ルークよ， Signal を使え！

「なぜジョニーは今もやっぱり暗号化できないのか：現在のPGPクライアントの使いやすさ評価 - YAMDAS現更新履歴」経由。

• Why Johnny Still, Still Can’t Encrypt: Evaluating the Usability of a Modern PGP Client
• Why do encryption tools suck? / Boing Boing

タイトルだけ見て最初に思ったのは「PGP ってゆーな¹」だったが，それはともかく

In our study of 20 participants, grouped into 10 pairs of participants who attempted to exchange encrypted email, only one pair was able to successfully complete the assigned tasks using Mailvelope. All other participants were unable to complete the assigned task in the one hour allotted to the study. This demonstrates that encrypting email with PGP, as implemented in Mailvelope, is still unusable for the masses.

10% 以下かよ orz

1990年代からカジュアルに PGP を使ってて，あまつさえ Becky! 用のプラグインまで自作してしまった² 身としては，かなり衝撃的ではあったが，まぁそんなもんかなぁ。

ちなみに Mailvelope は Chrome や Firefox の拡張機能として使える MUA（Mail User Agent）で， Gmail などと連携して使える。 以前にも紹介したが， EFF の Secure Messaging Scorecard で MUA の中では（PFS の項目を除いて³）唯一満点だった製品である。 Mailvelope は OpenPGP 実装を含んでいるため GnuPG や PGP のような製品を必要としない利点がある。

• mailvelopeの使い方 | セキュリティの意識と知識

この論文については Bruce Schneier さんも言及している。

I have recently come to the conclusion that e-mail is fundamentally unsecurable. The things we want out of e-mail, and an e-mail system, are not readily compatible with encryption. I advise people who want communications security to not use e-mail, but instead use an encrypted message client like OTR or Signal.

正論ですね。 そういうことです。

そういえば， Open Whisper Systems の TextSecure は Signal に統合された。

• Open Whisper Systems » Blog » Just Signal
• Signal Private Messenger - Google Play

暗号化通話アプリの RedPhone も Signal に統合された。 Signal は SMS を置き換えることができ，ローカルストレージにあるログもちゃんと暗号化される。 オススメである。

いや，もう，マジ LINE とか捨てて欲しい。 Facebook もくだらない「セキュリティ劇場」で遊んでないで， OTR くらい組み込めや。

メッセージングの主体が PC からスマホなどの携帯端末にシフトしている状態で電子メールの有効性は下がってきていると思う。 もちろん仕事などではまだまだ PC や Workstation を使うことも多いし，対外的には電子メールが主体になると思うけど，たとえばグループウェアに XMPP＋OTR を組み込んでいくなら，やはり電子メールは無用の長物になっていくだろう。