Ассоциация Европейская комиссия — законодательный орган ЕС, обладающий регулирующими полномочиями в области цифровых технологий. Предлагаемая статья 45 ЕС eIDAS намеренно ослабит области интернет-безопасности, которые отрасль тщательно развивала и укрепляла на протяжении более 25 лет. Эта статья фактически предоставит 27 правительствам ЕС значительно расширенные полномочия по наблюдению за использованием Интернета.
Правило потребует от всех интернет-браузеров доверять дополнительному корневому сертификату агентства (или регулируемой организации) каждого из национальных правительств каждого из государств-членов ЕС. Для нетехнических читателей я объясню, что такое корневой сертификат, как развивалось доверие в Интернете и что с этим делает Статья 45. А затем я выделю некоторые комментарии технического сообщества по этому поводу.
В следующем разделе этой статьи будет объяснено, как работает инфраструктура доверия в Интернете. Эта предыстория необходима для того, чтобы понять, насколько радикальна предлагаемая статья. Объяснение предназначено для того, чтобы быть доступным для нетехнического читателя.
Данное постановление касается интернет-безопасности. Здесь «Интернет» в основном означает посещение веб-сайтов браузерами. Интернет-безопасность состоит из множества различных аспектов. Статья 45 призвана изменить инфраструктура открытых ключей (PKI), часть интернет-безопасности с середины 90-х годов. PKI сначала была принята, а затем в течение 25 лет совершенствовалась, чтобы дать пользователям и издателям следующие гарантии:
- Конфиденциальность разговора между браузером и веб-сайтом: Браузеры и веб-сайты общаются через Интернет, сеть сетей, управляемую Интернет-провайдерыкачества Авианосцы первого уровня; или сотовые операторы если устройство мобильное. Сама по себе сеть не является ни безопасной, ни заслуживающей доверия. Твой любопытный домашний интернет-провайдер, путешественник в зале ожидания аэропорта где вы ждете свой рейс, или поставщик данных, желающий продать потенциальных клиентов рекламодателям может захотеть шпионить за тобой. Без какой-либо защиты злоумышленник может просмотреть конфиденциальные данные, такие как пароль, баланс кредитной карты или медицинскую информацию.
- Гарантируйте, что вы просматриваете страницу именно так, как ее вам отправил сайт.: Когда вы просматриваете веб-страницу, могла ли она быть изменена между издателем и вашим браузером? Цензор может захотеть удалить контент, который он не хочет, чтобы вы видели. Контент, помеченный как «дезинформация», широко подавлялся во время ковидной истерии. Хакер, укравший вашу кредитную карту, возможно, захочет удалить доказательства своих мошеннических обвинений.
- Гарантируйте, что веб-сайт, который вы видите, действительно тот, который указан в адресной строке браузера.: Когда вы подключаетесь к банку, как вы узнаете, что видите сайт этого банка, а не поддельную версию, которая выглядит идентично? Вы проверяете адресную строку в своем браузере. Можно ли обманом заставить ваш браузер показать вам поддельный веб-сайт, который выглядит идентично реальному? Как ваш браузер узнает наверняка, что он подключен к нужному сайту?
На заре Интернета ни одной из этих гарантий не существовало. В 2010, плагин для браузера, доступный в магазине дополнений позволил пользователю участвовать в чужом групповом чате Facebook в точке доступа кафе. Теперь, благодаря PKI, вы можете быть в этом уверены.
Эти функции безопасности защищены системой, основанной на цифровые сертификаты. Цифровые сертификаты представляют собой форму удостоверения личности — интернет-версию водительских прав. Когда браузер подключается к сайту, сайт представляет браузеру сертификат. Сертификат содержит криптографический ключ. Браузер и веб-сайт работают вместе, выполняя ряд криптографических вычислений для настройки безопасной связи.
Вместе браузер и веб-сайт обеспечивают три гарантии безопасности:
- политикой конфиденциальности.: зашифровав разговор.
- криптографические цифровые подписи: для обеспечения того, чтобы контент не изменяется во время полета.
- проверка издателя: через цепочку доверия, предоставляемую PKI, об этом я объясню более подробно ниже.
Хорошую личность должно быть трудно подделать. В древнем мире, восковая отливка печати служил этой цели. Идентичность людей основывается на биометрии. Ваше лицо — одна из древнейших форм. В нецифровом мире, когда вам нужно получить доступ к настройкам с возрастными ограничениями, например, для заказа алкогольных напитков, вас попросят предъявить удостоверение личности с фотографией.
Еще одним биометрическим методом, существовавшим до наступления цифровой эры, было сопоставление вашей свежей подписи, сделанной пером, с оригинальной подписью на обратной стороне вашего удостоверения личности. Поскольку эти старые типы биометрических данных становится легче подделать, проверка личности человека адаптировалась. Теперь банк обычно отправляет вам код подтверждения на ваш мобильный телефон. Приложение требует, чтобы вы прошли биометрическую проверку личности на своем мобильном телефоне, чтобы просмотреть код, такой как распознавание лица или отпечаток пальца.
Помимо биометрических данных, вторым фактором, делающим удостоверение личности надежным, является его эмитент. Широкое признание идентификаторов зависит от способности эмитента проверить, что лицо, подающее заявку на получение идентификатора, является тем, кем он себя называет. Большинство наиболее широко распространенных форм удостоверений личности выдаются государственными учреждениями, такими как Департамент транспортных средств. Если у агентства, выдавшего удостоверение личности, есть надежные средства для отслеживания того, кто и где находятся его субъекты, такие как налоговые платежи, записи о трудоустройстве или использование услуг водоснабжения, то есть большая вероятность, что агентство сможет проверить, что лицо, указанное в удостоверении личности, является тот человек.
В онлайн-мире правительства по большей части не участвуют в проверке личности. Сертификаты выдаются частными фирмами, известными как центры сертификации (ЦА). Раньше сертификаты были довольно дорогими, но стоимость их значительно снизилась до такой степени, что некоторые бесплатны. Наиболее известные центры сертификации — Verisign, DigiCert и GoDaddy. Райан Херст показывает семь основных центров сертификации (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft и IdenTrust) выдают 99% всех сертификатов.
Браузер примет сертификат в качестве подтверждения личности только в том случае, если поле имени в сертификате соответствует имени домена, которое браузер показывает в строке адреса. Даже если имена совпадают, доказывает ли это, что сертификат с надписью «apple.comпринадлежит компании по производству бытовой электроники, известной как Apple, Inc.? Нет. Системы идентификации не являются пуленепробиваемыми. Несовершеннолетние пьющие можно получить поддельные удостоверения личности. Как и идентификаторы человека, цифровые сертификаты могут быть поддельными или недействительными по другим причинам. Инженер-программист, используя бесплатные инструменты с открытым исходным кодом, может создать цифровой сертификат с именем «apple.com» с помощью несколько команд Linux.
Система PKI использует центры сертификации для выдачи любого сертификата только владельцу веб-сайта. Процедура получения сертификата выглядит следующим образом:
- Издатель веб-сайта обращается к своему предпочтительному центру сертификации за сертификатом домена.
- Центр сертификации проверяет, что запрос на сертификат исходит от фактического владельца этого сайта. Как СА это устанавливает? Центр сертификации требует, чтобы объект, отправляющий запрос, опубликовал конкретную часть контента по определенному URL-адресу. Возможность сделать это доказывает, что организация контролирует веб-сайт.
- Как только веб-сайт подтвердит право собственности на домен, центр сертификации добавляет криптографическая цифровая подпись к сертификату с использованием собственного закрытого криптографического ключа. Подпись идентифицирует ЦС как эмитента.
- Подписанный сертификат передается физическому или юридическому лицу, делающему запрос.
- Издатель устанавливает свой сертификат на свой веб-сайт, чтобы он мог быть доступен браузерам.
Криптографические цифровые подписи представляют собой «математическую схему проверки подлинности цифровых сообщений или документов». Это не то же самое, что онлайн-подпись документов, предоставляемая DocuSign и аналогичными поставщиками. Если бы подпись можно было подделать, сертификаты не заслуживали бы доверия. Со временем размер криптографических ключей увеличился, чтобы затруднить подделку. Исследователи криптографии полагают, что существующие подписи практически невозможно подделать. Другая уязвимость связана с кражей секретных ключей центра сертификации. Затем вор сможет предоставить действительные подписи этого центра сертификации.
После установки сертификата он используется при настройке веб-разговора. Ассоциация Зарегистрируйтесь объясняет, как это происходит:
Если сертификат выдан заведомо исправным центром сертификации и все данные верны, то сайт является доверенным, и браузер попытается установить безопасное зашифрованное соединение с веб-сайтом, чтобы ваша активность на сайте не была видна. для подслушивающего устройства в сети. Если сертификат был выдан недоверенным центром сертификации, или сертификат не соответствует адресу веб-сайта, или некоторые детали неверны, браузер отклонит веб-сайт из-за опасений, что он не подключается к фактическому веб-сайту, который хочет пользователь. , и, возможно, разговаривает с двойником.
Мы можем доверять браузеру, потому что браузер доверяет веб-сайту. Браузер доверяет веб-сайту, поскольку сертификат был выдан «заведомо хорошим» центром сертификации. Но что такое «известный хороший центр сертификации»? Большинство браузеров полагаются на центры сертификации, предоставляемые операционной системой. Список заслуживающих доверия центров сертификации определяется поставщиками устройств и программного обеспечения. Крупнейшие поставщики компьютеров и устройств — Microsoft, Apple, производители телефонов Android и дистрибьюторы Linux с открытым исходным кодом — предварительно загружают операционную систему на свои устройства с набором корневых сертификатов.
Эти сертификаты идентифицируют центры сертификации, которые они проверили и считают надежными. Эта коллекция корневых сертификатов называется «хранилищем доверенных сертификатов». Возьмем близкий мне пример: ПК с Windows, который я использую для написания этой статьи, имеет 70 корневых сертификатов в своем хранилище доверенных корневых сертификатов. Сайт поддержки Apple перечисляет все корни, которым доверяет версия MacOS Sierra..
Как поставщики компьютеров и телефонов решают, каким центрам сертификации можно доверять? У них есть программы аудита и соответствия для оценки качества центров сертификации. Включаются только те, кто прошел. См., например, браузер Chrome (который предоставляет собственное хранилище доверенных сертификатов, а не использует хранилище на устройстве). ЭФФ (которая называет себя «ведущей некоммерческой организацией, защищающей гражданские свободы в цифровом мире».) объясняет,:
Браузеры используют «корневые программы» для мониторинга безопасности и надежности центров сертификации, которым они доверяют. Эти корневые программы предъявляют ряд требований, варьирующихся от «как должен быть защищен ключевой материал» до «как должна выполняться проверка контроля доменного имени» и «какие алгоритмы должны использоваться для подписи сертификата».
После того как центр сертификации был принят поставщиком, поставщик продолжает его отслеживать. Поставщики удалят центры сертификации из хранилища доверенных сертификатов, если центр сертификации не будет поддерживать необходимые стандарты безопасности. Центры сертификации могут выйти из строя или выйти из строя по другим причинам. Ассоциация Зарегистрируйтесь отчеты:
Сертификаты и центры сертификации, которые их выдают, не всегда заслуживают доверия, и производители браузеров на протяжении многих лет удаляли корневые сертификаты центров сертификации из центров сертификации, расположенных в Турции, Франции, Китае, Казахстане и других странах, когда было обнаружено, что выдавшая организация или связанная с ней сторона перехватывает веб-страницы. трафик.
В 2022 году исследователь Ян Кэрролл сообщил Проблемы безопасности с центром сертификации e-Tugra. Кэрролл «обнаружил ряд тревожных проблем, которые меня беспокоят в отношении методов обеспечения безопасности внутри их компании», таких как слабые учетные данные. Отчеты Кэрролла были проверены крупнейшими поставщиками программного обеспечения. В результате е-Тугра была удалены из хранилищ доверенных сертификатов.
Ассоциация Хронология сбоев центров сертификации рассказывает о других подобных случаях.
В PKI в ее нынешнем виде все еще есть известные дыры. Поскольку для понимания статьи 45 eIDAS важен один конкретный вопрос, я объясню его далее. Доверие ЦС не распространяется на те веб-сайты, которые ведут бизнес с этим ЦС. Браузер примет сертификат от любого доверенного центра сертификации для любого веб-сайта. Ничто не мешает ЦС выдать злоумышленнику веб-сайт, который не был запрошен владельцем сайта. Такой сертификат был бы поддельным в юридическом смысле в зависимости от того, кому он был выдан. Но содержимое сертификата будет технически действительным с точки зрения браузера.
Если бы существовал способ связать каждый веб-сайт с предпочитаемым им центром сертификации, то любой сертификат для этого сайта от любого другого центра сертификации был бы немедленно признан поддельным. Закрепление сертификата — еще один стандарт, делающий шаг в этом направлении. Но как будет публиковаться эта ассоциация и как этому издателю можно будет доверять?
На каждом уровне этого процесса техническое решение опирается на внешний источник доверия. Но как устанавливается это доверие? Полагаясь на еще более надежный источник на следующем более высоком уровне? Этот вопрос иллюстрирует «черепахи, полностью вниз» характер проблемы. У PKI есть черепаха внизу: репутация, видимость и прозрачность индустрии безопасности и ее клиентов. Доверие на этом уровне строится посредством постоянного мониторинга, открытых стандартов, разработчиков программного обеспечения и центров сертификации.
Были выданы поддельные сертификаты. В 2013 году ArsTechnica сообщила Французское агентство поймано на чеканке SSL-сертификатов под видом Google:
В 2011 году… исследователи безопасности обнаружил поддельный сертификат для Google.com это дало злоумышленникам возможность выдавать себя за почтовую службу и другие предложения веб-сайта. Поддельный сертификат был отчеканен после того, как злоумышленники взломали систему безопасности голландской компании DigiNotar и получили контроль над ее системами выдачи сертификатов.
Учетные данные уровня защищенных сокетов (SSL) были подписаны цифровой подписью действующего центра сертификации… Фактически сертификаты представляли собой несанкционированные дубликаты, выданные в нарушение правил, установленных производителями браузеров и службами центров сертификации.
Возможна мошенническая выдача сертификата. Мошеннический центр сертификации может его выдать, но далеко они не уйдут. Плохой сертификат будет обнаружен. Плохой центр сертификации не сможет обеспечить соответствие требованиям и будет удален из хранилищ доверенных сертификатов. Без принятия CA прекратит свою деятельность. Прозрачность сертификата, более новый стандарт, обеспечивает более быстрое обнаружение поддельных сертификатов.
Почему центр сертификации может стать мошенником? Какую выгоду может получить злоумышленник от неавторизованного сертификата? С одним только сертификатом не так уж и много, даже если он подписан доверенным центром сертификации. Но если злоумышленник может объединиться с интернет-провайдером или иным образом получить доступ к сети, которую использует браузер, сертификат дает злоумышленнику возможность нарушить все гарантии безопасности PKI.
Хакер может установить Атака «человек посередине» (MITM) на разговоре. Злоумышленник может вставить себя между браузером и реальным веб-сайтом. В этом сценарии пользователь будет разговаривать напрямую с злоумышленником, а злоумышленник будет передавать содержимое туда и обратно с реальным веб-сайтом. Злоумышленник предоставит браузеру поддельный сертификат. Поскольку он был подписан доверенным центром сертификации, браузер его примет. Злоумышленник мог просмотреть и даже изменить то, что отправила любая из сторон, до того, как другая сторона это получила.
Теперь мы подходим к зловещей статье 45 eIDAS ЕС. Этот предлагаемый регламент требует, чтобы все браузеры доверяли корзине сертификатов от центров сертификации, назначенных ЕС. Двадцать семь, если быть точным: по одному на каждую страну-члена. Эти сертификаты следует называть Квалифицированные сертификаты аутентификации веб-сайта. Аббревиатура «QWAC» имеет неудачный омофон. знахарство – или, возможно, ЕС нас троллит.
QWAC будут выпускаться либо правительственными учреждениями, либо, как называет это Майкл Ректенвальд, правительственность: «корпорации, компании и другие филиалы государства, которые иначе называются «частными», но на самом деле действуют как государственные аппараты, поскольку они насаждают государственные нарративы и диктат».
Эта схема приблизит правительства стран-членов ЕС на один шаг к тому моменту, когда они смогут атаковать своих граждан по принципу «человек посередине». Им также потребуется доступ к сетям. Правительства в состоянии сделать это. Если бы интернет-провайдер работал как государственное предприятие, то он уже был бы у них. Если интернет-провайдеры являются частными фирмами, то местные власти могли использовать полномочия полиции для получения доступа.
Один момент, который не был подчеркнут в публичном разговоре, заключается в том, что браузер в любой из 27 стран-членов ЕС должен будет принимать каждый QWAC, по одному от каждой страны. член ЕС. Это означает, что браузер, например, в Испании, должен будет доверять QWAC от организаций в Хорватии, Финляндии и Австрии. Испанский пользователь, посещающий австрийский веб-сайт, должен будет пройти через австрийские части Интернета. Все поднятые выше проблемы применимы ко всем странам ЕС.
Регистр, в статье под названием Плохой eIDAS: Европа готова перехватывать и шпионить за вашими зашифрованными HTTPS-соединениями объясняет, как это может работать:
[T]что правительство может запросить у своего дружественного центра сертификации копию сертификата [QWAC], чтобы правительство могло выдавать себя за веб-сайт, или запросить какой-либо другой сертификат, которому браузеры будут доверять и принимать для сайта. Таким образом, используя атаку «человек посередине», правительство может перехватывать и расшифровывать зашифрованный HTTPS-трафик между веб-сайтом и его пользователями, позволяя режиму в любое время точно отслеживать, что люди делают на этом сайте.
Пройдя сквозь защиту шифрования, мониторинг может включать сохранение паролей пользователей, а затем использование их в другое время для доступа к учетным записям электронной почты граждан. Помимо мониторинга, правительства могут изменять контент онлайн. Например, они могут удалить повествования, которые хотят подвергнуть цензуре. Они могут придавать раздражающие няня проводит государственную проверку фактов и предупреждения о содержании к инакомыслию.
При нынешнем положении дел центры сертификации должны поддерживать доверие сообщества браузеров. Браузеры в настоящее время предупреждают пользователя, если сайт предоставляет просроченный или ненадежный сертификат по иным причинам. Согласно статье 45, предупреждения или увольнение злоумышленников будут запрещены. Браузеры не только обязаны доверять QWAC, но статья 45 запрещает браузерам показывать предупреждение о том, что сертификат подписан QWAC.
Последний шанс для eIDAS (веб-сайт с логотипом Mozilla) выступает против статьи 45:
Любое государство-член ЕС имеет возможность назначать криптографические ключи для распространения в веб-браузерах, и браузерам запрещено отзывать доверие к этим ключам без разрешения правительства.
…Не существует независимой сдержки или противовеса решениям, принимаемым государствами-членами в отношении ключей, которые они разрешают, и их использования. Это вызывает особую тревогу, учитывая, что соблюдение верховенства закона не был единообразным во всех государствах-членах, с документально подтвержденными случаями принуждение со стороны тайной полиции в политических целях.
В одном из открытое письмо, подписанное несколькими сотнями исследователей безопасности и компьютерных ученых:
Статья 45 также запрещает проверки безопасности веб-сертификатов ЕС, если это прямо не разрешено правилами при установлении зашифрованных соединений веб-трафика. Вместо определения набора минимальных мер безопасности, которые должны применяться в качестве базового уровня, он фактически определяет верхнюю границу мер безопасности, которую нельзя улучшить без разрешения ETSI. Это противоречит устоявшимся мировым нормам, согласно которым новые технологии кибербезопасности разрабатываются и внедряются в ответ на быстрое развитие технологий.
Большинство из нас полагаются на то, что наши поставщики составляют список доверенных центров сертификации. Однако как пользователь вы можете по своему усмотрению добавлять или удалять сертификаты на своих устройствах. Microsoft Windows имеет инструмент для этого. В Linux корневые сертификаты представляют собой файлы, расположенные в одном каталоге. Центр сертификации может стать недоверенным, просто удалив файл. Это тоже будет запрещено? Стив Гибсон, известный эксперт по безопасности, обозреватель, и хозяин давний подкаст Security Now спрашивает:
Но ЕС заявляет, что браузеры будут обязаны соблюдать эти новые, непроверенные и непроверенные центры сертификации и, следовательно, любые выдаваемые ими сертификаты, без исключений и без права обращения за ними. Означает ли это, что мой экземпляр Firefox будет по закону обязан отклонить мою попытку удалить эти сертификаты?
Гибсон отмечает, что некоторые корпорации осуществляют подобное наблюдение за своими сотрудниками в собственной частной сети. Каким бы ни было ваше мнение об этих условиях труда, в некоторых отраслях есть законные причины для проведения аудита и соблюдения требований, позволяющие отслеживать и фиксировать то, что их сотрудники делают с ресурсами компании. Но, как сказал Гибсон продолжается,
Проблема в том, что ЕС и его страны-члены сильно отличаются от сотрудников частной организации. В любой момент, когда сотрудник не хочет, чтобы за ним шпионили, он может использовать свой смартфон, чтобы обойти сеть своего работодателя. И, конечно же, частная сеть работодателя — это всего лишь частная сеть. ЕС хочет сделать это для всего публичного Интернета, из которого не будет выхода.
Теперь мы установили радикальность этого предложения. Настало время спросить, какие причины предлагает ЕК в качестве мотивации этих изменений? ЕК заявляет, что проверка личности в рамках PKI недостаточна. И что эти изменения нужны для его улучшения.
Есть ли доля правды в утверждениях ЕС? Текущая PKI в большинстве случаев требует только запроса на подтверждение контроля над веб-сайтом. Хотя это и так, это не гарантирует, например, что веб-ресурс «apple.com» принадлежит компании бытовой электроники, известной как Apple Inc, со штаб-квартирой в Купертино, Калифорния. Злоумышленник может получить действительный сертификат для домена, похожего на имя известной компании. Действительный сертификат может быть использован в атаке, в которой некоторые пользователи не будут внимательно искать и не заметят, что имя не совсем совпадает. Это случилось с платежный процессор Stripe.
Издателям, желающим доказать всему миру, что они на самом деле являются одним и тем же юридическим лицом, некоторые центры сертификации предлагают Сертификаты расширенной проверки (EV). «Расширенная» часть состоит из дополнительных проверок самой компании, таких как юридический адрес, рабочий номер телефона, бизнес-лицензия или регистрация, а также другие атрибуты, типичные для действующего предприятия. Электромобили указаны по более высокой цене, потому что они требуют больше работы со стороны CA.
Браузеры раньше отображали выделенную визуальную обратную связь для электромобиля, например, другой цвет или более прочный значок замка. В последние годы электромобили не пользовались особой популярностью на рынке. Они в основном вымерли. Многие браузеры больше не отображают дифференциальную обратную связь.
Несмотря на все еще существующие недостатки, PKI со временем заметно улучшилась. Когда недостатки стали понятны, они были устранены. Криптографические алгоритмы были усилены, управление улучшилось, а уязвимости заблокированы. Управление на основе консенсуса участников отрасли сработало весьма хорошо. Система будет продолжать развиваться как в технологическом, так и в институциональном плане. Если не считать вмешательства регулирующих органов, нет никаких оснований ожидать иного.
Из тусклой истории электромобилей мы узнали, что рынок не так уж заботится о проверке корпоративной идентичности. Однако, если бы интернет-пользователи действительно этого хотели, для предоставления им этой инфраструктуры не потребовалось бы ломать существующую PKI. Некоторых небольших изменений в существующих рабочих процессах будет достаточно. Некоторые комментаторы предложили изменить TLS рукопожатие; на веб-сайте будет представлен еще один сертификат. Основной сертификат будет работать так же, как и сейчас. Вторичный сертификат, подписанный QWAC, будет реализовывать дополнительные стандарты идентификации, которые, по словам ЕС, нужны.
Предполагаемые причины EC для eIDAS просто не заслуживают доверия. Мало того, что причины приводятся неправдоподобно, ЕС даже не утруждает себя обычным ханжеским нытьем о том, как мы должны жертвовать важными свободами во имя безопасности, потому что мы сталкиваемся с серьезной угрозой [выберите одно] торговли людьми, безопасности детей, отмывания денег. , уклонение от уплаты налогов или (мой личный фаворит) изменение климата. Нельзя отрицать, что ЕС нас газлайтингует.
Если ЕК нечестна в отношении своих истинных мотивов, то чего они добиваются? Гибсон видит гнусный умысел:
И есть только одна возможная причина, по которой они хотят [заставить браузеры доверять QWAC], а именно обеспечить возможность оперативного перехвата интернет-трафика, точно так же, как это происходит внутри корпораций. И это признано.
(Под «перехватом веб-трафика» Гибсон подразумевает описанную выше атаку MITM.) В других комментариях подчеркиваются зловещие последствия для свободы слова и политического протеста. Херст в длинном эссе приводит аргумент на скользкой дорожке:
Когда либеральная демократия устанавливает подобный контроль над технологиями в сети, несмотря на его последствия, это закладывает основу для того, чтобы более авторитарные правительства могли безнаказанно следовать этому примеру.
Mozilla цитируется в techdirt (без ссылки на оригинал) говорит примерно то же самое:
[Заставить браузеры автоматически доверять поддерживаемым правительством центрам сертификации — ключевая тактика, используемая авторитарными режимами, и эти субъекты будут воодушевлены легитимизирующим эффектом действий ЕС…
Гибсон делает нечто подобное наблюдение:
И тогда возникает вполне реальный призрак того, какие еще двери это открывает: если ЕС покажет остальному миру, что он может успешно диктовать условия доверия независимым веб-браузерам, используемым его гражданами, какие другие страны последуют с аналогичными законами? ? Теперь каждый может просто потребовать добавления сертификатов своей страны. Это ведет нас совершенно в неправильном направлении.
Предлагаемая статья 45 представляет собой атаку на конфиденциальность пользователей в странах ЕС. Если он будет принят, это станет огромным ударом не только в сфере интернет-безопасности, но и в развитой системе управления. Я согласен со Стивом Гибсоном в том, что:
Что совершенно неясно и чего я нигде не встречал, так это объяснение полномочий, с помощью которых ЕС воображает, что он может диктовать дизайн программного обеспечения другой организации. Потому что это то, к чему все сводится.
Реакция на предложенную статью 45 была в основном отрицательной. EFF в Статья 45 приведет к отмене веб-безопасности на 12 лет пишет: «Это катастрофа для конфиденциальности всех, кто пользуется Интернетом, но особенно для тех, кто пользуется Интернетом в ЕС».
Усилия eIDAS — это тревожный сигнал для сообщества безопасности. Mozilla – производитель веб-браузера Firefox с открытым исходным кодом – опубликовала Совместное заявление отрасли выступая против этого. Заявление подписано звездным списком компаний, занимающихся интернет-инфраструктурой, включая саму Mozilla, Cloudflare, Fastly и Linux Foundation.
Из Открой письмо упомянутое выше:
Прочитав почти окончательный текст, мы глубоко обеспокоены предлагаемым текстом статьи 45. Текущее предложение радикально расширяет возможности правительств осуществлять слежку как за своими гражданами, так и за резидентами по всему ЕС, предоставляя им технические средства для перехвата зашифрованных сообщений. веб-трафика, а также подрывает существующие механизмы надзора, на которые полагаются европейские граждане.
Куда это идет? Постановление было предложено уже некоторое время. Окончательное решение было запланировано на ноябрь 2023 года. С тех пор поиск в Интернете не выявил новой информации по этой теме.
За последние несколько лет прямая цензура во всех ее формах усилилась. Во время безумия, вызванного вирусом, правительство и промышленность объединились, чтобы создать цензурно-промышленный комплекс более эффективно продвигать ложные идеи и подавлять диссидентов. В последние несколько лет скептики и независимые голоса дали отпор. в судахи, создав нейтральный к точке зрения платформ.
Хотя цензура слова по-прежнему представляет большую опасность, права писателей и журналистов защищены лучше, чем многие другие права. В США Первая поправка имеет явную защиту слова и свободу критиковать правительство. Суды могут прийти к мнению, что любые права или свободы, не защищенные весьма конкретными формулировками закона, являются честной игрой. Это может быть причиной того, что сопротивление добилось большего успеха в выступлениях, чем другие попытки остановить другие злоупотребления властью, такие как изолирует и блокирование населения.
Вместо того, чтобы быть хорошо защищенным противником, правительства переносят свои атаки на другие уровни интернет-инфраструктуры. Эти услуги, такие как регистрация доменов, DNS, сертификаты, платежные системы, хостинг и магазины приложений, в основном состоят из транзакций на частном рынке. Эти услуги защищены гораздо хуже, чем речь, поскольку по большей части никто не имеет права приобретать конкретную услугу у конкретной компании. Более технические услуги, такие как DNS и PKI, менее понятны общественности, чем веб-публикации.
Система PKI особенно уязвима для атак, поскольку она работает на основе репутации и консенсуса. Не существует единого органа, который управлял бы всей системой. Игроки должны зарабатывать репутацию посредством прозрачности, соблюдения требований и честного сообщения о неудачах. И это делает его уязвимым для такого типа разрушительных атак. Если PKI ЕС попадет под контроль регулирующих органов, я ожидаю, что другие страны последуют этому примеру. Риску подвергается не только PKI. Как только будет доказано, что регуляторы могут атаковать другие уровни стека, они также станут мишенью.
Опубликовано под Creative Commons Attribution 4.0 Международная лицензия
Для перепечатки установите каноническую ссылку на оригинал. Институт Браунстоуна Статья и Автор.
