sunnuntai 10. elokuuta 2014

Viestintävirasto viestii taas

Viestintäviraston tehtävä on valvoa viestintää. Sen oma viestintä ei aina kuitenkaan ole ihan parhaasta päästä. Viimeksi jouduin asioimaan virkamiehen kanssa jolla oli vaikeuksia kommunikoida suomeksi. Tällä kertaa sain epäilyttävän näköisen sähköpostiviestin.

Minun silmääni viesti näytti siltä että järjestelmä on oksentanut jotain ylimääräistä metadataa viestiin. Sehän nyt ei olisi mitään uutta, että joku valtion järjestelmä olisi tehty huonosti. Se on enemminkin sääntö kuin poikkeus. Trafikin laittaa autot ajokieltoon jos on maksanut liikaa ajoneuvoveroa. Jos se ei olisi jo varattu, Trafi voisi ottaa sloganikseen "Se nyt on vaan tyhmää maksaa liikaa". Gigantti käyttää lausetta työntekijöidensä palkkakuiteissa.

Minä nyt sentään jotain ymmärrän tekniikasta, mutta mitäpä meinaa ihminen jolle kaikki siihen liittyvä on vähän vierasta, hankalaa ja jopa pelottavaa. Viestintävirasto itsekin varoittelee jatkuvasti toisten nimissä tehdyistä huijausviesteistä ja sähköposteihin ujutetuista haittaohjelmista. Usein sähköpostin esikatselussa näkyy vain pari riviä, jos ne pari riviä sisältävät jotain epäilyttävää niin sähköposti menee herkästi suoraan roskakoriin. Viestintävirastohan viestii suomeksi eikä jollain kummalla konekielellä. Vai viestiikö?

Ylimääräinen tekstiosa viestin alussa ja lopussa osoittautui kuitenkin, ei väärässä paikassa olevaksi metadataksi, vaan PGP-allekirjoitukseksi. Sen tarkoitus on todistaa vastaanottajalle että viesti on aito ja tulee oikealta lähettäjältä. Sen vaikutus voi kuitenkin olla täysin päinvastainen, jos vastaanottaja ei ymmärrä mistä on kyse.

PGP allekirjoitus on epämääräisen näköinen
Viestintävirastolla ajatellaan, että pitkä merkkijono
vailla selitystä herättää luottamusta.

Viestintävirastolla on nyt onnistuneen viestinnän ajatus täysin kateissa. Allekirjoitus tekee viestistä luotettavan vain kahdessa tapauksessa. Vastaanottajan täytyy tietää mitä se tarkoittaa ja sen pitää myös pystyä tarkistamaan allekirjoituksen aitous, muutenhan se on vain merkkijono. Jos joku alkaa epäillä viestin aitoutta, se menee todennäköisesti sutjakasti roskiin. Asian voi toki googlettaa, mutta sen varaan ei pidä missään laskea. Googlettelija ei myöskään välttämättä ymmärrä lukemaansa eikä asia avaudu oikein. Ihmisille suunnatussa viestinnässä ei voi ajatella että kyllä ne varmaan tajuu. Lähtökohtana pitää olla se että viestitään niin että tyhmempikin tajuaa varmasti. Paikoissa joissa on jonkinlainen tulosvastuu, tämä on useimmiten itsestäänselvyys. Epäonnistunut viestintä on yhtä kuin epäonnistunut bisnes. Viestintävirastoa tämä ei luonnollisesti koske.

Siinä piilee myös vaara että asian googlettaa vain  pintapuolisesti ja toteaa että jee, hyvä juttu. Allekirjoituksesta ei ole edelleenkään hyötyä jos sitä ei ei voi todeta oikeaksi. Jos ihminen luottaa siihen että tarkistamatonkin allekirjoitus on takaus aitoudesta, on kalastelijan helppo copypastettaa sopivan näköinen teksti viestiin.

Jos siis tällaista allekirjoitusta käytetään, pitää viestin vastaanottajalle kertoa, että mikä se on ja miten sen avulla voi varmistua viestin aitoudesta. Muuten se tekee viestistä vain epäilyttävän näköisen.

Viestin voisi aloittaa vaikkapa näin:

Tässä viestissä on PGP-allekirjoitus jonka avulla voit varmistua viestin lähettäjän aitoudesta. Allekirjoituksen aitouden voit tarkistaa...

Jos viestin esikatselussa näkyy hyvin kirjoitettua suomea, se näyttää jo heti paljon luotettavammalta kuin englannin kieli ja tuntemattomat kirjainyhdistelmät. Toki on mahdollista myös väärentää linkki joka väittäisi väärää allekirjoitusta oikeaksi jos joku sitä alkaa tarkistelemaan vailla parempaa osaamista. Jos tämän kaltaiset allekirjoitukset yleistyvät, se lisätään varmasti rikollisten työkalupakkiin (vai lieneekö jo lisätty?).

Viestintävirastolta on päässyt täysin unohtumaan että ihmisille hallintoalamaisille pitää viestiä sillä tavalla että ne ymmärtävät. Luottamusta herättäen, ei sitä rikkoen.

En ole muuten vieläkään keksinyt, että miten tarkistan allekirjoituksen aitouden. Käytin kuitenkin viestissä ollutta linkkiä, joten jos tili on huomenna tyhjä niin se ei sitten varmaan ollut aito.

edit: Yleensä asiaa kommentoitaessa otetaan puheeksi PGP-salaus. Siitä ei käsittääkseni kuitenkaan voi olla kyse, koska salausta ei tietääkseni voi käyttää ilman avainta. Suora lainaus Wikipediasta:

Erityisen suosittu se on sähköpostin salauksessa. PGP perustuu julkisen avaimen salaukseen, jossa salaus tapahtuu vastaanottajan julkisella avaimella ja salatun sanoman avaaminen julkista avainta vastaavalla salaisella avaimella. Toisin sanoen salauksessa voidaan luetella henkilöt, jotka voivat avata viestin.

Viestintävirasto tarvitsisi siis minun julkisen salausavaimeni ja minä taas sähköpostiohjelman lisäosan sekä oman salaisen avaimeni. Ainakin jos näihin, Wikipedian lähteistä löytyviin, ohjeisiin on luottamista.

Salattujen viestien vastaanottaminen toisilta: he tarvitsevat minun julkisen avaimeni

Toki Wikipedian artikkeli voi olla puutteellinen tai virheellinen, mutta näillä tiedoilla en vielä keksi että miten minä nyt hyödyn tästä ylimääräisestä sisällöstä sähköpostissani. Parhaiden perusteluiden jaettu ykkössija menee sille, että koska se on siinä, sen täytyy olla tärkeä ja eräälle twiittaajalle, joka ensin postasi Wikipedian artikkelin ja sitten väitti toista kuin siinä sanontaan.

Ei kommentteja:

Lähetä kommentti

Jätä toki kommentti tai kysymys.