Capítulo 5. Tópicos

Este capítulo trata temas misceláneos que no se ajustan a otros capítulos del manual de usuario. A medida que se vayan añadiendo nuevos temas, se pueden ir creando nuevos capítulos con éstos. Sugerencias sobre temas que no han sido tratados son bienvenidas. ¡Mejor aún si estas sugerencias vienen acompañadas por un boceto o esquema sobre el tema sugerido!

Escribir interfaces de usuario

Alma Whitten y Doug Tygar han hecho un estudio sobre la interfaz de usuario de PGP 5.0 de NAI, llegando a la conclusión de que los usuarios nuevos encuentran PGP confuso y frustrante. En su estudio sobre factores humanos, sólo cuatro de cada doce de los sujetos en estudio consiguieron enviar correctamente correo cifrado a los miembros de su equipo, y tres de cada doce enviaron el correo secreto sin ningún tipo de cifrado. Más aún, la mitad de los sujetos del estudio poseían conocimientos técnicos.

Estos resultados no son sorprendentes. PGP 5.0 tiene una bonita interfaz de usuario que es excelente si ya comprendemos el funcionamiento de la criptografía de clave pública, y si estamos familiarizados con el modelo de gestión de claves del anillo de confianza, especificado por OpenPGP. Por desgracia, los usuarios nuevos no entienden ni la criptología de clave pública, ni la gestión de claves, y la interfaz de usuario no es de ninguna ayuda en este caso.

Alguien que estuviera diseñando una interfaz de usuario, debería leer el estudio de Whitten y Tygar sin lugar a dudas. En él se dan detalles específicos sobre cada uno de los sujetos sometidos a estudio, y esos comentarios son interesantes. Por ejemplo, parece ser que muchos de los sujetos creían que un mensaje enviado a otra persona, debía ser cifrado con la clave pública del remitente. Reflexionemos un minuto sobre esto, y nos daremos cuenta de que es un fallo muy fácil de cometer. Por lo general, los nuevos usuarios tienen dificultades en comprender los propósitos diferentes de las claves públicas y de las privadas en GnuPG. Un diseñador de una interfaz de usuario debería intentar aclarar en todo momento cuándo una de las dos claves debe ser usada. Se podría usar ayudas guiadas, u otras técnicas de interfaz gráfica de usuario (GUI), con el fin de guiar al usuario en tareas tan comunes como la generación de claves, donde pasos extras como la generación de un certificado de revocación y hacer una copia de seguridad, son esenciales para el uso correcto de GnuPG. Otros comentarios sobre el estudio se incluyen a continuación.

Diseñar una interfaz de usuario efectiva para la gestión de claves es todavía más difícil. El modelo de anillos de confianza de OpenPGP es, por desgracia, bastante rígido. Por ejemplo, la especificación impones el uso de tres niveles de confianza arbitrarios: none (ninguna), marginal (idem), y complete (total). Todos los grados de confianza que pueda sentir el usuario deben ajustarse a esos tres. La validación del algoritmo también es difícil de comprender para aquellos que no sean muy expertos, en particular las nociones de ``marginals needed'' y ``completes needed''[2]. Pero ya que el modelo de anillos de confianza está bien especificado y no se puede cambiar, hay que hacerlo lo mejor posible y diseñar una interfaz de usuario que ayude a clarificárselo de cara al usuario. Por ejemplo, una mejora sería generar un diagrama de cómo ha sido validada una clave, al ser requerida por el usuario. A continuación algunos comentarios relevantes del estudio.

Notas

[1]

Del documento original en inglés, ya que en castellano la palabra «encriptar» es incorrecta, mientras que la correcta es «cifrar». Así pues, en este caso y en castellano, estas dos palabras no son sinónimos.

[2]

Cuántas firmas que tengan asignada «confianza marginal» y cuántas firmas que tengan asignada «confianza completa» son necesarias