Das Hinzufügen von Benutzernamen zu einer Messaging-App mag wie eine Standardfunktion erscheinen, aber für Signal waren solche Identifikatoren bisher ein Gräuel im Hinblick auf seine Mission der absoluten Privatsphäre und Sicherheit. Die kommende Version 7.0 fügt Benutzernamen hinzu, aber die Präsidentin des Unternehmens, Meredith Whittaker, erklärte, dass dies keineswegs so einfache Entscheidung sei, wie es sich anhört.
Die neue Funktion klingt einfach: Sie registrieren einen Benutzernamen und dieser erscheint anstelle Ihrer Telefonnummer. Aber warum sollte man das überhaupt tun, wenn jeder bereits Kontaktnamen hat und Signal sowieso völlig privat ist?
In einem Interview auf der Bühne von StrictlyVC LAerläuterte Whittaker die Vorbereitungen und Komplikationen, die ihrer Meinung nach mit einem entscheidenden neuen Schutz einhergingen.
„Lassen Sie mich das zunächst anhand eines Beispiels erklären. In Indien ist es seit Kurzem zur Pflicht geworden, sich einem biometrischen Gesichtserkennungsscan zu unterziehen, um eine SIM-Karte zu erhalten. Das passiert nicht nur in Indien, wir sehen auch eine Reihe von Gerichtsbarkeiten, in denen Sie für den Erhalt einer Telefonnummer immer mehr persönliche Informationen angeben müssen. „Einige, an manchen Orten wie Taiwan, sind mit staatlichen ID-Datenbanken verknüpft, die häufig gehackt werden und viele Probleme verursachen“, sagte sie.
In den USA ist das kein so großes Problem, wo es Brenner und SIMs in Hülle und Fülle gibt, private Daten aber auch auf privaten Märkten verfügbar sind. Aber weltweit beschleunigt sich dieser Trend, sagte sie:
„Eine Anfrage, die wir häufig von Journalisten in Konfliktgebieten und von Menschenrechtsaktivisten erhielten, lautete: „Hey, wir lieben es, aber die Telefonnummer ist ein echtes Problem für uns.“ Wir müssen in der Lage sein, mit Menschen zu sprechen, ohne diese Informationen weiterzugeben. Wir müssen in Gruppen von Fremden sein, in denen wir keine Angst davor haben, dass sie uns das antun. Und wir müssen in der Lage sein, Gespräche mit anderen zu beginnen, ohne unsere Telefonnummer preiszugeben, denn das sind meine biometrischen Daten, das ist alles andere, und das kann eine erhebliche Menge an Informationen preisgeben.“
Im Wesentlichen hat sich Signals hartnäckiges Vertrauen auf eine dauerhafte und zunehmend nicht private Kennung, Telefonnummern, von einer legitimen Produktwahl zu einer ernsthaften Bedrohung für eine beträchtliche Anzahl von Benutzern entwickelt. Sie entschieden, dass sie eine optionale Verschleierungsschicht hinzufügen mussten, ohne die Benutzerfreundlichkeit oder Sicherheit zu beeinträchtigen.
„Also haben wir unsere Architektur grundsätzlich auf den Kopf gestellt, um dies zu unterstützen, und zwar auf eine Art und Weise, auf die ich wirklich stolz bin“, sagte Whittaker.
Der entscheidende Schritt bestand darin, Benutzernamen zu implementieren, ohne Signal mit neuen, groß angelegten Moderationspflichten zu belasten.
„Als Signal wollen wir keine Verantwortung für Inhalte übernehmen – wir steigen nicht in das Geschäft mit der Beurteilung von Inhalten ein. Aber natürlich erstellt man mit Benutzernamen traditionell einen neuen Namensraum, oder? Sie erschaffen etwas, das Sie im Grunde überwachen, vielleicht überwachen, vielleicht zensieren müssen.“
Es handelt sich um ein Problem, das weitaus größere Organisationen nur schwer angehen können, da sich Millionen oder Milliarden von Benutzern registrieren und Namen ändern, was an sich schon einen Regelverstoß darstellen könnte – ein Name ist nur eine kurze Zeichenfolge und kann genauso gut „RainbowBubbles“ sein wie „ Alle töten_[insert slur here].“ Identitätsdiebstahl, Betrug und alle Arten von Problemen sind in Feldern für Benutzernamen ebenso möglich wie in Feldern für Beiträge oder Profile.
Die Lösung von Signal hierfür besteht im Wesentlichen darin, die Art und Weise zu beseitigen, wie diese Methoden großen Schaden anrichten, anstatt zu versuchen, sie gänzlich zu verhindern.
„Wir haben, wie ich sagen würde, eine Art „Safety by Design“-Methode gewählt, die es uns ermöglicht hat, unseren Grundsätzen treu zu bleiben, nämlich dass wir diese Arbeit einfach nicht übernehmen“, erklärte Whittaker. Dies bedeutet jedoch nicht nur, dass sie ihre Rolle als Eigentümer der Plattform völlig aufgeben.
„Wir sind nicht bereit, eine Sperrliste oder andere Dinge zu erstellen, um festzustellen, was angemessen ist und was nicht. Aber wir sind auch nicht bereit, neue Angriffsflächen für Schaden zu schaffen, oder? Wir sind uns bewusst, dass dies ein echtes Problem sein kann. So, was werden wir machen? Wir werden es so gestalten, dass wir den Schadensraum minimieren oder, glaube ich, eliminieren“, fuhr sie fort.
„Der Benutzername ist kein Handle. Es wird nicht in der App angezeigt. Dafür haben wir kein Verzeichnis. Aber es ersetzt die Telefonnummer, wenn Sie den Kontakt aufnehmen.“ (Signal hängt den ausgewählten Benutzernamen Nummern an, um sicherzustellen, dass sie eindeutig sind.)
Mit anderen Worten: Das System ist weitaus eingeschränkter als die öffentlichen Profile oder Spam, die Sie möglicherweise auf anderen Plattformen erhalten, die Benutzernamen als kanonische Kennungen für Benutzer verwenden.
Stattdessen bietet der Benutzername eine Möglichkeit, sich gleichzeitig zu identifizieren und zu verbergen; Jemand, der dies anfordert, profitiert von allen Vorteilen der Telefonnummernpflicht von Signal, aber nur wenig von den Risiken der Ausnutzung von Benutzernamen. Sie erhalten den Benutzernamen nur, wenn Sie danach fragen, wodurch die Verantwortung auf die Benutzer übertragen wird, ohne deren Bedürfnisse oder Diskriminierungsfähigkeit zu beeinträchtigen.
„Ich denke, es gibt tatsächlich eine Art Paradigma für sicheres Design mit Integrität, das wir vorantreiben, indem wir der App eine sehr wichtige Ebene des Datenschutzes hinzufügen“, schloss sie.
Die neue Funktion wird im Signal 7.0-Client verfügbar sein. „Und wenn Sie ein Beta-Benutzer sind, können Sie jetzt Ihren Benutzernamen anfordern“, fügte Whittaker hinzu. „Wenn es Ihnen so geht.“
Und das vollständige Interview können Sie sich unten ansehen: