. Euroopa komisjoni on ELi seadusandlik organ, millel on digitaaltehnoloogia üle regulatiivne võim. Euroopa Komisjoni kavandatud eIDAS-i artikkel 45 nõrgestaks tahtlikult internetiturvalisuse valdkondi, mida tööstus on üle 25 aasta hoolikalt arendanud ja tugevdanud. Artikkel annaks 27 ELi valitsusele sisuliselt oluliselt laiendatud järelevalvevolitused internetikasutuse üle.
See reegel nõuaks kõigilt internetibrauseritelt täiendava juursertifikaadi usaldamist iga ELi liikmesriigi valitsuse asutuselt (või reguleeritud üksuselt). Mittetehnilistele lugejatele selgitan, mis on juursertifikaat, kuidas on arenenud interneti usaldus ja mida artikkel 45 sellega teeb. Seejärel toon välja mõned tehnoloogiakogukonna kommentaarid sellel teemal.
Selle artikli järgmises osas selgitatakse, kuidas interneti usaldusinfrastruktuur toimib. See taust on vajalik, et mõista, kui radikaalne on kavandatud artikkel. Selgitus on mõeldud arusaadavaks ka mitte-tehnilisele lugejale.
Kõnealune määrus käsitleb internetiturvalisust. Siin tähendab „internet” suures osas veebisaite külastavaid brausereid. Internetiturvalisus koosneb paljudest erinevatest aspektidest. Artikli 45 eesmärk on muuta avaliku võtme infrastruktuur (PKI), mis on olnud osa internetiturvalisusest alates 90ndate keskpaigast. PKI-d on algselt kasutusele võetud ja seejärel 25 aasta jooksul täiustatud, et pakkuda kasutajatele ja avaldajatele järgmisi tagatisi:
- Brauseri ja veebisaidi vahelise vestluse privaatsusBrauserid ja veebisaidid suhtlevad interneti kaudu, mis on võrkude võrgustik, mida haldavad Interneti-teenuse pakkujadja 1. taseme lennuettevõtjadVõi rakukandjad kui seade on mobiilne. Võrk ise ei ole loomupäraselt turvaline ega usaldusväärne. Teie uudishimulik kodune internetiteenuse pakkuja, reisija lennujaama ootesaalis kus te oma lendu ootate või andmemüüja, kes soovib reklaamijatele müügivihjeid müüa võivad soovida teid luurata. Ilma igasuguse kaitseta võib pahatahtlik isik vaadata konfidentsiaalseid andmeid, nagu parool, krediitkaardi saldo või terviseteave.
- Garanteerime, et vaatate lehte täpselt nii, nagu veebisait selle teile saatisKas veebilehe vaatamisel võis seda avaldaja ja teie brauser olla omavahel manipuleerinud? Tsensor võib soovida eemaldada sisu, mida nad ei soovi, et te näeksite. „Valeinfoks” märgistatud sisu suruti koroonahüsteeria ajal laialdaselt maha. Häkker, kes varastas teie krediitkaardi, võib soovida eemaldada tõendid oma petturlike süüdistuste kohta.
- Veenduge, et veebileht, mida näete, on tõepoolest see, mis on brauseri asukoharibal.Kuidas teate pangaga ühenduse loomisel, et näete selle panga veebisaiti, mitte võltsitud versiooni, mis näeb välja identne? Kontrollite oma brauseri asukohariba. Kas teie brauserit saab petta ja see võib teile näidata võltsitud veebisaiti, mis näeb välja identne päris veebisaidiga? Kuidas teie brauser kindlalt teab, et see on ühendatud õige saidiga?
Interneti algusaegadel polnud ühtegi neist garantiidest olemas. 2010. aastal brauseri plugin, mis on saadaval lisandmoodulite poes võimaldas kasutajal osaleda kellegi teise Facebooki grupivestluses kohviku levialas. Nüüd – tänu PKI-le – võite nendes asjades üsna kindel olla.
Neid turvaelemente kaitseb süsteem, mis põhineb digitaalsed sertifikaadidDigitaalsed sertifikaadid on isikut tõendava dokumendi vorm – juhiloa internetiversioon. Kui brauser loob saidiga ühenduse, esitab sait brauserile sertifikaadi. Sertifikaat sisaldab krüptograafilist võtit. Brauser ja veebisait teevad turvalise suhtluse loomiseks koostööd krüptograafiliste arvutuste seeria abil.
Brauser ja veebisait pakuvad koos kolme turvagarantiid:
- privaatsus: vestluse krüpteerimise teel.
- krüptograafilised digitaalallkirjad: selle tagamiseks sisu lennu ajal ei muudeta.
- väljaandja kontrolliminePKI pakutava usaldusahela kaudu, mida ma allpool üksikasjalikumalt selgitan.
Head identiteeti peaks olema raske võltsida. Muistses maailmas pitseri vahavalamine teenis seda eesmärki. Inimeste identiteet on tuginenud biomeetriale. Teie nägu on üks vanimaid vorme. Mitte-digitaalses maailmas, kui teil on vaja pääseda juurde vanusepiiranguga keskkonnale, näiteks alkohoolse joogi tellimiseks, küsitakse teilt fotoga isikutunnistust.
Teine biomeetriline meetod enne digitaalajastut oli teie uue tindiga ja pliiatsiga kirjutatud allkirja sobitamine isikut tõendava dokumendi tagaküljel oleva algse allkirjaga. Kuna neid vanemaid biomeetrilisi andmeid on üha lihtsam võltsida, on inimese isiku tuvastamine kohanenud. Nüüd on tavaline, et pank saadab teile mobiiltelefonile kinnituskoodi. Rakendus nõuab koodi vaatamiseks mobiiltelefonis biomeetrilise identiteedikontrolli läbimist, näiteks näotuvastuse või sõrmejälje abil.
Lisaks biomeetriale on teine tegur, mis muudab isikutunnistuse usaldusväärseks, selle väljastaja. Laialdaselt aktsepteeritud isikutunnistused sõltuvad väljastaja võimest kontrollida, kas taotleja on see isik, kellena ta end väidab. Enamikku laiemalt aktsepteeritud isikutunnistusi väljastavad valitsusasutused, näiteks mootorsõerdite amet. Kui väljastava asutuse käsutuses on usaldusväärsed vahendid tema subjektide asukoha ja asukoha jälgimiseks, näiteks maksude tasumine, töösuhted või vee-teenuste kasutamine, siis on suur tõenäosus, et asutus saab kontrollida, kas isikutunnistusel nimetatud isik on see isik.
Veebimaailmas ei ole valitsused enamasti isikusamasuse kontrollimisega tegelenud. Sertifikaate väljastavad erasektori ettevõtted, mida tuntakse nime all sertifikaadiasutused (CA-d). Kuigi sertifikaadid olid varem üsna kallid, on tasud märkimisväärselt langenud ja nüüdseks on need jõudnud punktini, kus mõned on tasutaTuntuimad CA-d on Verisign, DigiCert ja GoDaddy. Ryan Hursti etteasted Seitse peamist sertifitseerimisasutust (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft ja IdenTrust) väljastavad 99% kõigist sertifikaatidest.
Brauser aktsepteerib sertifikaati isikut tõendava dokumendina ainult siis, kui sertifikaadil olev nimeväli vastab domeeninimele, mida brauser asukoharibal kuvab. Isegi kui nimed kattuvad, kas see tõestab, et sertifikaat, millel on kiri „apple.com„kuulub tarbeelektroonikaettevõttele Apple, Inc.? Ei. Identifitseerimissüsteemid ei ole kuulikindlad. Alaealised joojad saab võltsitud isikutunnistusiNagu inimeste ID-d, võivad ka digitaalsed sertifikaadid olla võltsitud või muudel põhjustel kehtetud. Tarkvarainsener saab tasuta avatud lähtekoodiga tööriistu kasutades luua digitaalse sertifikaadi nimega „apple.com” koos paar Linuxi käsku.
PKI-süsteem tugineb sertifitseerimisasutustele (CA-dele), kes väljastavad sertifikaate ainult veebisaidi omanikule. Sertifikaadi hankimise töövoog on järgmine:
- Veebisaidi avaldaja taotleb oma eelistatud sertifitseerimisasutuselt domeeni sertifikaati.
- Sertifitseerimisasutus (CA) kontrollib, kas sertifikaaditaotlus pärineb saidi tegelikult omanikult. Kuidas CA seda tuvastab? CA nõuab, et taotluse esitanud üksus avaldaks konkreetse sisu konkreetsel URL-il. Selle tegemise võimalus tõestab, et üksusel on veebisaidi üle kontroll.
- Kui veebisait on domeeni omandiõiguse tõestanud, lisab CA krüptograafiline digitaalallkiri sertifikaadile oma isikliku krüptograafilise võtme abil. Allkiri identifitseerib sertifitseerimisasutuse väljastajana.
- Allkirjastatud sertifikaat edastatakse taotluse esitanud isikule või üksusele.
- Väljaandja installib oma sertifikaadi oma veebisaidile, et seda saaks brauseritele kuvada.
Krüptograafilised digitaalallkirjad on „matemaatiline skeem digitaalsete sõnumite või dokumentide autentsuse kontrollimiseks“. Need ei ole sama asi kui DocuSigni ja sarnaste pakkujate pakutav veebipõhine dokumentide allkirjastamine. Kui allkirja saaks võltsida, ei oleks sertifikaadid usaldusväärsed. Aja jooksul on krüptograafiliste võtmete suurus suurenenud, et muuta võltsimine raskemaks. Krüptograafiauurijad usuvad, et praeguseid allkirju on praktikas võimatu võltsida. Teine haavatavus on see, kui CA salajased võtmed varastatakse. Varas saab seejärel luua selle CA kehtivaid allkirju.
Kui sertifikaat on installitud, kasutatakse seda veebivestluse seadistamisel. . Registreeri selgitab kuidas see käib:
Kui sertifikaadi väljastas tuntud ja usaldusväärne sertifitseerimisasutus (CA) ja kõik andmed on õiged, on sait usaldusväärne ja brauser proovib veebisaidiga luua turvalise ja krüptitud ühenduse, et teie tegevus saidil poleks võrgus pealtkuulajatele nähtav. Kui sertifikaadi väljastas mitteusaldusväärne sertifitseerimisasutus või sertifikaat ei vasta veebisaidi aadressile või mõned andmed on valed, lükkab brauser veebisaidi tagasi, kuna kahtlustab, et see ei loo ühendust kasutaja soovitud veebisaidiga ja võib suhelda jäljendajaga.
Me võime brauserit usaldada, sest brauser usaldab veebisaiti. Brauser usaldab veebisaiti, sest sertifikaadi väljastas „tuntud hea“ CA. Aga mis on „tuntud hea CA“? Enamik brausereid tugineb operatsioonisüsteemi pakutavatele CA-dele. Usaldusväärsete CA-de nimekirja määravad seadmete ja tarkvara müüjad. Peamised arvutite ja seadmete müüjad – Microsoft, Apple, Androidi telefonide tootjad ja avatud lähtekoodiga Linuxi levitajad – eelinstallivad oma seadmetesse operatsioonisüsteemi juursertifikaatide komplektiga.
Need sertifikaadid tuvastavad sertifitseerimisasutused, keda nad on kontrollinud ja usaldusväärseks peavad. Seda juursertifikaatide kogumit nimetatakse usaldussalveks. Näiteks minu jaoks on Windowsi arvutil, mida ma selle artikli kirjutamiseks kasutan, usaldusväärse juursertifikaatide salves 70 juursertifikaati. Apple'i tugisait loetleb kõik juurkataloogid, mida MacOS-i Sierra versioon usaldab.
Kuidas arvuti- ja telefonimüüjad otsustavad, millised sertifitseerimisasutused on usaldusväärsed? Neil on sertifitseerimisasutuste kvaliteedi hindamiseks auditeerimis- ja vastavusprogrammid. Kaasatakse ainult need, mis läbivad testid. Vaata näiteks: Chrome'i brauser (mis pakub omaenda usaldussalve, mitte ei kasuta seadmes olevat). EFF (mis kirjeldab end kui „juhtivat mittetulundusühingut, mis kaitseb kodanikuvabadusi digitaalmaailmas“) selgitab:
Brauserid käitavad usaldusväärsete sertifitseerimisasutuste turvalisuse ja usaldusväärsuse jälgimiseks „juurprogramme“. Need juurprogrammid kehtestavad hulga nõudeid alates sellest, kuidas tuleb võtmematerjali kaitsta, kuni „kuidas tuleb domeeninime kontrolli valideerida“ ja „milliseid algoritme tuleb sertifikaatide allkirjastamiseks kasutada“.
Pärast seda, kui tarnija on sertifitseerimisasutuse (CA) heaks kiitnud, jätkab tarnija selle jälgimist. Tootjad eemaldavad sertifitseerimisasutused usaldussalvest, kui sertifitseerimisasutus (CA) ei suuda vajalikke turvastandardeid järgida. Sertifitseerimisasutused võivad petturiteks muutuda või muudel põhjustel ebaõnnestuda ja seda ka teevad. . Registreeri aruanded:
Sertifikaadid ja neid väljastavad sertifitseerimisasutused (CA-d) ei ole alati usaldusväärsed ning brauseritootjad on aastate jooksul eemaldanud CA juursertifikaadid Türgis, Prantsusmaal, Hiinas, Kasahstanis ja mujal asuvatelt sertifitseerimisasutustelt, kui on avastatud, et väljastav üksus või seotud osapool pealt kuulab veebiliiklust.
2022. aastal teatas teadlane Ian Carroll Turvaprobleemid e-Tugra sertifitseerimisasutusegaCarroll „leidis hulga murettekitavaid probleeme, mis mind ettevõtte turvapraktikate osas muretsema panevad“, näiteks nõrgad volitused. Carrolli aruandeid kontrollisid suuremad tarkvaramüüjad. Selle tulemusel oli e-Tugra... eemaldatud nende usaldusväärsetest sertifikaadipoodidest.
. Sertifitseerimisasutuse tõrgete ajajoon jutustab teistestki samalaadsetest juhtumitest.
Praeguses PKI-s on teadaolevalt endiselt mõningaid puudujääke. Kuna eIDAS-i artikli 45 mõistmiseks on oluline üks konkreetne küsimus, selgitan seda järgmisena. CA usaldus ei piirdu ainult nende veebisaitidega, mis ajavad oma äri selle CA-ga. Brauser aktsepteerib mis tahes usaldusväärse CA sertifikaati mis tahes veebisaidi jaoks. Miski ei takista CA-l väljastamast veebisaiti pahatahtlikule osapoolele, mida saidi omanik ei ole taotlenud. Selline sertifikaat oleks juriidilises mõttes petturlik selle isiku tõttu, kellele see väljastati. Kuid brauseri seisukohast oleks sertifikaadi sisu tehniliselt kehtiv.
Kui oleks võimalik siduda iga veebisait selle eelistatud sertifitseerimisasutusega, siis tuvastataks iga selle saidi sertifikaat mis tahes teiselt sertifitseerimisasutuselt kohe petturlikuks. Sertifikaadi kinnitamine on järjekordne standard, mis astub sammu selles suunas. Aga kuidas seda seost avaldatakse ja kuidas seda avaldajat usaldatakse?
Selle protsessi igal tasandil tugineb tehniline lahendus välisele usaldusallikale. Aga kuidas see usaldus luuakse? Tuginedes veelgi usaldusväärsemale allikale järgmisel kõrgemal tasandil? See küsimus illustreerib „kilpkonnad, täiesti alla„probleemi olemus. PKI-l on tõepoolest all kilpkonn: turvatööstuse ja selle klientide maine, nähtavus ja läbipaistvus. Usaldus luuakse sellel tasandil pideva jälgimise, avatud standardite, tarkvaraarendajate ja sertifitseerimisasutuste abil.“
Välja on antud petturlikke sertifikaate. ArsTechnica teatas 2013. aastal Prantsuse agentuur tabati Google'i nime jäljendades SSL-sertifikaatide loomisel:
2011. aastal…julgeolekuuurijad märkas Google.com-i jaoks võltsitud sertifikaadi mis andis ründajatele võimaluse teeselda veebisaidi meiliteenust ja muid pakkumisi. Võltsitud sertifikaat vermiti pärast seda, kui ründajad tungisid Hollandis asuva DigiNotari turvasüsteemidesse ja said kontrolli selle sertifikaatide väljastamise süsteemide üle.
Turvalise soklikihi (SSL) volitused allkirjastas digitaalselt kehtiv sertifitseerimisasutus... Tegelikult olid sertifikaadid volitamata duplikaadid, mis väljastati brauseritootjate ja sertifitseerimisasutuste kehtestatud reegleid rikkudes.
Petturlike sertifikaatide väljastamine on võimalik. Ebaausal eesmärgil tegutsev CA võib küll välja anda, aga kaugele nad ei jõua. Halb sertifikaat avastatakse. Halb CA ei läbi vastavusprogramme ja eemaldatakse usaldushoidlatest. Ilma aktsepteerimiseta läheb CA pankrotti. Sertifikaadi läbipaistvus, mis on uuem standard, võimaldab petturlikke sertifikaate kiiremini tuvastada.
Miks peaks sertifitseerimisasutus petturiks minema? Millist eelist saab pahalane volitamata sertifikaadist? Ainult sertifikaadiga pole sellest palju kasu, isegi kui selle on allkirjastanud usaldusväärne sertifitseerimisasutus. Aga kui pahalane saab teha koostööd internetiteenuse pakkujaga või muul viisil brauseri kasutatavale võrgule ligi pääseda, annab sertifikaat pahalasele võimaluse murda kõik PKI turvagarantiid.
Häkker võiks paigaldada keskelt sekkumise rünnak (MITM) vestluses. Ründaja võiks end brauseri ja päris veebisaidi vahele sisestada. Sellisel juhul suhtleks kasutaja otse ründajaga ja ründaja vahetaks sisu päris veebisaidiga. Ründaja esitaks brauserile petturliku sertifikaadi. Kuna see oli allkirjastatud usaldusväärse sertifitseerimisasutuse poolt, aktsepteeriks brauser selle. Ründaja saaks vaadata ja isegi muuta seda, mida kumbki pool saatis, enne kui teine pool selle kätte sai.
Nüüd jõuame EL-i kurjakuulutava eIDAS-i, artikli 45 juurde. See kavandatav määrus nõuab, et kõik brauserid usaldaksid EL-i määratud sertifitseerimisasutuste sertifikaatide kogumit. Täpsemalt öeldes on neid kakskümmend seitse: üks iga liikmesriigi kohta. Neid sertifikaate nimetatakse Kvalifitseeritud veebisaidi autentimissertifikaadidAkronüümil „QWAC” on kahetsusväärne homonüüm põlvkond – või äkki EK trollib meid.
QWAC-e annaksid välja kas valitsusasutused või Michael Rectenwaldi nimetatavad asutused. valitsusasutused„korporatsioonid, ettevõtted ja muud riigi abiüksused, mida muidu nimetatakse „eraõiguslikeks“, aga mis tegelikult tegutsevad riigiaparaatidena, kuna nad jõustavad riiklikke narratiive ja diktaate.“
See skeem tooks ELi liikmesriikide valitsused sammu lähemale punktile, kus nad saaksid oma kodanike vastu vahendajarünnakuid korraldada. Samuti vajaksid nad juurdepääsu võrkudele. Valitsused on selleks võimelised. Kui internetiteenuse pakkujat juhitakse riigile kuuluva ettevõttena, siis on see neil juba olemas. Kui internetiteenuse pakkujad on eraettevõtted, siis kohalikud... ametivõimud saaks juurdepääsu saamiseks kasutada politsei volitusi.
Üks punkt, mida avalikus vestluses pole rõhutatud, on see, et ükskõik millise 27 EL-i liikmesriigi brauser peaks aktsepteerima iga QWAC-i, ühe igast riigist. EL liigeSee tähendab, et näiteks Hispaanias asuv brauser peaks usaldama Horvaatia, Soome ja Austria üksuste QWAC-i. Austria veebisaiti külastav Hispaania kasutaja peaks läbima Austria internetiosi. Eespool tõstatatud probleemid kehtiksid kõikides ELi riikides.
The Register, artiklis pealkirjaga Halb eIDAS: Euroopa on valmis teie krüptitud HTTPS-ühendusi pealt kuulama ja luurama selgitab ühte võimalikku toimimisviisi:
[S]ee valitsus saab küsida oma sõbralikult sertifitseerimisasutuselt [QWAC] sertifikaadi koopiat, et valitsus saaks veebisaiti jäljendada – või küsida mõnda muud sertifikaati, mida brauserid saidi jaoks usaldavad ja aktsepteerivad. Seega saab valitsus vahemehe rünnaku abil pealt kuulata ja dekrüpteerida veebisaidi ja selle kasutajate vahelise krüptitud HTTPS-liikluse, võimaldades režiimil igal ajal täpselt jälgida, mida inimesed selle saidiga teevad.
Pärast krüpteerimiskilbi läbistamist võiks jälgimine hõlmata kasutajate paroolide salvestamist ja seejärel nende kasutamist muul ajal kodanike e-posti kontodele juurdepääsuks. Lisaks jälgimisele saaksid valitsused sisu otse muuta. Näiteks saaksid nad eemaldada narratiivid, mida nad soovivad tsenseerida. Nad saaksid lisada tüütuid... lapsehoidjariigi faktikontrollid ja sisu hoiatused eriarvamuste puhul.
Praeguse seisuga peavad sertifitseerimisasutused säilitama brauserikogukonna usalduse. Brauserid hoiatavad kasutajat praegu, kui sait esitab aegunud või muul viisil ebausaldusväärse sertifikaadi. Artikli 45 kohaselt oleks hoiatused või usalduse kuritarvitajate eemaldamine keelatud. Lisaks sellele, et brauserid on kohustatud usaldama QWAC-e, keelab artikkel 45 brauseritel kuvada hoiatust, et QWAC-i allkirjastatud sertifikaat...
Viimane võimalus eIDASi jaoks (veebisait, millel on Mozilla logo) on artikli 45 vastu:
Igal ELi liikmesriigil on õigus määrata krüptograafilisi võtmeid veebibrauserites levitamiseks ja brauseritel on keelatud nende võtmete usaldust ilma valitsuse loata tühistada.
...Puudub sõltumatu kontroll või tasakaal liikmesriikide otsuste üle seoses võtmete lubamise ja nende kasutamisega. See on eriti murettekitav, arvestades, et õigusriigi põhimõtete järgimine on ... pole olnud ühtlane kõigis liikmesriikides, kusjuures on dokumenteeritud juhtumeid salapolitsei poolt sunnitud poliitilistel eesmärkidel.
Aastal avalik kiri, millele on alla kirjutanud mitu sada turvauurijat ja arvutiteadlast:
Artikkel 45 keelab ka EL-i veebisertifikaatide turvakontrollid krüpteeritud veebiliikluse ühenduste loomisel, välja arvatud juhul, kui see on määrusega sõnaselgelt lubatud. Minimaalsete turvameetmete komplekti määramise asemel, mida tuleb baastasemena jõustada, määrab see tegelikult turvameetmete ülempiiri, mida ei saa ilma ETSI loata täiustada. See on vastuolus väljakujunenud ülemaailmsete normidega, kus uusi küberturvalisuse tehnoloogiaid arendatakse ja juurutatakse vastusena tehnoloogia kiirele arengule.
Enamik meist loodab usaldusväärsete sertifitseerimisasutuste nimekirja koostamisel oma tarnijatele. Kasutajana saate aga oma seadmetes sertifikaate lisada või eemaldada vastavalt oma soovile. Microsoft Windowsil on tööriist selleksLinuxis on juursertifikaadid failid, mis asuvad ühes kataloogis. CA-d saab ebausaldusväärseks muuta lihtsalt faili kustutades. Kas ka see on keelatud? Steve Gibson, tuntud turvaekspert, kolumnistja võõrustaja Pikaajaline Security Now taskuhääling küsib:
Kuid EL väidab, et brauserid peavad austama neid uusi, tõestamata ja testimata sertifitseerimisasutusi ja seega kõiki nende väljastatud sertifikaate ilma eranditeta ja ilma tagasiulatuvate meetmeteta. Kas see tähendab, et minu Firefoxi eksemplar on juriidiliselt kohustatud keelduma minu katsetest need sertifikaadid eemaldada?
Gibson märgib, et mõned ettevõtted rakendavad sarnast töötajate jälgimist oma privaatvõrgus. Olenemata teie arvamusest nende töötingimuste kohta, on mõnel tööstusharul õigustatud auditi- ja vastavusnõuded, et jälgida ja registreerida, mida nende töötajad ettevõtte ressurssidega teevad. Kuid nagu Gibson... pidev,
Probleem on selles, et EL ja selle liikmesriigid on väga erinevad eraorganisatsiooni töötajatest. Alati, kui töötaja ei soovi, et teda luurataks, saab ta oma nutitelefoni abil tööandja võrku vältida. Ja muidugi on tööandja privaatvõrk just see – privaatvõrk. EL tahab seda teha kogu avaliku interneti jaoks, mille eest poleks pääsu.
Nüüd, kui oleme kindlaks teinud selle ettepaneku radikaalse olemuse, on aeg küsida, milliseid põhjendusi Euroopa Komisjon selle muudatuse põhjendamiseks pakub? Euroopa Komisjoni sõnul ei ole isiku tuvastamine avaliku võtme infrastruktuuri (PKI) abil piisav. Ja et need muudatused on vajalikud selle parandamiseks.
Kas Euroopa Komisjoni väidetel on mingitki tõtt? Praegune PKI nõuab enamasti vaid veebisaidi kontrolli tõendamise taotlust. Kuigi see on midagi, ei garanteeri see näiteks, et veebiaadress „apple.com” kuulub tarbeelektroonikaettevõttele Apple Inc, mille peakorter asub Cupertinos Californias. Pahatahtlik kasutaja võib hankida kehtiva sertifikaadi domeeninimele, mis on sarnane tuntud ettevõtte nimega. Kehtivat sertifikaati saaks kasutada rünnakus, mis tugineks mõne kasutaja ebapiisavale otsingule ja ebatäpse nime märkamisele. See juhtus... makseprotsessor Stripe.
Kirjastajatele, kes soovivad maailmale tõestada, et nad on tõepoolest sama juriidiline üksus, on mõned CA-d pakkunud Laiendatud valideerimise (EV) sertifikaadid„Laiendatud“ osa koosneb ettevõtte enda täiendavatest kinnitustest, näiteks ettevõtte aadress, toimiv telefoninumber, ärilitsents või registreerimistunnistus ja muud tegutsevale ettevõttele iseloomulikud atribuudid. Elektrisõidukid on hinnaklassis kõrgemad, kuna need nõuavad pädevalt asutuselt rohkem tööd.
Varem kuvasid brauserid elektrisõidukitele esiletõstetud visuaalset tagasisidet, näiteks erinevat värvi või tugevamat lukuikooni. Viimastel aastatel pole elektrisõidukid turul eriti populaarsed olnud. Need on enamasti kadunud. Paljud brauserid ei kuva enam erinevat tagasisidet.
Vaatamata endiselt esinevatele nõrkustele on PKI aja jooksul märkimisväärselt paranenud. Kui puudustest on aru saadud, on need kõrvaldatud. Krüptograafilisi algoritme on tugevdatud, juhtimist on parandatud ja haavatavusi on blokeeritud. Valdkonna osalejate konsensusel põhinev juhtimine on toiminud üsna hästi. Süsteem areneb edasi nii tehnoloogiliselt kui ka institutsionaalselt. Peale regulaatorite sekkumise pole põhjust teisiti oodata.
Elektriautode kesisest ajaloost oleme õppinud, et turg ei hooli ettevõtte identiteedi kontrollimisest nii palju. Kui internetikasutajad seda aga sooviksid, ei peaks olemasoleva PKI lõhkuma, et neile seda pakkuda. Piisaks väikestest muudatustest olemasolevates töövoogudes. Mõned kommenteerijad on teinud ettepaneku muuta TLS-käepigistus; veebisait kuvaks ühe täiendava sertifikaadi. Põhisertifikaat toimiks nagu praegu. QWAC-i allkirjastatud teisene sertifikaat rakendaks täiendavaid identiteedistandardeid, mida EC enda sõnul soovib.
Euroopa Komisjoni väidetavad eIDAS-i põhjendused pole lihtsalt usutavad. Lisaks sellele, et esitatud põhjendused on ebausutavad, ei vaevu Euroopa Komisjon isegi tavapärase pühadusetegeva vingumisega selle üle, kuidas me peame ohutuse nimel ohverdama olulisi vabadusi, sest seisame silmitsi tõsise ohuga, nagu [vali üks] inimkaubandus, laste turvalisus, rahapesu, maksudest kõrvalehoidumine või (minu isiklik lemmik)... kliimamuutusedEi saa eitada, et EL teeb meile valet.
Kui Euroopa Komisjon pole oma tegelike motiivide osas aus, siis mida nad taotlevad? Gibson näeb. kuritahtlik kavatsus:
Ja on ainult üks võimalik põhjus, miks nad tahavad [sundida brausereid QWAC-e usaldama] – see on võimaldada reaalajas internetiliikluse pealtkuulamist, täpselt nagu see toimub ettevõtetes. Ja seda tunnistatakse.
(Gibson peab „veebiliikluse pealtkuulamise” all silmas eespool kirjeldatud MITM-rünnakut.) Teised kommentaarid on toonud esile selle sünged tagajärjed sõnavabadusele ja poliitilistele protestidele. pikas essees esitab libeda nõlva argumendi:
Kui liberaalne demokraatia kehtestab sellise kontrolli veebitehnoloogia üle, hoolimata selle tagajärgedest, loob see aluse autoritaarsematele valitsustele, kes saavad karistamatult sama eeskuju järgida.
Mozilla tsiteeritud techdirtis (ilma lingita originaalile) ütleb enam-vähem sama:
[Brauserite sundimine automaatselt usaldama valitsuse toetatud sertifitseerimisasutusi on autoritaarsete režiimide peamine taktika ning need osalejad saaksid julgust ELi tegevuse legitimeerivast mõjust...
Gibson teeb sarnast tähelepanek:
Ja siis on veel väga reaalne oht, milliseid teisi uksi see avab: kui EL näitab ülejäänud maailmale, et suudab edukalt dikteerida usaldustingimusi oma kodanike poolt kasutatavatele sõltumatutele veebibrauseritele, siis millised teised riigid sarnaste seadustega järgivad eeskuju? Nüüd saavad kõik lihtsalt nõuda oma riigi sertifikaatide lisamist. See viib meid täpselt vales suunas.
See kavandatav artikkel 45 on rünnak kasutajate privaatsusele EL-i riikides. Vastuvõtmise korral oleks see tohutu tagasilöök mitte ainult internetiturvalisuses, vaid ka arenenud valitsemissüsteemis. Olen Steve Gibsoniga nõus, et:
Täiesti ebaselge on see, millega ma pole kusagil kokku puutunud, selgitus volituste kohta, mille abil EL kujutab ette, et suudab dikteerida teiste organisatsioonide tarkvara disaini. Sest see ongi asja mõte.
Artikli 45 ettepanekule on reageeritud äärmiselt negatiivselt. EKF Artikkel 45 vähendab veebiturvalisust 12 aasta võrra kirjutab: „See on katastroof kõigi internetikasutajate privaatsusele, aga eriti nende jaoks, kes kasutavad internetti ELis.“
eIDAS-i algatus on turvakogukonnale nelja häirekell. Mozilla – avatud lähtekoodiga Firefoxi veebibrauseri looja – postitas... Tööstuse ühisavaldus sellele vastu. Avalduse on allkirjastanud nimekiri tipptasemel internetitaristu ettevõtetest, sealhulgas Mozilla ise, Cloudflare, Fastly ja Linux Foundation.
Alates avaliku kirja eespool mainitud:
Pärast peaaegu lõpliku teksti lugemist oleme sügavalt mures artikli 45 kavandatud teksti pärast. Praegune ettepanek laiendab radikaalselt valitsuste võimet jälgida nii oma kodanikke kui ka elanikke kogu ELis, pakkudes neile tehnilisi vahendeid krüpteeritud veebiliikluse pealtkuulamiseks, samuti õõnestades olemasolevaid järelevalvemehhanisme, millele Euroopa kodanikud toetuvad.
Kuhu see viib? Määruse ettepanek on olnud juba mõnda aega. Lõplik otsus oli kavandatud 2023. aasta novembriks. Veebiotsingud ei näita sellest ajast alates selle teema kohta uut teavet.
Viimastel aastatel on otsene tsensuur kõigis oma vormides sagenenud. Koroonahulluse ajal tegid valitsus ja tööstus koostööd, et luua tsensuur-tööstuslik kompleks et levitada tõhusamalt valejutte ja maha suruda teisitimõtlejaid. Viimastel aastatel on skeptikud ja sõltumatud hääled vastu võidelnud, kohtutesja luues vaatepunktist neutraalne platvormid.
Kuigi kõnetsensuur on jätkuvalt suur oht, on kirjanike ja ajakirjanike õigused paremini kaitstud kui paljud teised õigused. USA-s on Esimene Muudatusettepanek on sõnaselgelt kaitstud sõnavabadus ja vabadus valitsust kritiseerida. Kohtud võivad olla seisukohal, et kõik õigused või vabadused, mida ei kaitse väga spetsiifiline seaduslik keel, on aus mäng. See võib olla põhjus, miks vastupanuliikumine on sõnavabaduse osas olnud edukam kui muud jõupingutused võimu kuritarvitamise peatamiseks, näiteks karantiinid ja rahvastiku sulgemised.
Hästi kaitstud vaenlase asemel suunavad valitsused oma rünnakud interneti infrastruktuuri teistele kihtidele. Need teenused, nagu domeeni registreerimine, DNS, sertifikaadid, makse töötlejad, majutus ja rakenduste poed, koosnevad suures osas eraturu tehingutest. Need teenused on palju halvemini kaitstud kui kõne, kuna enamasti ei ole kellelgi õigust osta konkreetset teenust konkreetselt ettevõttelt. Ja tehnilisemad teenused, nagu DNS ja PKI, on avalikkusele vähem arusaadavad kui veebipublikatsioon.
PKI-süsteem on rünnakute suhtes eriti haavatav, kuna see toimib maine ja konsensuse alusel. Puudub ühtne autoriteet, mis kogu süsteemi juhiks. Osalejad peavad maine teenima läbipaistvuse, vastavusnõuetele ja rikete ausa aruandluse kaudu. Ja see muudab selle seda tüüpi häirivate rünnakute suhtes haavatavaks. Kui EL-i PKI langeb regulaatorite kätte, eeldan, et teised riigid järgivad eeskuju. PKI pole mitte ainult ohus. Kui on tõestatud, et regulaatorid saavad rünnata ka teisi süsteemi kihte, võetakse sihikule ka need.
Liituge vestlusega:
Avaldatud all Creative Commons Attribution 4.0 rahvusvaheline litsents
Kordustrükkide puhul palun muutke kanooniline link tagasi algsele. Brownstone'i instituut Artikkel ja autor.
