kontejner se stejným názvem, který se zašifruje, a následnˇe se do nˇej vybraný soubor pˇresune. Uživatel tyto operace však nepostˇrehne, pro nˇej se „zmˇení“ obyˇcejný soubor na zašifrovaný. Po vytvoˇrení šifrovaného kontejneru je pˇripojen a pˇripraven k použití. Vytvoˇrení šifrovaného externího zaˇrízení Vytvoˇrení šifrovaného externího zaˇrízení je podobné jako pˇredchozí dva pˇrípady. Není pˇríliš uživatelsky pˇríjemné nabízet jako dešifrovací operaci pˇripojení externího disku s klíˇcem, pˇrestože je to možné. Uživatel si totiž musí navíc pamatovat, který disk je zašifrovaný a který je s klíˇcem, a musí mít oba u sebe. Další odlišnost spoˇcívá v tom, že uživatel nevybírá soubor, který má být zašifrován, ale disk, a to opˇet pomocí standardního výbˇeru zaˇrízení dle operaˇcního systému. 18

4. P OŽADOVANÁ FUNKCIONALITA Zmˇena hesla šifrovaného zaˇrízení Z duvodu ˚ bezpeˇcnosti se doporuˇcuje pravidelná zmˇena hesla. Uživateli by tedy mˇelo být umožnˇeno zmˇenit heslo u všech šifrovaných jednotek, tedy u operaˇcního systému, externích zaˇrízení a kontejneru. ˚ Zmˇena souborového systému cˇ i šifry zde není podporována. 1 Aplikace uživateli nabídne veškeré pˇripojené šifrované objekty, ze kterých si musí vybrat takový, který chce upravit. Pokud uživateli není tento objekt nabídnut, musí jej nejprve pˇripojit (viz výše). Záloha dešifrovacího klíˇce Vytvoˇrení zálohy dešifrovacího klíˇce není klasickým pˇrípadem užití, protože zámˇerem uživatele je spíše práce se šifrovanými objekty. Tato funkce je ale velmi duležitá, ˚ protože muže ˚ zabránit ztrátˇe dat pˇri neschopnosti provést primární dešifrovací operaci. Bude však nabízena pouze jako souˇcást operací pro vytvoˇrení nového šifrovaného objektu. Uživatel bude muset vybrat z nabízených možností zpusob, ˚ jakým chce zálohu provést.

1. Je možné tuto zmˇenu realizovat, ale jedná se o velmi cˇ asovˇe nároˇcnou operaci. Bylo by tedy nutné informovat uživatele o procesu indikátorem prubˇ ˚ ehu.

19

5 Hodnocení použitelnosti a popis vybraných aplikací Pokud jde o uživatele, je nutné vzít v úvahu konkurenˇcní software, protože ti, kteˇrí jsou zkušení, mají k novému prostˇredí silné oˇcekávání, že bude podobné tˇem, které preferují. Chtˇejí mít tedy pocit, že toto rozhraní již znají [3]. V této kapitole se proto vˇenuji analýze vybraných aplikací. Konkrétnˇe je zde popsána funkcionalita programu˚ TrueCrypt [12], BitLocker [13], zuluCrypt [14] a LibreCrypt [15]. TrueCrypt je zde rozebrán proto, že se jedná o nejznámˇejší volnˇe šiˇritelný šifrovací program. BitLocker je jediný komerˇcní software, který je zde zmínˇen, a to proto, že pro uživatele s jistou verzí Windows je BitLocker poskytován jako souˇcást instalace operaˇcního systému a není tedy tˇreba jej pˇridávat dodateˇcnˇe. U zuluCryptu se jeho autor snažil pˇredevším o skvˇelé uživatelské rozhraní. Jak je již zmínˇeno výše, tato práce je souˇcástí projektu LUKS pro Windows. Ovšem LUKS je v souˇcasnosti rˇ ešením pro šifrování pod distribucemi Linuxu. Proto je zajímavý i LibreCrypt, který lze používat na operaˇcním systému Windows a je kompatibilní s nástrojem LUKS. Dále je zde pˇredstavena logika rozhraní a struˇcné ohodnocení použitelnosti podle Nielsenových heuristik [4], které jsou použity i pˇri návrhu rozhraní. Heuristické hodnocení probíhá tak, že inspektoˇri (což by mˇeli být experti pˇres hodnocení použitelnosti softwaru) procházejí vybranou aplikaci bud’to náhodnˇe, nebo podle nˇejakého scénáˇre a zvažují snadnost plnˇení úkolu˚ na základˇe stanovených heuristik. Tito experti by mˇeli být do projektu, jehož výsledek hodnotí, zapojeni co nejménˇe [16]. Jeden inspektor objeví pouze 35 % problému, ˚ proto je doporuˇceno pracovat v týmu alesponˇ pˇeti hodnotitelu, ˚ minimum by mˇeli být tˇri [17]. Pro úˇcely této práce postaˇcí pouze jeden hodnotitel, protože primárním cílem není vylepšení stávajících zde zmínˇených rozhraní ani zanalyzovat všechny chyby, které jsou v návrhu výše uvedených aplikací. Zámˇerem je odhalit a zmínit nˇekteré nejzásadnˇejší chyby, které mají vliv na použitelnost šifrovacích aplikací. Jejich možné napravení cˇ i vyvarování se jich je zváženo pˇri návrhu rozhraní, které je souˇcástí této práce. I pár hodin vˇenovaných analýze muže ˚ výraznˇe zlepšit použitelnost programu [18].

21

5. H ODNOCENÍ POUŽITELNOSTI A POPIS VYBRANÝCH APLIKACÍ Níže jsou uvedeny Nielsenovy heuristiky, které byly použity pˇri hodnocení rozhraní [4]. •

Viditelnost stavu systému.

•

Vazba mezi systémem a reálným svˇetem.

•

Uživatelská kontrola a svoboda. Mˇely by být vždy dostupné akce vpˇred a zpˇet.

•

Konzistence a standardy.

•

Pˇredcházení chybám.

•

Rozpoznávání radˇeji než rozpomínání.

•

Flexibilita a efektivita použití.

•

Estetický a minimalistický design.

•

Pomoc uživateli rozpoznat, diagnostikovat a dostat se z chyb.

•

Nápovˇeda a dokumentace.

5.1 TrueCrypt Pro analýzu TrueCryptu [12] byla vybrána anglická verze 7.1a z února 2012, která již obsahovala grafické uživatelské rozhraní a byla jednou z posledních verzí tohoto softwaru.1 Tato verze nabízí možnost vytvoˇrit šifrovaný kontejner (který se na první pohled jeví jako obyˇcejný dokument), zašifrovat celý disk cˇ i diskový oddíl a operaˇcní systém. Dále je možné pˇripojit takto zašifrovaný disk cˇ i kontejner. Uživatel si také muže ˚ vybrat konkrétní šifrovací a hašovací algoritmy, které chce použít, cˇ i zvolit velikost šifrovaného kontejneru a jeho souborový systém. Pˇri porovnání s výše uvedenými Nielsenovými heuristikami je zˇrejmé, že toto rozhraní není nejlepším rˇešením, s cˇ ímž souhlasí i Gujrati a Vasserman [18], kteˇrí provádˇeli pˇrípadovou studii použitelnosti 1. Podpora TrueCryptu a jeho další vývoj byl bez uvedení duvodu ˚ ukonˇcen.

22

5. H ODNOCENÍ POUŽITELNOSTI A POPIS VYBRANÝCH APLIKACÍ

Obrázek 5.1: TrueCrypt: pˇríliš dlouhý vysvˇetlující text TrueCryptu s následnými návrhy na zlepšení.2 Rozhraní hodnotí jako neintuitivní, nedostateˇcnˇe logické a nekonzistentní, pokud jde o realizaci urˇcitých úloh. Aplikace obˇcas obsahuje pˇríliš dlouhé instrukce cˇ i vysvˇetlující texty, které by bylo vhodnˇejší nahradit výstižnˇejším pojmenováním této volby. Na obrázku 5.1 je vidˇet zbyteˇcnˇe dlouhý text popisující bezpeˇcnost hesla. Ta je pˇritom na velice nízké úrovni, nebot’ i po zadání pouze jednopísmenného hesla je povolena akce Next. Pokud uživatel vytváˇrí nový šifrovaný kontejner, je vyzván k výbˇeru souboru, který bude smazán, a místo nˇej bude vytvoˇren šifrovaný kontejner, který bude vypadat jako puvodní ˚ soubor. Uživatelé tuto možnost ale chápou spíše tak, že vybraný soubor nebude smazán a nahrazen, ale zašifrován [18]. Uživatel také muže ˚ vybírat mezi šifrovacími a hašovacími algoritmy. Tato možnost je jistˇe velmi užiteˇcná pro ty, kteˇrí mají o rozdílech mezi jednotlivými algoritmy nˇejaké povˇedomí, ale pro uživatele bez tˇechto znalostí je výbˇer zdržením. Nastavování algoritmu˚ muže ˚ nové uživatele také zcela odradit, protože nemusí pochopit, že toto nastavení je pouze volitelné [18]. Také chybové hlášky by mohly poskytovat lepší identifikaci problému a návod na rˇ ešení chyby. Napˇr. pˇri výbˇeru šifrovaného kontejneru se uživatel nedozví, jestli opravdu zadal chybné heslo nebo 2. Jako metodu hodnocení použili kognitivní procházku a ve své práci se zamˇerˇili pouze na dvˇe operace, a to na vytvoˇrení a otevˇrení šifrovaného kontejneru.

23


Obrázek 5.2: TrueCrypt: Hláška Nepodaˇrilo se získat oprávnˇení správce požaduje zadání hesla znovu vybral špatný soubor, který je ve skuteˇcnosti opravdu jen souborem a nikoli šifrovaným kontejnerem, viz obrázek 5.2 3 V souˇcasné dobˇe je uživatel donucen po vytvoˇrení kontejneru jej zvlášt’ pˇripojit a tímto si ovˇerˇ it, že k vytvoˇrení šifrovaného objektu skuteˇcnˇe došlo, což se nesluˇcuje s pˇrehledností stavu systému. Problém muže ˚ také nastat v pˇrípadˇe, že uživatel si není jistý umístˇením právˇe vytvoˇreného souboru cˇ i jeho pojmenováním [18]. Zvláštní pozornost je tˇreba vˇenovat také terminologii. Pokud je TrueCrypt používán novými uživateli, muže ˚ je velmi snadno odradit svou poˇcáteˇcní nepˇrehledností a nutností znát jisté pojmy, které jsou bˇežné pro ty, kteˇrí se o šifrování zajímají více. Problematické jsou výrazy Volume, Mount a Dismount, které by bylo vhodnˇejší nahradit Souborový kontejner, Otevˇrít a Zavˇrít [18].Dále také z názvu tlaˇcítka Auto-Mount Devices není jasné, co se po klepnutí na nˇej stane. 3. Na druhou stranu je ale možné, že je tato nejednoznaˇcnost úmyslná, protože uživatel musí prokázat znalost pojmenování kontejneru a zárovenˇ hesla. Cenou za to je ale zvýšení pamˇet’ové zátˇeže uživatele.

24


5.2 BitLocker BitLocker Drive Encryption je nástroj dostupný pouze na urˇcitých verzích operaˇcního systému Windows, a to na Windows 7 Ultimate a Enterprise [13] a na Windows 8.1 Pro a Enterprise [19]. Tento nástroj umožnuje ˇ zašifrovat celý disk, kde se nachází systém Windows cˇ i data. Funkce BitLocker To Go nabízí zabezpeˇcení externích úložných zaˇrízení. Uživatel muže ˚ každý disk cˇ i zaˇrízení zašifrovat tak, že klikne na možnost Zapnout BitLocker. Pro povolení šifrování disku, na kterém se nachází operaˇcní systém, vyžaduje BitLocker nˇekteré z následujících opatˇrení: •

Trusted Platform Module (dále TPM modul), což je „hardwarové zaˇrízení urˇcené pro použití jako kryptografického koprocesoru“ [20]. Zde jsou uloženy šifrovací klíˇce, které se používají napˇr. pˇri zavádˇení operaˇcního systému.

•

Spouštˇecí klíˇc muže ˚ být uložen také na USB disku, který je nutné pro úspˇešný start operaˇcního systému pˇripojit k poˇcítaˇci. Pˇri šifrování disku˚ s daty je možné zvolit zpusob ˚ odemknutí, a to:

•

Pomocí hesla, kdy je po uživateli vyžadováno jeho zadání. Je zde obsaženo i doporuˇcení, jak by mˇelo bezpeˇcné heslo vypadat. Ovšem po zadání naprosto jednoduchého hesla složeného jen z malých písmen a jednoho slova ze slovníku se neobjeví žádné upozornˇení a v šifrování lze bez problému pokraˇcovat. Velmi nepˇríjemnˇe je zde rˇ ešena situace, kdy heslo obsahuje i cˇ íslice. Pokud jsou pˇri startu operaˇcního systému zadány pomocí numerické klávesnice, heslo je vyhodnoceno jako neplatné. Uživateli však není nikde pˇredložena informace, že cˇ íslice má zadávat pomocí funkˇcních kláves, kde F1 znamená 1, F2 cˇ íslo 2 apod.

•

Použití SmartCard, kde je nutné vlastnit i pˇríslušné zaˇrízení.

•

Vložení pˇríslušného USB disku. 25

5. H ODNOCENÍ POUŽITELNOSTI A POPIS VYBRANÝCH APLIKACÍ Tento nástroj umožnuje ˇ pˇrehlednou viditelnost stavu systému, protože u nezašifrovaných disku˚ je ikona nepozmˇenˇená, kdežto v pˇrípadˇe, že je jednotka zašifrována, je k ikonˇe pˇridán symbol zámku. Jednoduchá je také výzva k zadání hesla pˇri startu operaˇcního systému. Následnˇe je také možné toto heslo odebrat cˇ i zmˇenit. Je zde i dodržen vizuální styl operaˇcního systému Windows, protože BitLocker pˇripomíná pruvodce, ˚ který je používán napˇr. pˇri instalaci. Uživatel se tedy muže ˚ soustˇredit na rˇ ešenou úlohu, konkrétnˇe zašifrování disku, a jeho pozornost není vˇenována pˇremýšlení nad tím, jak má s programem pracovat. Uživatel se také musí v danou chvíli zabývat pouze rˇ ešením aktuálního požadavku, který mu aplikace pˇredkládá. Tímto požadavkem je myšlen jednotlivý krok nezbytný ke splnˇení úlohy. To muže ˚ být výhodou pro nové uživatele, ovšem pokroˇcilí mohou být zdržováni nutností se celým procesem „proklikat“ pˇri každém použití. Pokud není dostupný modul TPM, musí jej uživatel povolit v BIOSu, nebo musí v Group Policy povolit používání BitLockeru bez ˇ již zmínˇeného modulu. Rešení tohoto problému odvádí pozornost uživatele od samotného šifrování a muže ˚ jej i odradit, protože práce v BIOSu není zcela intuitivní a v uživatelích muže ˚ vzbuzovat strach a nejistotu. Navíc BitLocker nenabízí pˇrímé rˇ ešení problému, pouze rˇ íká, že je nutné tento modul povolit – ovšem neuvádí jak. Neintuitivní je také vypínání nástroje BitLocker. Vypnout jej je velmi snadné, staˇcí jen kliknout na tlaˇcítko Vypnout nástroj BitLocker. Po tomto kliknutí se na obrazovce objeví odkaz s nápisem Nástroj BitLocker provádí dešifrování, na který není možné kliknout (viz obrázek 5.3) Vzhledem k tomu, že se jedná o práci programu, pˇri které je uživatel nucen cˇ ekat, bylo by vhodné, aby byl informován o tom, v jaké fázi se tento úkon nachází, resp. alesponˇ by mˇel vˇedˇet, že program stále pracuje. Tento problém rˇeší využití indikátoru prubˇ ˚ ehu (anglicky progress bar). Lze také vybírat z následujících možností, jak zálohovat klíˇc. Zálohu klíˇce je možné provést i dodateˇcnˇe. •

Uložit na úˇcet Microsoft

•

Uložit na jednotku USB Flash

•

Uložit do souboru

26


Obrázek 5.3: BitLocker: probíhající dešifrování •

Vytisknout obnovovací klíˇc

Pˇrestože klíˇc nelze uložit do souboru na disk, protože tento disk bude šifrovaný, je to možné obejít tak, že je klíˇc vytisknut nikoli pomocí tiskárny, ale do dokumentu, který je následnˇe uložen na šifrovaném disku. Tato možnost by nemˇela existovat, protože uživatel nezíská zálohu klíˇce ze zašifrovaného disku a uložení do souboru je tedy naprosto zbyteˇcnou operací.

5.3 zuluCrypt Další hodnocená aplikace, zuluCrypt [14], umožnuje ˇ zašifrovat nejenom pevné disky a externí USB zaˇrízení, ale i samostatné soubory. Se zuluCryptem je dodáván i zuluMount, který se stará o pˇripojování a odpojování svazku, ˚ které byly zašifrovány zuluCryptem. Tento nástroj dokáže pracovat se stejnými kontejnery jako TrueCrypt, LUKS a další [14], takže jeho hlavním cílem je poskytnout uživatelum ˚ co nejpˇríjemnˇejší rozhraní. Pˇres autorovu veškerou snahu o co nejsnazší použití se ale uživatel pˇri instalaci nevyhne práci s pˇríkazovým rˇádkem. Po stažení aplikace z webových stránek je nutné otevˇrít soubor BUILD INSTRUCTIONS, kde je návod, jak zuluCrypt zkompilovat a jaké balíky je nutné doin27

5. H ODNOCENÍ POUŽITELNOSTI A POPIS VYBRANÝCH APLIKACÍ stalovat. I kdyby bylo uživatelské prostˇredí aplikace na velmi dobré úrovni, spoustu uživatelu˚ muže ˚ odrazit už samotná instalace, takže aplikaci ani nevyzkoušejí. Aplikaci jsem se pokoušela nainstalovat, ale nepodaˇrilo se mi získat všechny balíky ze souboru BUILD INSTRUCTIONS, proto ji nebylo možné zkompilovat, spustit a následnˇe ohodnotit. V dobˇe hodnocení aplikace její autor podcenil duležitost ˚ její integrace do operaˇcního systému, a to pˇredevším pomocí standardní instalace aplikací, na kterou jsou uživatelé zvyklí a umí s ní pracovat. Komplikovaná instalace je zásadním problémem zuluCryptu.

5.4 LibreCrypt Poslední zde zmínˇenou aplikací je LibreCrypt [15] (dˇríve DoxBox), který je kompatibilní s nástrojem LUKS a je dostupný pouze na operaˇcním systému Windows jako otevˇrený software. Instalace tohoto produktu je velmi snadná, jedná se o stažení .exe souboru obsahující pruvodce, ˚ který je bˇežný ve Windows. Po dokonˇcení instalace jsou dostupné dvˇe aplikace, a to LibreCrypt a LibreCrypt Explorer. Pomocí této aplikace je možné vytvoˇrit, pˇripojit a odpojit šifrovaný kontejner, který je zde oznaˇcován jako soubor, otevˇrít oddíl a zamknout vše najednou (tato volba muže ˚ být praktická, pokud uživatel od poˇcítaˇce odchází a nechce odpojovat každý objekt zvlášt’). Pro práci s linuxovým kontejnerem jsou vyˇclenˇeny samostatné volby. Pˇri vytváˇrení objektu uživatel vybírá typ, a to diskový oddíl cˇ i kontejnerový soubor prostˇrednictvím pruvodce. ˚ Je pˇrítomen i indikátor prubˇ ˚ ehu, jehož celkový poˇcet kroku˚ potˇrebných k dokonˇcení akce se v prubˇ ˚ ehu mˇení. Pˇri požadavku na zašifrování celého nebo cˇ ásti disku je uživatel upozornˇen, že se muže ˚ jednat o destruktivní operaci. Pˇri vytvoˇrení nového šifrovaného objektu je uživatel vyzván k výbˇeru souboru z poˇcítaˇce, který bude nahrazen tímto kontejnerem a následnˇe je po nˇem požadováno vyplnˇení velikosti tohoto disku. Nachází se zde informace, že velikost šifrovaného kontejneru musí být alesponˇ 1 MB a zárovenˇ musí být násobkem 512 bytu˚ (což je standardní velikost bloku). Už samotná tato poznámka je dosti nepˇrívˇetivá, protože nutí uživatele poˇcítat a pˇremýšlet (viz obrázek 5.4b). 28


(a) LibreCrypt: Požadavky na zadání (b) LibreCrypt: Požavky na velikost klíˇcové fráze nového kontejneru

Zadávání klíˇcové fráze je popsáno textem v nˇekolika vˇetách (viz obrázek 5.4a). Pro zadání této fráze je vyhrazen prostor, do kterého by se vešel celý odstavec textu. Uživatel je tedy vyzván k zadání 256 znakové fráze, což je nároˇcné na vytvoˇrení i zapamatování. Po vyplnˇení povinných položek muže ˚ uživatel pomocí tlaˇcítka Dokonˇcit úspˇešnˇe ukonˇcit tvorbu šifrovaného objektu, cˇ i volbou Další pokraˇcovat v pokroˇcilém nastavení. To je realizováno opˇet pruvod˚ cem a každá jednotlivá volba se nastavuje na samostatné obrazovce. Uživatel muže ˚ toto pokroˇcilé nastavení ukonˇcit stiskem tlaˇcítka Dokonˇcit. Pokud chce ale nastavit pouze jeden pokroˇcilý parametr, musí projít všechny, které mu pˇredcházejí, což jej muže ˚ zdržovat. Pˇri vytváˇrení nového šifrovaného kontejneru muže ˚ být matoucí, že po nastavení zvolených parametru˚ a potvrzení je uživatel vyzván k formátování vymˇenitelného disku. O úspˇešném vytvoˇrení šifrovaného objektu je uživatel informován pˇríslušným dialogem s informací o písmenu, pod kterým je disk nyní pˇripojen. Není zde také dodržena jednotná terminologie, protože šifrovaný objekt je nazýván souborem, zatímco v jiné cˇ ásti aplikace již kontejnerem, cˇ i heslo je nˇekdy oznaˇcováno také jako klíˇcová fráze.

29

6 Uživatelské rozhraní K návrhu uživatelského rozhraní je tˇreba stanovit, jakou funkci má aplikace vykonávat, jací uživatelé (uživatelské role) s ní budou pracovat (viz kapitolu 4 Požadovaná funkcionalita) a jaké jsou možnosti na trhu (viz kapitolu 5 Hodnocení použitelnosti a popis vybraných aplikací), cˇ ímž jsem se zabývala výše. Aplikace by mˇela být pˇrehledná, mˇel by být vidˇet její stav, uživatel by mˇel rozpoznávat akce, které potˇrebuje vykonat, a nemˇelo by docházet k chybám [4]. Nejedná se zde o chyby systému cˇ i implementace, ale o chyby návrhu. Uklouznutí znamená, že uživatel ví, jakou akci zvolit, systému rozumí, ale pˇresto zvolí jinou než zamýšlenou akci, protože se netrefí na správné místo v aplikaci (klikne na vedlejší tlaˇcítko apod.) [21, 22]. To je zpusobeno ˚ nevhodným umístˇením ovládacích prvku˚ a rˇ ešením je lepší návrh rozhraní. Uživatel se muže ˚ také dopustit omylu, což znamená, že zámˇernˇe zvolí urˇcitou akci, která ale vykoná nˇeco jiného, než požadoval [21, 22]. Uživatel byl totiž pˇresvˇedˇcen, že tato akce rˇ eší úlohu, kterou zamýšlel, tedy špatnˇe pochopil systém. Prevencí tˇechto omylu˚ muže ˚ být správné pojmenování ruzných ˚ akcí, což povede k lepšímu pochopení systému uživatelem. K vˇetší pˇrehlednosti také pˇrispívá následující: vlastnosti, které spolu souvisejí, mají být uspoˇrádány do skupin, a to kvuli ˚ snazšímu vyhledávání. Toho se docílí pomocí malých bílých míst mezi položkami ze stejné skupiny a vˇetšími bílými místy, pˇrípadnˇe ještˇe oddˇelovací cˇ árou mezi skupinami [3].

6.1 Navigace Uživatelé neˇctou každý popisek v rozhraní, pouze jej letmo shlédnou a rychle zkusí zvolit nˇejakou možnost a doufají, že je dovede k dosažení stanoveného cíle. Lidé také neradi pˇremýšlejí více, než je nutné, a možná i proto cˇ asto mˇení své volby v prubˇ ˚ ehu vykonávání jiné akce. Tato fakta je nutné vzít v potaz pˇri návrhu navigace. Uživatel by mˇel vˇedˇet, kde se právˇe nachází, kam muže ˚ (chce) jít a jakou cestou se tam dostane. To je možné zajistit dobˇre zvolenými popisky a udržováním krátké vzdálenosti, tj. nemít velké množství zanoˇrení. [3] Podle Tidwellové [3] je ideální navrhnout aplikaci tak, aby 80 % 31

6. U ŽIVATELSKÉ ROZHRANÍ pˇrípadu˚ užití bylo možné vykonat na jedné obrazovce bez pˇrepnutí kontextu. Pro aplikaci na šifrování disku˚ ale není možné toto doporucˇ ení dodržet, a to kvuli ˚ komplexnosti a velké složitosti softwaru. Pro zde navržený nástroj je použita globální navigace [3], což jsou možnosti nabídnuté na hlavní obrazovce, a pyramidová navigace. Pyramidová navigace funguje tak, že z výchozí obrazovky se aplikace vybráním volby pˇrepne na jinou obrazovku. Z této je možné vrátit se do rodiˇcovské, nebo pˇrepnout na další sourozeneckou. Z každé sourozenecké obrazovky lze pˇrejít na další cˇ i pˇredchozí nebo se kdykoli vrátit na rodiˇcovskou obrazovku. Tohoto je využito pˇri tvorbˇe šifrovaného objektu (viz 6.4.1), kdy je vybírána jeho velikost, šifra, apod. K tomu je ještˇe tˇreba doplnit sekvenˇcní mapování [3], což je poˇcítadlo zbývajících a již vykonaných kroku, ˚ které jsou potˇreba k dokonˇcení úlohy. Pro správnou orientaci uživatele na obrazovce slouží dvˇe techniky, a to vizuální hierarchie a vizuální tok [3]. Je tˇreba zduraznit ˚ pomocí alesponˇ dvou charakteristik to, co je duležité ˚ (napˇr. vˇetší tuˇcné písmo), pomocí hustoty prezentovat co spolu souvisí a co ne a dát volbám správnou pozici a velikost. Vizuální tok udává, na co se má uživatel v rozhraní dívat a v jakém poˇradí. V aplikaci zde navržené je uživatel nejprve pomocí vizuálního toku vybídnut k rozhodnutí, jestli chce pracovat s již existujícím šifrovaným objektem nebo jej vytvoˇrit. Po tomto rozhodnutí si vybírá typ objektu a pak konkrétní objekt, pro který akci vykoná. Pro lepší orientaci jsou dodrženy i Gestalt principy, a to blízkost, podobnost, souvislost a uzavˇrení – aplikace by tedy mˇela mít jednotný vzhled a stránky by mˇely vypadat podobnˇe. Jediné, co muže ˚ tyto principy zdánlivˇe porušovat, je tlaˇcítko Done, které ukonˇcuje úlohu a mˇelo by vždy vyˇcnívat na konci vizuálního toku. Nemˇelo by být však pˇríliš daleko, aby jej uživatel snadno našel. Mˇelo by být velké a vždy dobˇre pojmenované. Zde je dobré preferovat text namísto ikony. [3] Problém se zpˇetnou vazbou a neinformovaností, v jakém stavu se systém nachází, by mohl snadno nastat pˇri prubˇ ˚ ehu šifrování. Proto je použit indikátor prubˇ ˚ ehu (anglicky progress bar) [3], který uživatele ubezpeˇcí o tom, že aplikace stále pracuje. Tento prvek je doporuˇceno pˇridávat pouze v pˇrípadˇe, že akce trvá více jak 2 sekundy. Pro snadnost použití je vhodné, aby uživatel mohl svou akci snadno vrátit. V této aplikaci není možné toto doporuˇcení dodržet, 32

6. U ŽIVATELSKÉ ROZHRANÍ protože napˇr. pˇri spuštˇení formátování disku není možné tuto operaci zrušit ani pˇrerušit. Pokud se ale jedná pouze o nastavování cˇ i zmˇenu hesla, je možné undo implementovat. 6.1.1 Jak aplikovat Na výchozí obrazovce aplikace je zobrazen seznam pˇripojených šifrovaných objektu, ˚ tlaˇcítko Pˇripojit soubor a Pˇripojit externí zaˇrízení. Tyto cˇ innosti spolu souvisejí, proto jsou blízko u sebe. Další blok souvisejících operací je prezentován tlaˇcítky Zašifrovat soubor, Zašifrovat externí zaˇrízení a Zašifrovat operaˇcní systém. Poslední blok nabízí správu šifrování operaˇcního systému. Pokud je aktivní, je nabízena možnost Deaktivovat šifrování operaˇcního systému a Zmˇenit heslo. V pˇrípadˇe, že šifrování není aktivní, je zobrazena pouze volba Zašifrovat operaˇcní systém. Tyto tˇri logické bloky jsou od sebe vizuálnˇe oddˇeleny pomocí oddˇelovací cˇ áry.

6.2 Chybové hlášky Text chybových hlášek by mˇel být srozumitelný a nemˇel by obsahovat implementaˇcní detaily. Pokud jsou uživatelé o chybách informováni prostˇrednictvím vyskakovacích oken, stává se, že si chybovou hlášku pˇreˇctou, naleznou tam zpusob ˚ nápravy dané chyby, ale poté toto okno musejí zavˇrít, aby mohli nabídnuté rˇ ešení provést. Vše si ale musí zcela detailnˇe zapamatovat, protože již nemají možnost návratu k dané hlášce [3]. Pro prevenci chyb je doporuˇceno zakázat jisté akce (šedé zabarvení), pokud nejsou dostupné, protože k jejich aktivaci je tˇreba vykonání jiné akce [3]. 6.2.1 Jak aplikovat Ménˇe problému˚ pˇrináší zobrazení chybového textu v tom samém oknˇe, kde se uživatel právˇe nachází a kde byla zpusobena ˚ právˇe prezentovaná chyba. Pokud má uživatel zašifrovaný operaˇcní systém, není mu nabídnuta možnost Zašifrovat operaˇcní systém a opaˇcnˇe, pokud nemá šifrování operaˇcního systému aktivní, není zde možnost 33

6. U ŽIVATELSKÉ ROZHRANÍ jej deaktivovat cˇ i napˇr. zmˇenit heslo. Pokud není pˇripojen žádný šifrovaný objekt, je zakázané zmˇenit heslo cˇ i jej odpojit. Pokud se uživateli opakovanˇe nedaˇrí úspˇešnˇe vykonat autentizaˇcní operaci, je systémem vyzván k provedení záložní operace.

6.3 Zadávání hesla Pˇrestože se zadávání hesla muže ˚ zdát z pohledu návrhu rozhraní snadné, nemusí tomu tak být. To dokazuje aplikace BitLocker, kde se cˇ ísla zadávají pomocí funkˇcních kláves (viz podkapitolu 5.2). Další komplikace muže ˚ nastat ve chvíli, kdy uživatel neví, jestli používá anglickou, cˇ eskou cˇ i jinou klávesnici. Zapnutí cˇ i vypnutí velkých písmen pomocí Caps Lock nebo aktivace cˇ i deaktivace numerické klávesnice bývá vˇetšinou ošetˇreno kontrolkou na klávesnici. Pˇresto je ale vhodné o tomto stavu uživatele informovat i na obrazovce. Pokud se uživateli opakovanˇe nedaˇrí zadat heslo, pˇrestože si je jistý, že je správné, necítí se úspˇešným [2]. Správný dialog pro zadání hesla by tedy mˇel být zcela jednoznaˇcný a uživatel by nemˇel mít prostor pro odlišnou interpretaci situace. Zadávání hesla je jediným pˇrímým vstupem od uživatele, protože jej nevybírá z pˇredem definovaných možností. Je tedy duležité, ˚ aby chápal, co po nˇem aplikace požaduje a proˇc [3]. 6.3.1 Jak aplikovat Obrazovka zobrazuje kromˇe dialogu pro zadání hesla i informace o aktivním jazyce klávesnice, stavu numerické klávesnice (pokud je pˇrítomna) a o zapnutém cˇ i vypnutém CapsLock. Pˇri vyžádání hesla je také uvedeno, že o toto heslo žádá aplikace pro šifrování, a nejedná se tedy o heslo k operaˇcnímu systému.

6.4 Vytvoˇrení a zmˇena hesla Jestli má mít šifrování smysl, je nutné, aby uživatelé svá data chránili dostateˇcnˇe silným heslem. Ne každý ale ví, co to znamená. Vˇetšina lidí volí snadno zapamatovatelné a tedy i lehce odhadnutelné heslo 34

6. U ŽIVATELSKÉ ROZHRANÍ [23]. Je tedy duležité, ˚ aby aplikace uživatele motivovala k zadání vhodného hesla a zárovenˇ zustala ˚ srozumitelnou. Tento problém muže ˚ být rˇešený mˇerˇiˇcem síly hesla (angl. password meter), cože je „vizuální reprezentace síly hesla“ [23]. Pˇrítomnost tohoto prvku výraznˇe zvyšuje délku hesla a poˇcet velkých/malých písmen, cˇ íslic a speciálních znaku. ˚ Výzkum ukázal [23], že vˇetšina participantu˚ byla schopna se opˇet pˇrihlásit svým heslem (40 % si jej ale uložilo cˇ i poznamenalo1 ). Pˇresto stále pˇretrvávají obavy o jeho zapomenutí. Nucením k tvorbˇe velmi silného hesla muže ˚ u uživatele dojít k frustraci a ukonˇcení akce. Pˇrítomnost mˇerˇ iˇce síly hesla vede k zadání silnˇejšího hesla. Protože nˇekteˇrí lidé mají zkušenosti a ví, jak by mˇelo správné heslo vypadat, zatímco jiní mají svou nesprávnou pˇredstavu o dostateˇcném hesle, je tˇreba opˇet zvolit kompromis, který by uživatele nenásilnˇe dovedl ke správnému heslu a zárovenˇ neobtˇežoval ty zkušené. Pokud je mˇerˇ iˇc síly hesla pˇríliš pˇrísný, nˇekteˇrí uživatelé dospˇejí k závˇeru, že nefunguje správnˇe. Z již zmínˇeného výzkumu [23] vyplývá, že nejvhodnˇeji na uživatele pusobí ˚ pˇrítomnost indikátoru prubˇ ˚ ehu, který znázornuje, ˇ jak blízko se zadávané heslo blíží doporuˇcenému. Použití barev je také velmi duležité. ˚ Nˇekterým uživatelum ˚ staˇcí dostat se z cˇ ervené zóny, jiní potˇrebují zelenou (pˇríp. modrou) jako znamení úspˇechu. Mezi tˇemito dvˇema barvami muže ˚ být ještˇe oranžová, která znaˇcí, že heslo je stˇrednˇe bezpeˇcné. Není vhodné spoléhat se pouze na barevnou indikaci kvuli ˚ barvoslepé cˇ ásti populace. Uživatel je o svém úspˇechu informován také textovˇe, a to pomocí výrazu˚ (jejichž význam je opˇet barevnˇe zduraznˇ ˚ en) „slabé“ (ˇcervená), „stˇrední“ (žlutá) a „silné“ (zelená). Aby mˇeli uživatelé jistotu, že mˇerˇ iˇc síly hesla skuteˇcnˇe funguje a nemˇeli pocit neúspˇechu, je vhodné zobrazit kontrolní seznam (angl. check list), kde se cˇ ervenˇe zobrazí nesplnˇené body (napˇr. musí obsahovat alesponˇ 1 cˇ íslici). Takto mohou uživatelé i lépe pochopit, jak je jejich heslo hodnoceno. Nastavení mˇerˇ iˇce síly hesla tak, aby odpovídal oˇcekávání uživatelu˚ je problematické, protože každý uživatel má jinou pˇredstavu. Je tedy vhodné dát uživateli k dispozici zásady, podle kterých je heslo vyhodnocováno. Tato doporuˇcení jsou uživateli z duvodu ˚ pre1. V tomto pˇrípadˇe je vhodné použití správce hesel. Aplikace na šifrování disku muže ˚ uživateli doporuˇcit použití tohoto nástroje.

35

6. U ŽIVATELSKÉ ROZHRANÍ

Obrázek 6.1: Návrh dialogu pro vytvoˇrení hesla

Obrázek 6.2: Ukázka prvotního papírového prototypu – Vytvoˇrení nového hesla

36

6. U ŽIVATELSKÉ ROZHRANÍ vence chyb pˇredložena okamžitˇe, aby nebyl až po zadání nevhodného hesla upozornˇen na porušení zásady [3]. Heslo by mˇelo z pohledu útoˇcníka vypadat jako série náhodných znaku, ˚ což je pro cˇ lovˇeka velice obtížné vytvoˇrit. Pˇríklad zásad bezpeˇcného hesla je následující2 [24]: •

malá písmena,

•

velká písmena,

•

cˇ íslice,

•

speciální znaky (napˇr. interpunkˇcní znaménka),

•

alesponˇ 14 znaku˚ (náhodné posloupnosti vygenerované poˇcítacˇ em, jinak více),

•

nepoužívat jména, data, bˇežná slova ze slovníku (v jakémkoli jazyce), jednoduché rˇ etˇezce (napˇr. 123456),

•

[25] ještˇe pˇridává, že heslo by nemˇelo být stejné jako uživatelské jméno cˇ i obsahovat nˇejakou jeho cˇ ást.

Uživatel by také nemˇel používat stejné heslo pro více služeb [24], což v rozhraní aplikace není možné ošetˇrit. Protože je pro poˇcítaˇc snadné vygenerovat náhodné heslo, které je mnohem bezpeˇcnˇejší než heslo vytvoˇrené uživatelem, muže ˚ být v nˇekterých pˇrípadech vhodné uživateli nabídnout možnost takové heslo vygenerovat. Toto rˇešení není vhodné z pohledu bezpeˇcnosti, protože útoˇcník muže ˚ heslo zjistit pouze jedním pohledem na obrazovku. ˇRešením bezpeˇcnosti a zapamatovatelnosti hesla bývá heslo založené na frázi [25, 24]. Není podmínkou pro vytvoˇrení dobrého hesla, je ale dobrým doporuˇcením, se kterým by mˇel být uživatel seznámen. Pro zvýšení bezpeˇcnosti je duležitá ˚ také pravidelná zmˇena hesla. Nˇekteˇrí lidé o tomto doporuˇcení neví cˇ i pro nˇe muže ˚ být velkou zátˇeží myslet na to, kdy si mají vstupní kombinaci zmˇenit. Aplikace tedy po pravidelných cˇ asových intervalech muže ˚ uživatele upozornit na potˇrebu zmˇenit heslo [3]. Ovšem i zde je tˇreba brát v potaz, že 2. Tyto zásady se mohou lišit v závislosti na firemní politice, duležitosti ˚ služby cˇ i operace, pro kterou je heslo použito apod.

37

6. U ŽIVATELSKÉ ROZHRANÍ pokud je uživatel donucen ke zmˇenˇe hesla, muže ˚ je zaˇcít tvoˇrit ménˇe bezpeˇcná [23]. 6.4.1 Jak aplikovat Pˇri vytvoˇrení nového hesla je uživatel vyzván k tomu, aby jej vepsal do pˇríslušných polí. U prvního pole je i indikátor prubˇ ˚ ehu, který znaˇcí sílu zmˇenou barvy, a to od cˇ ervené pˇres žlutou až po zelenou. Pro potvrzení je zde i textové ohodnocení síly hesla, které je opˇet zduraz˚ nˇeno pˇríslušnou barvou. Vedle je zobrazen seznam pravidel, které musí heslo splnovat. ˇ Pokud je zásada splnˇena, je oznaˇcena zelenou fajfkou, a pokud ne, tak cˇ erveným kˇrížkem. Je zde také upozornˇení, že lze použít i heslo založené na frázi. Po umístˇení kurzoru myši je zobrazeno struˇcné vysvˇetlení této strategie. Protože se jedná o pruvodce, ˚ je zde použita pyramidová navigace, kde výchozí volbou je nedestruktivní Pokraˇcovat a je zde použit i indikátor prubˇ ˚ ehu s poˇctem již vykonaných a zbývajících kroku. ˚ Návrh dialogu pro vytvoˇrení nového hesla je vyobrazen na 6.2.

6.5 Výbˇer šifrovacího algoritmu, autentizaˇcní operace, souborového systému a zálohy obnovovacího klíˇce Zejména u šifrovacích algoritmu˚ uživatelé vˇetšinou neví, jaký vybrat, protože jejich cílem je pouze dokonˇcení úlohy. Není možné oˇcekávat, že si budou pamatovat názvy možností pro další použití, ale je pravdˇepodobné, že si zapamatují prostˇredí, kde se volba nachází. Využívá se tedy zvyku, ˚ které má uživatel odjinud, nabídky krátkého seznamu voleb a rozumného výchozího nastavení [3], což je vhodné použít i pro výbˇer autentizaˇcní operace, zálohy obnovovacího klíˇce a souborového systému. Nastavení veškerých možností, které lze nahradit výchozími hodnotami, je doporuˇceno skrýt pod pokroˇcilé volby a vše ostatní dát na jednu obrazovku [18]. Protože by se však ve zde navrhovaném rozhraní jednalo pouze o volbu nastavení šifrovacího algoritmu, nepovažuji za nutné tento výbˇer oddˇelovat. 38

6. U ŽIVATELSKÉ ROZHRANÍ 6.5.1 Jak aplikovat Šifrovací algoritmy, autentizaˇcní operace, souborové systémy a zpu˚ soby zálohy obnovovacího klíˇce jsou nabízeny prostˇrednictvím jednovýbˇerového seznamu (anglicky single-selection list), kde je nutný výbˇer právˇe jedné položky. Výhodou tohoto rˇ ešení je viditelnost nˇekolika položek zároven, ˇ což znaˇcí, že je zde možnost volby. Tento seznam je použit ještˇe v kombinaci s popiskem, kde jsou zobrazeny jednotlivé charakteristiky. Uživateli jsou tedy nabídnuty dostupné volby a pokud nˇejakou z nich oznaˇcí, je ve vedlejším oknˇe zobrazena její charakteristika. Je dobré také implementovat skok na položku, kdy je možné mezi položkami vyhledávat zadáním poˇcáteˇcních písmen. Jako výchozí je nabídnut vždy takový šifrovací algoritmus, který je aktuálnˇe považován za nejvíce bezpeˇcný. Stejnˇe je tomu i u autentizaˇcní operace a zálohy obnovovacího klíˇce.

6.6 Externí zaˇrízení Použitím externích zaˇrízení je zde myšleno jejich pˇripojení a odpojení.3 Aby nedošlo k omylu, není vhodné uživateli nabídnout formátování disku po jeho pˇripojení. I ten, kdo je oprávnˇen k datum ˚ pˇristupovat, by si nemusel v danou chvíli uvˇedomit, že se jedná o šifrované zaˇrízení, a mohl by tak svá data neúmyslnˇe zniˇcit. Výjimku by mohl tvoˇrit pˇrípad, kdy by bylo nutné utajovat samotnou existenci dat; zde by bylo možné uživateli nabídnout formátování. V pˇrípadˇe, že uživatel k externímu zaˇrízení nezná heslo (ztratil jej cˇ i zapomnˇel), je možné jej zformátovat, cˇ ímž dojde ke ztrátˇe dat, ale disk je možné nadále používat. Z duvodu ˚ pˇredcházení chybám [4] je pˇri tvorbˇe šifrovaného externího zaˇrízení duležité ˚ upozornit, že se jedná o destruktivní operaci. Pro lepší pˇrehlednost je ale vhodné, aby bylo toto upozornˇení struˇcné, a proto jej omezit jen na to nejnutnˇejší.

3. Externí zaˇrízení jsou také používána místo hesla jako nezbytný prvek k dešifrování šifrovaného objektu. Toto zaˇrízení staˇcí pˇripojit k poˇcítaˇci a dále již není nutné od uživatele získávat další vstupy.

39

6. U ŽIVATELSKÉ ROZHRANÍ 6.6.1 Jak aplikovat Pruvodce ˚ vytvoˇrení nového externího šifrovaného zaˇrízení je podobný jako pˇri tvorbˇe kontejneru, aby se uživatel nemusel uˇcit orientaci v novém prostˇredí. Po zašifrování zaˇrízení je nabídnuta možnost jej otevˇrít. Pˇri pˇripojení šifrovaného disku je uživatel informován o pˇridání externího zaˇrízení k poˇcítaˇci, které však nelze použít, dokud nebude provedena pˇríslušná autentizaˇcní operace. Tento úkon je automaticky vyžádán, a to okamžitˇe po pˇripojení disku, pokud je na poˇcítaˇci nainstalován pˇríslušný software, ve kterém je možné disk dešifrovat4 . Pokud by ale uživatel uzavˇrel možnost provedení pˇríslušné operace a pak ji chtˇel opˇet vykonat, muže ˚ tak uˇcinit i pˇres aplikaci (viz 6.1).

6.7 Nápovˇeda Pˇrestože by rozhraní mˇelo být sebevypovídající, je dobré dát uživatelum ˚ nˇejakou další nápovˇedu, která je nebude pˇríliš obtˇežovat. Pˇrestože je online nápovˇeda výhodná z pohledu použitelnosti, v pˇrípadˇe bezpeˇcnostních aplikací to není dobré rˇ ešení. Lze tak totiž zjistit, že osoba, která použila online nápovˇedu, používá aplikaci na šifrování disku a muže ˚ tedy vlastnit potenciálnˇe zajímavá data [26]. 6.7.1 Jak aplikovat Nápovˇeda je realizována skrze pomocné tipy (anglicky tool tips), což je pár slov cˇ i krátká vˇeta, která se zobrazí pˇri umístˇení kurzoru myši na konkrétní tlaˇcítko cˇ i volbu [3].

6.8 Pruvodce ˚ pˇri tvorbˇe a správˇe šifrovaných objektu˚ Nelze vyˇrešit veškeré problémy v rozhraní, ale duležité ˚ je najít co nejvhodnˇejší rˇ ešení [2]. Je zde tedy potˇreba zvolit jistý kompromis, aby uživatel nebyl zbyteˇcnˇe obtˇežován nastavováním parametru. ˚ Pokud ale bude chtít, mˇel by mít možnost výchozí nastavení zmˇenit. Jedním 4. Tento software se musí pˇri pˇripojení každého zaˇrízení pokusit rozpoznat, jestli je používáno šifrování cˇ i nikoli.

40

6. U ŽIVATELSKÉ ROZHRANÍ z rˇ ešení by mohlo být pˇrizpusobení ˚ si programu každým uživatelem na míru. Toto rˇešení nemusí být vhodné z nˇekolika duvod ˚ u, ˚ jak uvádí [2]. Za prvé si uživatel musí pˇrizpusobení ˚ dukladnˇ ˚ e promyslet a musí mu být dostupné možnosti, ze kterých vybírá. Uživatel však nemusí dˇelat vždy vhodná rozhodnutí. Za druhé, dialog pro osobní nastavení funkcí potˇrebuje také uživatelské rozhraní, což zvyšuje složitost systému a nutí uživatele k dalšímu uˇcení a zatˇežuje jej. Za tˇretí, pˇríliš mnoho pˇrizpusobení ˚ vede k vysoké individualizaci systému, se kterým vˇetšinou dokáže pracovat pouze ten, který si jej takto pˇrizpusobil. ˚ To je nevýhodou, pokud nastane nˇejaký problém a uživatel potˇrebuje radu napˇr. od svých kolegu. ˚ Nastavení všech parametru˚ pˇri vytváˇrení šifrované jednotky muže ˚ být považováno za komplikovanou úlohu, kterou uživatelé neprovádˇejí pˇríliš cˇ asto. Pro realizaci jsem tedy vybrala pruvodce ˚ (anglicky Wizard), který provádí úlohou krok za krokem. Tento pruvodce ˚ by mˇel být co nejstruˇcnˇejší a nejkratší, protože pˇri cˇ astˇejším používání muže ˚ uživatele zaˇcít obtˇežovat [3]. Zkrácení pruvodce ˚ je docíleno pomocí nastavovacích editoru˚ (anglicky Settings Editor), ve kterých je na malém prostoru umožnˇeno nastavit velké množství voleb. Jedná se o snadno vyhledatelnou a sobˇestaˇcnou obrazovku. Pˇri výbˇeru velikosti šifrovaného kontejneru je zcela nevhodné klást na uživatele omezení pouze slovní, nechat jej zadat jakýkoli vstup a následnˇe jej zamítnout [3]. Uživatelé si nepamatují název každé šifry a její charakteristiku, je tedy tˇreba zobrazit nabídku, ze které uživatel vybírá. Rychlejším rˇešením, než zobrazování nových oken pro každou šifru, je nabídnutí veškerých podporovaných šifer pomocí jedno-výbˇerového seznamu. Uživatelé nemusí chtít vždy mˇenit nastavení, mohou se chtít jen podívat, jaký je souˇcasný stav, proto je duležité ˚ jim tento náhled umožnit [3]. Od nastavování parametru˚ je vhodnˇejší oddˇelit zadání hesla, protože pokud by bylo vše na jedné obrazovce, útoˇcník by mohl zjistit název souboru a jisté informace o podobˇe hesla pouze jedním pohledem na obrazovku monitoru.

41

6. U ŽIVATELSKÉ ROZHRANÍ 6.8.1 Jak aplikovat Uživateli je povoleno nastavit velikost šifrovaného kontejneru a zvolit souborový systém (toto je možné provést pouze pokud vytvoˇril nový soubor, pokud vybral již existující, který chce zašifrovat, jsou tyto možnosti zakázány), vybrat šifrovací algoritmus (viz podkapitolu 6.5) a autentizaˇcní operaci. Velikost je nastavována pomocí šoupátka (anglicky slider) a textového pole, kde uživatel vidí nejenom to, jakou minimální a maximální velikost kontejneru muže ˚ zvolit, ale i pˇresnou cˇ íselnou hodnotu. Nastavit velikost muže ˚ jak kurzorem myši potažením šoupátka, tak vepsáním hodnoty do textového pole.

6.9 Doporuˇcení Je vhodné také pˇridat ruzné ˚ ikony, které by uživateli pomohly snáze pochopit význam akce, a to následující obrázky: tužka pro úpravu šifrovaného zaˇrízení (zmˇenu hesla), cˇ ervený kˇrížek pro odpojení daného objektu, trezor se znaménkem plus pro vytvoˇrení a bez znaménka pro pˇripojení šifrovaného kontejneru, poˇcítaˇc (ˇci v souˇcasné dobˇe spíše notebook) pro zašifrování operaˇcního systému a externí USB disk s malým zámkem a znaménkem plus pro vytvoˇrení nového externího šifrovaného zaˇrízení a bez znaménka pro otevˇrení disku již existujícího.

42

7 Závˇer Uživatelé mají velký potenciál mylnˇe si vykládat cˇ ásti rozhraní a pro vykonání práce využít jinou cestu, než jakou zamýšlel vývojáˇr [2]. Je tedy tˇreba nepodcenit návrh rozhraní, porozumˇet uživatelum, ˚ jejich potˇrebám a úlohám. Toto poznání bylo realizováno prostˇrednictvím dotazníku. Dotazník se pˇríliš neosvˇedˇcil pro uživatele z rˇ ad inforˇ matických odborníku, ˚ protože jim pˇrišel málo technický. Rešením by mohlo být vysvˇetlení, k cˇ emu je dotazník duležitý, ˚ cˇ i jej zcela vynechat a provést interview cˇ i pozorování pˇri práci v pˇrirozeném prostˇredí. Obˇe tyto techniky jsou více nároˇcné na realizaci a je potˇreba více hodnotitelu, ˚ proto jich nebylo využito. Potˇreby uživatelu˚ byly shrnuty pomocí dvou uživatelských rolí, a to korporátní a pokroˇcilé. Prostˇrednictvím diagramu pˇrípadu˚ užití a textové specifikace byly upˇresnˇeny požadavky na funkcionalitu, kterou by mˇelo navrhované rozhraní umožnovat. ˇ Pokud by byly souˇcasné aplikace, které nabízejí realizaci úloh stanovených výše, uživatelsky pˇrívˇetivé, byl by obdobný návrh zbyteˇcností. Pomocí heuristické analýzy již existujících aplikací pro šifrování disku˚ jsem ukázala, že tomu tak není. Aˇckoli již existuje návrh nového rozhraní, je urˇcený pouze pro TrueCrypt a zabývá se pouze dvˇema operacemi [18]. Na základˇe získaných informací byly navrženy zásady a doporucˇ ení pro tvorbu rozhraní aplikace pro šifrování disku. Ukázky obrazovek uvedené v pˇríloze B nejsou souˇcástí žádného rozhraní. Jedná se o prototypy. Tyto návrhy jsou vhodné pro testování s reálnými uživateli [16], kteˇrí mohou odhalit další chyby v návrhu cˇ i upozornit na opomenuté akce. Navázáním na tuto práci by mohlo být testování daného návrhu. Dle výsledku˚ tohoto ovˇerˇ ení je následnˇe tˇreba rozhraní upravit, aby více odpovídalo potˇrebám uživatelu. ˚ Z etického hlediska je nutné peˇclivˇe pˇripravit materiály k testování, proto prvotnímu návrhu rozhraní byla vˇenována peˇclivá pozornost. Výstupem práce je tedy soubor doporuˇcení a návrh aplikace pro šifrování disku, která by mˇela být jednodušší a tedy i intuitivnˇejší, a to ve formˇe prototypu, který byl vytvoˇren pomocí programovacího jazyka Java. Po otestování a úpravˇe rozhraní je vhodné aplikaci implementovat. 43

Bibliografie 1 HABIB, Sobia. SECURE COMMUNICATION OF SECRET DATA USING Steganoghraphy. International Journal of Computer Science and Mobile Computing. 2013. 2 NIELSEN, Jacob. Usability Engineering. Boston: AP Professional, 1993. ISBN 0125184069. 3 TIDWELL, Jenifer. Designing Interfaces. Canada: O’Reilly, 2011. ISBN 9781-449-37970-4. 4 NIELSEN, Jacob. 10 Usability Heuristics for User Interface Design [online]. [cit. 2015-06-13]. Dostupný z WWW: hhttp://www.nngroup. com/articles/ten-usability-heuristics/i. 5 BEN SHNEIDERMAN, Catherine Plaisant. Designing the User Interface: Strategies for Effective Human-Computer Interaction. Boston: Pearson Education, 2005. ISBN 0321197860. 6 MERKLE, Ralph C. Fast Software Encryption Functions. In. Lecture Notes in Computer Science. 2001. 7 LUKS. [online]. [cit. 2015-12-14]. Dostupný z WWW: hhttps : / / gitlab.com/cryptsetup/cryptsetupi. 8 Zákon cˇ . 89/2012 Sb. ze dne 3. února 2012, Obˇcanský zákoník. In. Sbírka zákonu. ˚ 1. 1. 2014, roˇc. 2012, cˇ ástka 33. 9 RED HAT, Inc. Investor FAQs [online]. [cit. 2015-03-31]. Dostupný z WWW: hinvestors.redhat.com/faq.cfmi. 10 PRUITT JOHN, Adlin Tamara. The Persona Lifecycle: Keeping People in Mind Throughout Product Design. Amsterdam: Morgan Kaufmann Publishers, 2006. ISBN 0 12 566251 3. 11 MACIASZEK, Leszek A. Requirements Analysis and System Design: Developing Information Systems with UML. Harlow: AddisonWesley, 2001. ISBN 0 201 70944 9. 12 TrueCrypt. [online]. 2015 [cit. 2015-11-23]. Dostupný z WWW: hhttps: //github.com/DrWhax/truecrypt-archivei.

45

BIBLIOGRAFIE 13 MICROSOFT. Ochrana souboru˚ nástrojem BitLocker Drive Encryption [online]. [cit. 2015-06-16]. Dostupný z WWW: hhttp://windows. microsoft . com / cs - cz / windows / protect - files - bitlocker drive-encryption#1TC=windows-7i. 14 zuluCrypt. [online]. 2015 [cit. 2015-08-19]. Dostupný z WWW: hhttp: //mhogomchungu.github.io/zuluCrypt/i. 15 LibreCrypt. [online]. 2015 [cit. 2015-11-28]. Dostupný z WWW: hhttps: //github.com/t-d-k/LibreCrypti. 16 JEFFREY RUBIN, Dana Chisnell. Handbook of Usability Testing: How to Plan, Design, and Conduct Effective Tests. 2. vyd. Indianopolis: Wiley Publishing, 2008. ISBN 9780470185483. 17 NIELSEN, Jacob. How to Conduct a Heuristic Evaluation [online]. [cit. 2015-09-05]. Dostupný z WWW: hhttp://www.nngroup.com/ articles/how-to-conduct-a-heuristic-evaluation/i. 18 SUMEET GUJRATI, Eugene Vasserman. The Usability of TrueCrypt, or How I Learned to Stop Whining and Fix an Interface. CODASPY’13. 2013. 19 MICROSOFT. Lepší ochrana vašich souboru˚ pomocí nástroje BitLocker - Nápovˇeda Microsoft Windows [online]. [cit. 2015-06-16]. Dostupný z WWW: hhttp://windows.microsoft.com/cs-cz/windows8/bitlocker-drive-encryptioni. 20 MORRIS, Thomas. Trusted Platform Module. In TILBORG, HenkC.A. van; JAJODIA, Sushil (ed.). Encyclopedia of Cryptography and Security. 2011. ˇ 21 MACEK, Pavel. Návrh uživatelského rozhraní aplikace pro správu úkolu: ˚ diplomová práce. Brno: Masarykova univerzita, 2010. 22 NORMAN, Donald A. The Design Of Everyday Things. New York: BasicBooks, 1988. ISBN 978-0-465-05065-9. 23 UR, Blase et al. How Does Your Password Measure Up? The Effect of Strength Meters on Password Creation. In. Presented as part of the 21st USENIX Security Symposium (USENIX Security 12). Bellevue, WA: USENIX, 2012, s. 65–80. ISBN 978-931971-95-9. 24 KISSELL, Joe. Are Your Password Safe? Macworld. 2013, roˇc. 30, cˇ . 3, s. 46–55. ISSN 07418647. 46

BIBLIOGRAFIE 25 Nesprávné metody vytváˇrení hesla. [online]. 2015 [cit. 2015-10-29]. Dostupný z WWW: hhttp://www.bezpecnyinternet.cz/zacatecnik/ hesla/nespravne-metody-vytvareni-hesla.aspxi. 26 BROŽ MILAN, Wagner Arno. Frequenty Asked Questions: Backup and Data Recovery [online]. 2015 [cit. 2015-11-28]. Dostupný z WWW: hhttps://goo.gl/2pkrIZi.

47

A Dotazník

49

A. D OTAZNÍK

50

A. D OTAZNÍK

51

A. D OTAZNÍK

52

B Obrazovky

Obrázek B.1: Návrh zadávání hesla pˇri startu operaˇcního systému

Obrázek B.2: Návrh obrazovky pro vytvoˇrení šifrovaného objektu

53

B. O BRAZOVKY

Obrázek B.3: Návrh dialogu pro vytvoˇrení hesla

Obrázek B.4: Návrh dialogu pro zmˇenu hesla

Obrázek B.5: Odezva aplikace pˇri vytváˇrení šifrovaného objektu 54

B. O BRAZOVKY

Obrázek B.6: Návrh základního okna pˇri aktivním šifrování operaˇcního systému

Obrázek B.7: Návrh základního okna pˇri neaktivním šifrování operaˇcního systému

55

012345

Recommend Documents