UE vrea să spioneze utilizarea internetului de către europeni

Comisia Europeană este un organism legislativ al UE cu autoritate de reglementare în domeniul tehnologiei digitale. Articolul 45 eIDAS al CE, un regulament propus, ar slăbi în mod deliberat domeniile de securitate pe internet pe care industria le-a evoluat cu atenție și le-a întărit de peste 25 de ani. Articolul ar acorda efectiv celor 27 de guverne UE puteri extinse de supraveghere asupra utilizării internetului. 

Regula ar cere tuturor browserelor de internet să aibă încredere într-un certificat rădăcină suplimentar de la o agenție (sau o entitate reglementată) din fiecare dintre guvernele naționale ale fiecărui stat membru UE. Pentru cititorii non-tehnici, voi explica ce este un certificat rădăcină, cum a evoluat încrederea în internet și ce face articolul 45 în acest sens. Și apoi voi evidenția câteva dintre comentariile din partea comunității tehnologice pe această temă. 

Următoarea secțiune a acestui articol va explica cum funcționează infrastructura de încredere a internetului. Acest context este necesar pentru a înțelege cât de radical este articolul propus. Explicația este destinată să fie accesibilă unui cititor non-tehnic.

Regulamentul în cauză se referă la securitatea internetului. Aici, „internet” înseamnă, în mare măsură, browsere care vizitează site-uri web. Securitatea pe internet constă din multe aspecte distincte. Articolul 45 intenționează să se modifice infrastructură cu cheie publică (PKI), o parte a securității internetului de la mijlocul anilor 90. PKI a fost la început adoptat și apoi îmbunătățit pe o perioadă de 25 de ani, pentru a oferi utilizatorilor și editorilor următoarele asigurări: 

• Confidențialitatea conversației dintre browser și site-ul web: Browserele și site-urile web conversează prin internet, o rețea de rețele operate de Furnizori de servicii internet, și Transportatorii de nivel 1; Sau purtători celulari dacă dispozitivul este mobil. Rețeaua în sine nu este în mod inerent sigură și nici de încredere. Ta ISP-ul de casă curioasă, un călător în lounge-ul aeroportului unde vă așteptați zborul sau un furnizor de date care caută să vândă clienți potențiali agenților de publicitate ar putea dori să te spioneze. Fără nicio protecție, un actor rău ar putea vizualiza date confidențiale, cum ar fi o parolă, soldul cardului de credit sau informații despre sănătate. 
• Garantați că vizualizați pagina exact așa cum vi l-a trimis site-ul: Când vizualizați o pagină web, ar fi putut fi modificată între editor și browserul dvs.? Un cenzor ar putea dori să elimine conținutul pe care nu vrea să-l vedeți. Conținutul etichetat drept „dezinformare” a fost suprimat pe scară largă în timpul isteriei covid. Un hacker care ți-a furat cardul de credit ar putea dori să elimine dovezile debitărilor sale frauduloase. 
• Garantați că site-ul web pe care îl vedeți este într-adevăr cel din bara de locație a browserului: Când vă conectați la o bancă, de unde știți că vedeți site-ul acelei bănci, nu o versiune falsă care arată identică? Verificați bara de locație din browser. Ar putea browserul dvs. să fie păcălit să vă arate un site web fals care pare identic cu cel real? De unde știe browserul tău – cu siguranță – că este conectat la site-ul corect? 

În primele zile ale internetului, niciuna dintre aceste asigurări nu exista. În 2010, un plugin de browser disponibil în magazinul de suplimente a permis utilizatorului să participe la chatul de grup Facebook al altcuiva într-un hotspot de cafenea. Acum, datorită PKI, puteți fi destul de sigur de aceste lucruri. 

Aceste caracteristici de securitate sunt protejate cu un sistem bazat pe certificate digitale. Certificatele digitale sunt o formă de identitate – versiunea pentru internet a unui permis de conducere. Când un browser se conectează la un site, site-ul prezintă browserului un certificat. Certificatul conține o cheie criptografică. Browserul și site-ul web funcționează împreună cu o serie de calcule criptografice pentru a configura o comunicare sigură.

Împreună, browserul și site-ul oferă cele trei garanții de securitate:

• intimitate: prin criptarea conversației.
• semnături digitale criptografice: a se asigura ca conținutul nu este modificat în zbor. 
• verificarea editorului: prin lanțul de încredere oferit de PKI, pe care îl voi explica mai detaliat mai jos. 

O identitate bună ar trebui să fie greu de contrafăcut. În lumea antică, o turnare în ceară a unui sigiliu a servit acestui scop. Identitățile pentru oameni s-au bazat pe biometrie. Fața ta este una dintre cele mai vechi forme. În lumea non-digitală, atunci când trebuie să accesați o setare restricționată în funcție de vârstă, cum ar fi comandarea unei băuturi alcoolice, vi se va cere un act de identitate cu fotografie.

O altă biometrică dinainte de era digitală a fost să potriviți semnătura dvs. proaspătă cu stilou și cerneală cu semnătura originală de pe spatele actului dvs. de identitate. Pe măsură ce aceste tipuri mai vechi de biometrie devin mai ușor de contrafăcut, verificarea identității umane s-a adaptat. Acum, este obișnuit ca o bancă să vă trimită un cod de validare pe mobil. Aplicația vă cere să treceți o verificare biometrică a identității pe telefonul mobil pentru a vedea codul, cum ar fi recunoașterea feței sau amprenta dvs. 

Pe lângă o biometrică, al doilea factor care face ca un act de identitate să fie demn de încredere este emitentul. ID-urile care sunt acceptate pe scară largă depind de capacitatea emitentului de a verifica dacă persoana care solicită un ID este cine spune că este. Cele mai multe dintre formele de identitate mai larg acceptate sunt emise de agenții guvernamentale, cum ar fi Departamentul de Autovehicule. Dacă agenția emitentă are mijloace de încredere pentru a urmări cine și unde sunt subiecții săi, cum ar fi plățile taxelor, registrele de angajare sau utilizarea serviciilor de utilități de apă, atunci există șanse mari ca agenția să poată verifica dacă persoana numită pe actul de identitate este acea persoana.

În lumea online, guvernele, în cea mai mare parte, nu s-au implicat în verificarea identității. Certificatele sunt emise de firme din sectorul privat cunoscute ca autorități de certificare (CA). În timp ce certificatele erau destul de scumpe, taxele au scăzut considerabil până la punctul în care unele sunt gratuite. Cele mai cunoscute CA sunt Verisign, DigiCert și GoDaddy. Ryan Hurst arată cele șapte CA majore (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft și IdenTrust) emit 99% din toate certificatele.

Browserul va accepta un certificat ca dovadă de identitate numai dacă câmpul nume de pe certificat se potrivește cu numele domeniului, pe care browserul îl arată în bara de locație. Chiar dacă numele se potrivesc, asta demonstrează că un certificat care spune „apple.com” aparține afacerii de electronice de larg consum cunoscută sub numele de Apple, Inc.? Nu. Sistemele de identitate nu sunt antiglonț. Băutori minori pot obține acte de identitate false. La fel ca ID-urile umane, certificatele digitale pot fi, de asemenea, false sau invalide din alte motive. Un inginer software care utilizează instrumente open source gratuite poate crea un certificat digital numit „apple.com”. câteva comenzi Linux. 

Sistemul PKI se bazează pe CA pentru a emite orice certificat numai proprietarului site-ului web. Fluxul de lucru pentru obținerea unui certificat decurge astfel:

1. Editorul unui site web solicită CA preferată pentru un certificat, pentru un domeniu. 
2. CA verifică dacă cererea de certificat provine de la proprietarul real al site-ului respectiv. Cum stabilește CA acest lucru? CA cere ca entitatea care face cererea să publice o anumită bucată de conținut pe o anumită adresă URL. Capacitatea de a face acest lucru demonstrează că entitatea deține controlul asupra site-ului web.
3. Odată ce site-ul web a dovedit că este proprietarul domeniului, CA adaugă a semnătură digitală criptografică la certificat folosind propria sa cheie criptografică privată. Semnătura identifică CA ca emitent. 
4. Certificatul semnat este transmis persoanei sau entității care face cererea. 
5. Editorul își instalează certificatul pe site-ul său web, astfel încât acesta poate fi prezentat browserelor. 

Semnături digitale criptografice sunt „o schemă matematică pentru verificarea autenticității mesajelor sau documentelor digitale”. Nu sunt același lucru cu semnarea documentelor online oferită de DocuSign și de furnizori similari. Dacă semnătura ar putea fi falsificată, atunci certificatele nu ar fi de încredere. De-a lungul timpului, dimensiunea cheilor criptografice a crescut cu scopul de a face falsificarea mai dificilă. Cercetătorii în criptografie cred că semnăturile actuale, în termeni practici, sunt imposibil de falsificat. O altă vulnerabilitate este atunci când CA i se fură cheile secrete. Hoțul ar putea produce apoi semnături valide ale acelei CA. 

Odată ce certificatul a fost instalat, acesta este utilizat în timpul configurării unei conversații web. Înregistrare explică cum merge asta:

Dacă certificatul a fost emis de un CA bun cunoscut și toate detaliile sunt corecte, atunci site-ul este de încredere, iar browserul va încerca să stabilească o conexiune sigură, criptată cu site-ul web, astfel încât activitatea dvs. cu site-ul să nu fie vizibilă. unui interceptator din rețea. Dacă certificatul a fost emis de o CA neîncrezătoare sau certificatul nu se potrivește cu adresa site-ului web sau unele detalii sunt greșite, browserul va respinge site-ul din cauza îngrijorării că nu se conectează la site-ul web pe care îl dorește utilizatorul. , și poate vorbi cu un imitator.

Putem avea încredere în browser, deoarece browserul are încredere în site-ul web. Browserul are încredere în site-ul web deoarece certificatul a fost emis de un CA „bun cunoscut”. Dar ce este un „CA bun cunoscut?” Majoritatea browserelor se bazează pe CA furnizate de sistemul de operare. Lista CA de încredere este decisă de furnizorii de dispozitive și software. Principalii furnizori de computere și dispozitive – Microsoft, Apple, producătorii de telefoane Android și distribuitorii Linux open source – preîncărcă sistemul de operare pe dispozitivele lor cu un set de certificate rădăcină.

Aceste certificate identifică CA pe care le-au verificat și le consideră a fi de încredere. Această colecție de certificate rădăcină se numește „magazin de încredere”. Pentru a lua un exemplu aproape de mine, PC-ul Windows pe care îl folosesc pentru a scrie această bucată are 70 de certificate rădăcină în Magazinul său de certificate rădăcină de încredere. Site-ul de asistență Apple listează toate rădăcinile de încredere de către versiunea Sierra a MacOS. 

Cum decid furnizorii de computere și telefoane care CA sunt de încredere? Au programe de audit și conformitate pentru a evalua calitatea CA. Sunt incluse doar cele care trec. Vezi de exemplu, browserul Chrome (care oferă propriul magazin de încredere în loc să îl folosească pe cel de pe dispozitiv). EFF (care se descrie ca fiind „organizația nonprofit de top care apără libertățile civile în lumea digitală”) explică:

Browserele operează „programe rădăcină” pentru a monitoriza securitatea și fiabilitatea CA în care au încredere. Aceste programe rădăcină impun o serie de cerințe care variază de la „cum trebuie securizat materialul cheie” la „cum trebuie efectuată validarea controlului numelui de domeniu” la „ce algoritmi trebuie utilizați pentru semnarea certificatelor”.

După ce un CA a fost acceptat de către un furnizor, acesta continuă să îl monitorizeze. Furnizorii vor elimina CA din magazinul de încredere în cazul în care CA nu respectă standardele de securitate necesare. Autoritățile de certificare pot, și fac, să devină necinstiți sau să eșueze din alte motive. Înregistrare Rapoarte:

Certificatele și autoritățile de certificare care le emit nu sunt întotdeauna de încredere, iar producătorii de browsere de-a lungul anilor au eliminat certificatele rădăcină CA de la CA din Turcia, Franța, China, Kazahstan și din alte părți, când s-a constatat că entitatea emitentă sau o parte asociată interceptează web. trafic. 

În 2022, a raportat cercetătorul Ian Carroll Probleme de securitate cu autoritatea de certificare e-Tugra. Carroll „a găsit o serie de probleme alarmante care mă îngrijorează cu privire la practicile de securitate din cadrul companiei lor”, cum ar fi acreditările slabe. Rapoartele lui Carroll au fost verificate de principalii furnizori de software. Drept urmare, e-Tugra a fost eliminate din depozitele lor de certificate de încredere. 

Cronologia eșecurilor autorității de certificare povestește despre alte asemenea incidente. 

Există încă câteva găuri cunoscute în PKI așa cum există în prezent. Deoarece o anumită problemă este importantă pentru înțelegerea articolului 45 eIDAS, voi explica asta în continuare. Încrederea unui CA nu se aplică acelor site-uri web care își desfășoară activitatea cu acel CA. Un browser va accepta un certificat de la orice CA de încredere pentru orice site web. Nu există nimic care să împiedice CA să emită un site web unui actor rău care nu a fost solicitat de proprietarul site-ului. Un astfel de certificat ar fi fraudulos în sens legal din cauza cui a fost eliberat. Dar conținutul certificatului ar fi valabil din punct de vedere tehnic din punctul de vedere al browserului. 

Dacă ar exista o modalitate de a asocia fiecare site web cu CA preferată, atunci orice certificat pentru acel site de la orice alt CA ar fi imediat recunoscut ca fraudulos. Fixarea certificatului este un alt standard care face un pas în această direcție. Dar cum ar fi publicată acea asociație și cum s-ar avea încredere în acel editor? 

La fiecare nivel al acestui proces, soluția tehnică se bazează pe o sursă externă de încredere. Dar cum se stabilește această încredere? Bazându-se pe o sursă și mai de încredere pe următorul plan superior? Această întrebare ilustrează „țestoase, până în jos” natura problemei. PKI are o țestoasă în partea de jos: reputația, vizibilitatea și transparența industriei de securitate și a clienților săi. Încrederea este construită la acest nivel prin monitorizare constantă, standarde deschise, dezvoltatori de software și CA. 

Au fost emise certificate frauduloase. În 2013, a raportat ArsTechnica O agenție franceză a surprins bătând certificate SSL usurându-se identitatea Google:

În 2011... cercetători de securitate am descoperit un certificat fals pentru Google.com care le-a oferit atacatorilor posibilitatea de a uzurpa identitatea serviciului de e-mail al site-ului web și a altor oferte. Certificatul contrafăcut a fost emis după ce atacatorii au străpuns securitatea DigiNotar din Țările de Jos și au câștigat controlul asupra sistemelor sale de eliberare a certificatelor.

Acreditările Secure Sockets Layer (SSL) au fost semnate digital de o autoritate de certificare validă... De fapt, certificatele erau duplicate neautorizate care au fost emise cu încălcarea regulilor stabilite de producătorii de browsere și de serviciile autorității de certificare.

Se poate produce eliberarea frauduloasă a certificatelor. Un CA necinstiți poate emite unul, dar nu vor ajunge departe. Certificatul prost va fi detectat. CA proastă va eșua programele de conformitate și va fi eliminată din magazinele de încredere. Fără acceptare, CA va înceta activitatea. Transparența certificatelor, un standard mai recent, permite detectarea mai rapidă a certificatelor frauduloase. 

De ce ar deveni necinstiți un CA? Ce avantaj poate câștiga tipul rău dintr-un certificat neautorizat? Doar cu certificatul, nu prea mult, chiar și atunci când este semnat de un CA de încredere. Dar dacă tipul rău poate face echipă cu un ISP sau poate accesa în alt mod rețeaua pe care o folosește browserul, certificatul îi oferă actorului rău abilitatea de a încălca toate garanțiile de securitate ale PKI. 

Hackerul ar putea monta un atacul de tip om-in-the-middle (MITM) asupra conversației. Atacatorul s-ar putea introduce între browser și site-ul web real. În acest scenariu, utilizatorul ar vorbi direct cu atacatorul, iar atacatorul ar transmite conținutul înainte și înapoi cu site-ul web real. Atacatorul ar prezenta certificatul fraudulos browserului. Deoarece era semnat de un CA de încredere, browserul l-ar accepta. Atacatorul putea vedea și chiar modifica ceea ce a trimis oricare dintre părți înainte ca cealaltă parte să-l primească.

Acum ajungem la sinistrul eIDAS al UE, articolul 45. Acest regulament propus cere tuturor browserelor să aibă încredere într-un coș de certificate de la CA desemnate de UE. Douăzeci și șapte mai exact: câte unul pentru fiecare națiune membră. Aceste certificate urmează să fie apelate Certificate calificate de autentificare a site-ului web. Acronimul „QWAC” are un omofon nefericit escrocherie – sau poate că ne trolează CE.

QWAC-urile ar fi emise fie de agenții guvernamentale, fie de ceea ce numește Michael Rectenwald guvernamentalități: „corporațiile și companiile și alți adjuncți ai statului, care altfel sunt numiți „privat”, dar chiar funcționează ca aparate de stat, în sensul că pun în aplicare narațiunile și dictatele statului.” 

Această schemă ar aduce guvernele membre ale UE cu un pas mai aproape de punctul în care ar putea ataca cu un om la mijloc împotriva propriilor cetățeni. De asemenea, ar trebui să acceseze rețelele. Guvernele sunt în măsură să facă asta. Dacă ISP-ul este condus ca o întreprindere de stat, atunci l-ar avea deja. Dacă ISP-urile sunt firme private, atunci locale Autoritățile ar putea folosi puterile poliției pentru a avea acces. 

Un aspect care nu a fost subliniat în conversația publică este că un browser din oricare dintre cele 27 de țări membre UE ar trebui să accepte fiecare QWAC, câte unul din fiecare. membru UE. Aceasta înseamnă că un browser din Spania, de exemplu, ar trebui să aibă încredere într-un QWAC de la entități din Croația, Finlanda și Austria. Utilizatorul spaniol care vizitează un site web austriac ar trebui să tranziteze porțiunile austriece ale internetului. Problemele ridicate mai sus s-ar aplica tuturor țărilor din UE. 

Registrul, într-o bucată intitulată EIDAS prost: Europa gata să intercepteze, să spioneze conexiunile tale HTTPS criptate explică un mod în care aceasta ar putea funcționa:

[A]acel guvern poate cere autorității sale prietenoase o copie a certificatului [QWAC], astfel încât guvernul să poată uzurpa identitatea site-ului web – sau poate cere alte certificate în care browserele vor avea încredere și vor accepta pentru site. Astfel, folosind un atac man-in-the-middle, acel guvern poate intercepta și decripta traficul HTTPS criptat dintre site și utilizatorii săi, permițând regimului să monitorizeze exact ce fac oamenii cu acel site în orice moment.

După ce a pătruns în scutul criptării, monitorizarea ar putea include salvarea parolelor utilizatorilor și apoi folosirea acestora în alt moment pentru a accesa conturile de e-mail ale cetățenilor. Pe lângă monitorizare, guvernele ar putea modifica conținutul în linie. De exemplu, ar putea elimina narațiunile pe care doresc să le cenzureze. S-ar putea atasa enervant verificări ale faptelor bunei și avertismente de conținut la opinii divergente.

Așa cum stau lucrurile în prezent, CA trebuie să mențină încrederea comunității de browser. În prezent, browserele avertizează utilizatorul dacă un site prezintă un certificat expirat sau care nu este de încredere. Potrivit articolului 45, avertismentele sau ejectarea abuzatorilor de încredere ar fi interzise. Nu numai că browserele sunt obligate să aibă încredere în QWAC, dar articolul 45 interzice browserelor să arate un avertisment că un certificat este semnat de un QWAC. 

Ultima șansă pentru eIDAS (un site web care afișează sigla Mozilla) pledează împotriva articolului 45: 

Orice stat membru UE are capacitatea de a desemna chei criptografice pentru distribuire în browsere web, iar browserelor le este interzis să revoce încrederea în aceste chei fără permisiunea guvernului. 

…Nu există nicio verificare sau echilibru independent asupra deciziilor luate de statele membre cu privire la cheile pe care le autorizează și la utilizarea lor. Acest lucru este deosebit de îngrijorător, având în vedere faptul că respectarea statului de drept are nu a fost uniformă în toate statele membre, cu cazuri documentate de constrângere de către poliția secretă în scopuri politice.

Într-o scrisoare deschisă semnată de câteva sute de cercetători în domeniul securității și informaticieni:

Articolul 45 interzice, de asemenea, verificările de securitate asupra certificatelor web ale UE, cu excepția cazului în care sunt permise în mod expres prin regulament atunci când se stabilesc conexiuni de trafic web criptate. În loc să specifice un set de măsuri minime de securitate care trebuie aplicate ca bază, acesta specifică efectiv o limită superioară a măsurilor de securitate care nu poate fi îmbunătățită fără permisiunea ETSI. Acest lucru contravine normelor globale bine stabilite în care noi tehnologii de securitate cibernetică sunt dezvoltate și implementate ca răspuns la evoluțiile rapide ale tehnologiei. 

Cei mai mulți dintre noi ne bazăm pe furnizorii noștri pentru a pregăti lista de CA de încredere. Cu toate acestea, în calitate de utilizator, puteți adăuga sau elimina certificate după bunul plac pe propriile dispozitive. Microsoft Windows are un instrument pentru a face acest lucru. Pe Linux, certificatele rădăcină sunt fișiere situate într-un singur director. Este posibil ca un CA să nu aibă încredere prin simpla ștergere a fișierului. Va fi și asta interzis? Steve Gibson, expert în domeniul securității, cronicar, și gazda lui podcastul de lungă durată Security Now solicită:

Dar UE afirmă că browserele vor fi obligate să onoreze aceste autorități de certificare noi, nedovedite și netestate și, prin urmare, orice certificate pe care le emit, fără excepție și fără recurs. Înseamnă asta că instanța mea de Firefox va fi obligată legal să refuze încercarea mea de a elimina acele certificate?

Gibson observă că unele corporații implementează supraveghere similară a angajaților lor în cadrul propriei rețele private. Indiferent de părerea dvs. despre aceste condiții de muncă, unele industrii au motive legitime de audit și conformitate pentru a urmări și înregistra ceea ce fac angajații lor cu resursele companiei. Dar, ca Gibson continuă,

Problema este că UE și țările sale membre sunt foarte diferite de angajații unei organizații private. De fiecare dată când un angajat nu dorește să fie spionat, își poate folosi propriul smartphone pentru a ocoli rețeaua angajatorului său. Și, desigur, rețeaua privată a unui angajator este doar asta, o rețea privată. UE dorește să facă acest lucru pentru întregul internet public din care nu ar exista nicio scăpare.

Acum am stabilit caracterul radical al acestei propuneri. Este timpul să ne întrebăm ce motive oferă CE pentru a motiva această schimbare? CE spune că verificarea identității în cadrul PKI nu este adecvată. Și că aceste schimbări sunt necesare pentru a o îmbunătăți. 

Există vreun adevăr în afirmațiile CE? PKI actuală în majoritatea cazurilor necesită doar cererea pentru a dovedi controlul site-ului web. Deși este ceva, nu garantează, de exemplu, că proprietatea web „apple.com” este deținută de compania de electronice de larg consum cunoscută sub numele de Apple Inc, cu sediul în Cupertino, California. Un utilizator rău intenționat poate obține un certificat valid pentru un nume de domeniu similar cu cel al unei companii binecunoscute. Certificatul valid ar putea fi folosit într-un atac care s-a bazat pe unii utilizatori care nu caută suficient de mult pentru a observa că numele nu se potrivește. Acest lucru sa întâmplat cu procesor de plăți Stripe.

Pentru editorii care ar dori să demonstreze lumii că sunt cu adevărat aceeași entitate corporativă, unele CA au oferit Certificate de validare extinsă (EV).. Partea „extinsă” constă în validări suplimentare față de afacerea în sine, cum ar fi adresa companiei, un număr de telefon funcțional, o licență de afaceri sau o înmatriculare și alte atribute tipice unei continuități în funcțiune. Vehiculele electrice sunt listate la un preț mai mare, deoarece necesită mai multă muncă din partea CA. 

Browserele obișnuiau să afișeze feedback vizual evidențiat pentru un EV, cum ar fi o culoare diferită sau o pictogramă de blocare mai robustă. În ultimii ani, vehiculele electrice nu au fost deosebit de populare pe piață. Majoritatea au murit. Multe browsere nu mai afișează feedback-ul diferențial. 

În ciuda punctelor slabe care încă există, PKI s-a îmbunătățit considerabil de-a lungul timpului. Pe măsură ce defectele au fost înțelese, acestea au fost abordate. Algoritmii criptografici au fost consolidați, guvernanța s-a îmbunătățit și vulnerabilitățile au fost blocate. Guvernarea de către un consens al jucătorilor din industrie a funcționat destul de bine. Sistemul va continua să evolueze, atât tehnologic, cât și instituțional. În afară de amestecul autorităților de reglementare, nu există niciun motiv să ne așteptăm la altceva.

Am învățat din istoria slabă a vehiculelor electrice că pieței nu îi pasă atât de mult de verificarea identității corporative. Cu toate acestea, dacă utilizatorii de internet și-ar dori acest lucru, nu ar fi nevoie de spargerea PKI-ului existent pentru a le oferi. Ar fi suficiente câteva mici ajustări ale fluxurilor de lucru existente. Unii comentatori au propus modificarea Strângere de mână TLS; site-ul web ar prezenta un certificat suplimentar. Certificatul primar ar funcționa așa cum funcționează acum. Certificatul secundar, semnat de un QWAC, ar implementa standardele suplimentare de identitate pe care CE spune că le dorește.

Motivele pretinse ale CE pentru eIDAS pur și simplu nu sunt credibile. Nu numai că motivele invocate sunt neplauzibile, dar CE nici măcar nu se deranjează cu obișnuitele plângeri sanctimonioase despre modul în care trebuie să sacrificăm libertăți importante în numele siguranței, deoarece ne confruntăm cu amenințarea gravă a traficului de ființe umane, siguranței copiilor, spălării banilor. , evaziune fiscală sau (preferatul meu personal) schimbarea climei. Nu se poate nega că UE ne aprinde cu gaz.

Dacă CE nu este sinceră cu privire la adevăratele lor motive, atunci ce caută? Gibson vede o intenție nefastă:

Și există un singur motiv posibil pentru care aceștia doresc [să impună browserelor să aibă încredere în QWAC], și anume să permită interceptarea din mers a traficului de internet pe internet, exact așa cum se întâmplă în interiorul corporațiilor. Și asta este recunoscut. 

(Ceea ce înseamnă Gibson prin „interceptarea traficului web” este atacul MITM descris mai sus.) Alte comentarii au evidențiat implicațiile sinistre pentru libertatea de exprimare și protestul politic. Crâng într-un eseu de lungă durată face un argument cu panta alunecoasa:

Când o democrație liberală stabilește acest tip de control asupra tehnologiei pe web, în ​​ciuda consecințelor sale, pune bazele pentru ca guvernele mai autoritare să urmeze exemplul cu impunitate.

Mozilla citat în techdirt (fără link la original) spune mai mult sau mai puțin același lucru:

[Forțarea browserelor să aibă încredere automat în autoritățile de certificare susținute de guvern este o tactică cheie folosită de regimurile autoritare, iar acești actori ar fi încurajați de efectul de legitimare al acțiunilor UE...

Gibson face un lucru similar observaţie:

Și apoi există spectrul foarte real al ce alte uși deschide acest lucru: dacă UE arată restului lumii că poate dicta cu succes termenii de încredere pentru browserele web independente utilizate de cetățenii săi, ceea ce alte țări vor urma cu legi similare ? Acum toată lumea poate cere pur și simplu adăugarea certificatelor din propria țară. Acest lucru ne duce exact în direcția greșită.

Acest articol 45 propus este un atac la adresa vieții private a utilizatorilor din țările UE. Dacă ar fi adoptat, ar fi un regres masiv nu numai în securitatea internetului, ci și în sistemul evoluat de guvernare. Sunt de acord cu Steve Gibson că:

Ceea ce este complet neclar și ceea ce nu am întâlnit nicăieri, este o explicație a autorității prin care UE își imaginează că este capabilă să dicteze proiectarea software-ului altei organizații. Pentru că la asta se rezumă.

Răspunsul la articolul 45 propus a fost extrem de negativ. EFF în Articolul 45 va anula securitatea web cu 12 ani scrie: „Aceasta este o catastrofă pentru confidențialitatea tuturor celor care folosesc internetul, dar în special pentru cei care folosesc internetul în UE”. 

Efortul eIDAS este un incendiu cu patru alarme pentru comunitatea de securitate. Mozilla – producătorul browserului web open source Firefox – a postat un Declarație comună a industriei opunându-i. Declarația este semnată de o listă de companii de infrastructură a internetului, inclusiv Mozilla, Cloudflare, Fastly și Linux Foundation. 

De la scrisoare deschisă menționat mai sus: 

După citirea textului aproape final, suntem profund îngrijorați de textul propus pentru articolul 45. Actuala propunere extinde radical capacitatea guvernelor de a-și supraveghea atât propriii cetățeni, cât și rezidenții din UE, oferindu-le mijloace tehnice de a intercepta codurile criptate. traficul web, precum și subminarea mecanismelor de supraveghere existente pe care se bazează cetățenii europeni. 

Unde se duce asta? Regulamentul este propus de ceva vreme. O decizie finală a fost programată pentru noiembrie 2023. Căutările pe internet nu arată informații noi despre acest subiect de atunci. 

În ultimii câțiva ani, cenzura totală, sub toate formele ei, a crescut. În timpul nebuniei covid, guvernul și industria s-au asociat pentru a crea un cenzură-complex industrial pentru a promova mai eficient narațiunile false și a suprima dizidenții. În ultimii câțiva ani, scepticii și vocile independente au ripostat, in instante, și prin crearea punct de vedere neutru platforme. 

În timp ce cenzura vorbirii continuă să fie un mare pericol, drepturile scriitorilor și ale jurnaliștilor sunt mai bine protejate decât multe alte drepturi. În SUA, Primul Amendament are o protecție explicită a vorbirii și libertatea de a critica guvernul. Instanțele pot fi de părere că orice drept sau libertăți care nu sunt protejate de un limbaj statutar foarte specific este un joc corect. Acesta poate fi motivul pentru care rezistența a avut mai mult succes în vorbire decât alte eforturi de a opri alte abuzuri de putere, cum ar fi pune în carantină și blocarea populației. 

Mai degrabă decât un inamic bine apărat, guvernele își mută atacurile către alte straturi ale infrastructurii internetului. Aceste servicii, cum ar fi înregistrarea domeniilor, DNS, certificate, procesoare de plăți, găzduire și magazine de aplicații, constau în mare parte din tranzacții pe piața privată. Aceste servicii sunt mult mai puțin bine protejate decât vorbirea, deoarece nu există, în cea mai mare parte, dreptul de a achiziționa un anumit serviciu de la o anumită afacere. Și serviciile mai tehnice, cum ar fi DNS și PKI, sunt mai puțin înțelese de public decât publicarea web.

Sistemul PKI este deosebit de vulnerabil la atac, deoarece funcționează prin reputație și consens. Nu există o singură autoritate care să conducă întregul sistem. Jucătorii trebuie să câștige o reputație prin transparență, conformitate și raportarea onestă a eșecurilor. Și asta îl face vulnerabil la acest tip de atac perturbator. Dacă PKI UE cade în sarcina autorităților de reglementare, mă aștept să urmeze alte țări. Nu numai că PKI este în pericol. Odată ce s-a dovedit că alte straturi ale stivei pot fi atacate de autoritățile de reglementare, acestea vor fi și ele vizate.