Questo capitolo riguarda argomenti disparati che non hanno trovato posto in altre parti di questo manuale. Quando verranno aggiunti ulteriori paragrafi, essi potrebbero venir raccolti e ripartiti in capitoli a sé stanti. Se si desidera venga trattato un particolare argomento, si prega di mandare un suggerimento o, ancora meglio, si potrebbe volontariamente scrivere una prima bozza riguardante l'argomento suggerito!
Alma Whitten e Doug Tygar hanno affrontato uno studio sull'interfaccia utente di PGP 5.0 della NAI giungendo alla conclusione che i neo-utenti di PGP lo trovano confuso e frustrante. Nel loro studio sul fattore umano, solo quattro di dodici soggetti testati sono stati in grado di spedire correttamente un messaggio di posta elettronica cifrato ai membri del proprio gruppo, e tre su dodici hanno spedito il messaggio segreto senza criptarlo. Inoltre, la metà dei soggetti sotto test avevano delle basi tecniche.
Questi risultati non sono sorprendenti. PGP 5.0 possiede una graziosa interfaccia utente che si rivela eccellente se si sa già come funziona la crittografia a chiave pubblica e si ha familiarità con il modello di gestione delle chiavi e della rete della fiducia specificato da OpenPGP. Sfortunatamente i nuovi utenti non sanno né di crittografia a chiave pubblica né di gestione di chiavi e l'interfaccia utente può aiutare ben poco.
È certamente opportuno leggere il rapporto di Whitten e Tygar se si sta per scrivere un'interfaccia utente. Vengono infatti raccolti e descritti in dettaglio i commenti specifici forniti da ognuno dei soggetti sotto test. Per esempio, si è riscontrato che una maggioranza dei soggetti riteneva necessario cifrare il messaggio da spedire alle altre persone con la chiave pubblica del soggetto stesso. Se ci si riflette un attimo si vedrà che è un errore facile da commettere. In generale gli utenti alle prime armi hanno difficoltà nel comprendere i differenti ruoli giocati dalla chiave pubblica e da quella privata durante l'uso di GnuPG. Come progettista di interfacce utente, si dovrebbe cercare sempre di chiarire quale delle due chiavi si sta usando. Si potrebbero usare dei wizard o altre comuni tecniche GUI per cercare di guidare l'utente attraverso i procedimenti più comuni, come la generazione di chiavi, dove extra passaggi, quali la generazione di un certificato di revoca per una chiave e la creazione di una copia di sicurezza, sono tutto fuorché essenziali nell'uso corretto di GnuPG. Altri commenti derivanti dallo studio sono riportati qui sotto.
La sicurezza è normalmente un obiettivo secondario; le persone vogliono spedire messaggi, navigare e così via. Non si parta dal presupposto che gli utenti sono motivati alla lettura di manuali o alla ricerca di controlli di sicurezza.
La sicurezza di un computer connesso in rete è forte solo quanto lo è la più debole delle parti. Gli utenti hanno bisogno di essere guidati in tutti gli aspetti della loro sicurezza e non lasciati da soli in una esplorazione casuale, come si potrebbero fare con un word processor o un foglio elettronico.
Si utilizzino in modo consistente gli stessi termini per le stesse azioni. Non si alternino l'uso di sinonimi come ``criptatura'' e ``cifratura''.
Si semplifichi la videata per gli utenti inesperti. Troppe informazioni nascondono le informazioni più importanti. Una configurazione della videata iniziale si potrebbe concentrare sul fornire all'utente il corretto modello della relazione fra chiavi pubbliche e private e una chiara comprensione delle funzioni per l'acquisizione e la distribuzione delle chiavi.
La progettazione di un'interfaccia utente efficace per la gestione delle chiavi è ancora più complicata. Il modello della rete della fiducia di OpenPGP è sfortunatamente alquanto ottuso. Per esempio, le specifiche impongono tre livelli arbitrari di fiducia per l'utente: nessuno, marginale e completo. Tutti i gradi di fiducia percepiti dall'utente devono ricadere all'interno di uno di questi tre angusti livelli. L'algoritmo di convalida delle chiavi risulta inoltre difficile da comprendere per chi non è un appassionato di computer, in particolare le nozioni di ``necessità marginale'' e ``necessità completa''. Poiché il modello della rete della fiducia è ben specificato e non può essere modificato, sarà necessario fare del proprio meglio per progettare un'interfaccia utente che aiuti a chiarificare tale modello all'utente. Un sicuro miglioramente, per esempio, si otterrebbe nel generare un diagramma che rappresenti come una chiave è stata validata al momento della richiesta da parte dell'utente. Tra i commenti di un certo rilievo derivanti dal rapporto sono inclusi quelli riportati qui di seguito.
Gli utenti sono spesso incerti su come e quanto garantire gli accessi.
Si dia alta priorità nell'assicurarsi che gli utenti capiscano sufficientemente la loro sicurezza in modo da evitare che commettano errori potenzialmente costosi. Questa categoria di errori include la cancellazione accidentale della chiave privata, la pubblicazione accidentale di una chiave, la revoca accidentale di una chiave, il dimenticarsi della passphrase ed il fallimento nell'effettuare una copia di sicurezza del mazzo di chiavi.