A Európai Bizottság egy uniós jogalkotó szerv, amely szabályozási hatáskörrel rendelkezik a digitális technológia felett. Az Európai Bizottság eIDAS 45. cikkelye, egy javasolt rendelet, szándékosan gyengítené az internetbiztonság azon területeit, amelyeket az iparág több mint 25 éven át gondosan fejlesztett és szigorított. A cikk gyakorlatilag jelentősen kibővített megfigyelési jogkört biztosítana a 27 EU-s kormánynak az internethasználat felett.
A szabály előírná, hogy minden internetböngészőnek megbíznia kellene egy további, az EU-tagállamok nemzeti kormányainak ügynökségeitől (vagy szabályozott szervezeteitől) származó gyökértanúsítványban. A nem műszaki ismeretekkel rendelkező olvasók számára elmagyarázom, mi a gyökértanúsítvány, hogyan fejlődött az internetes bizalom, és mit tesz ezzel a 45. cikk. Ezután kiemelek néhány, a tech közösség által ebben a témában tett észrevételt.
A cikk következő része az internet bizalmi infrastruktúrájának működését ismerteti. Ez a háttérinformáció szükséges ahhoz, hogy megértsük, mennyire radikális a javasolt cikk. A magyarázat célja, hogy a nem műszaki ismeretekkel rendelkező olvasó számára is érthető legyen.
A szóban forgó szabályozás az internetbiztonsággal foglalkozik. Itt az „internet” nagyrészt a weboldalakat látogató böngészőket jelenti. Az internetbiztonság számos különálló aspektusból áll. A 45. cikk célja a módosítás nyilvános kulcsú infrastruktúra (PKI), az internetes biztonság része a 90-es évek közepe óta. A PKI-t először bevezették, majd 25 év alatt továbbfejlesztették, hogy a felhasználók és a kiadók számára a következő garanciákat nyújtsa:
- A böngésző és a weboldal közötti párbeszéd adatvédelmeA böngészők és a weboldalak az interneten keresztül kommunikálnak, amely egy hálózatok hálózata, amelyet a következők üzemeltetnek: Internetszolgáltatókés 1. szintű fuvarozók, Vagy mobilszolgáltatók ha az eszköz mobil. Maga a hálózat nem eredendően biztonságos és nem is megbízható. kíváncsi otthoni internetszolgáltató, egy utazó a repülőtéri váróban ahol a járatára vár, vagy egy adatszolgáltató, aki érdeklődőket szeretne értékesíteni hirdetőknek kémkedni akarhatnak utánad. Védelem nélkül egy rosszindulatú szereplő hozzáférhet bizalmas adatokhoz, például jelszavakhoz, hitelkártya-egyenleghez vagy egészségügyi információkhoz.
- Garantáljuk, hogy pontosan úgy látod az oldalt, ahogyan a weboldal elküldte nekedAmikor megtekintesz egy weboldalt, előfordulhat, hogy a közzétevő és a böngésződ között történt manipuláció? Egy cenzor esetleg el akarhatja távolítani azokat a tartalmakat, amelyeket nem szeretne, hogy lásd. A „téves információként” címkézett tartalmakat széles körben elnyomták a Covid-hisztéria idején. Egy hacker, aki ellopta a hitelkártyádat, esetleg el akarja távolítani a csalárd vádak bizonyítékait.
- Győződjön meg arról, hogy a látott weboldal valóban az, amelyik a böngésző címsorában szerepelAmikor egy bankhoz csatlakozol, honnan tudod, hogy az adott bank weboldalát látod, nem pedig egy hamisított, de ugyanúgy kinéző verziót? Ellenőrizd a böngésződ címsorát. Lehetséges, hogy a böngésződ egy hamis weboldalt jelenít meg, amely ugyanúgy néz ki, mint az igazi? Honnan tudja a böngésződ – biztosan –, hogy a megfelelő oldalhoz kapcsolódik?
Az internet korai napjaiban ezek közül a biztosítékok közül egyik sem létezett. 2010-ben egy böngészőbővítmény, amely elérhető a kiegészítőboltban lehetővé tette a felhasználó számára, hogy részt vegyen valaki más Facebook-csoportjának csevegésében egy kávézóban. Most – a PKI-nak köszönhetően – ezekben a dolgokban elég biztos lehet.
Ezeket a biztonsági funkciókat egy olyan rendszer védi, amely a következőn alapul: digitális tanúsítványokA digitális tanúsítványok a személyazonosító okmányok egyik formája – a jogosítvány internetes változata. Amikor egy böngésző csatlakozik egy webhelyhez, a webhely egy tanúsítványt mutat be a böngészőnek. A tanúsítvány egy titkosítási kulcsot tartalmaz. A böngésző és a webhely kriptográfiai számítások sorozatával együttműködve hozza létre a biztonságos kommunikációt.
A böngésző és a weboldal együttesen három biztonsági garanciát nyújt:
- magánélet: a beszélgetés titkosításával.
- kriptográfiai digitális aláírások: annak biztosítására a tartalom repülés közben nem módosul.
- a kiadó ellenőrzésea PKI által biztosított bizalmi láncon keresztül, amelyet alább részletesebben kifejtek.
Egy jó személyazonosságot nehéz hamisítani. Az ókori világban... egy pecsét viaszöntvénye ezt a célt szolgálta. Az emberi identitás a biometrikus adatokra támaszkodott. Az arc az egyik legrégebbi forma. A nem digitális világban, amikor korhatáros környezetbe kell belépnie, például alkoholos italt rendelnie, fényképes igazolványt kérnek.
Egy másik biometrikus módszer a digitális korszak előttről az volt, hogy az új, tintával írt aláírást összevetették a személyazonosító okmány hátoldalán található eredeti aláírással. Mivel ezek a régebbi típusú biometrikus adatok egyre könnyebben hamisíthatók, az emberi személyazonosság-ellenőrzés is alkalmazkodott. Manapság már gyakori, hogy a bankok érvényesítési kódot küldenek a mobiltelefonodra. Az alkalmazás megköveteli, hogy biometrikus személyazonosság-ellenőrzésen menj keresztül a mobiltelefonodon a kód megtekintéséhez, például arcfelismerés vagy ujjlenyomat-leolvasás segítségével.
A biometrikus adatokon kívül a személyazonosító okmányok megbízhatóságát a kibocsátó is meghatározza. A széles körben elfogadott személyazonosító okmányok attól függenek, hogy a kibocsátó képes-e ellenőrizni, hogy a kérelmező valóban az-e, akinek vallja magát. A széles körben elfogadott személyazonosító okmányok többségét kormányzati szervek, például a Gépjármű-nyilvántartás (Department of Motor Vehicles) állítják ki. Ha a kibocsátó szerv megbízható eszközökkel rendelkezik annak nyomon követésére, hogy kik és hol tartózkodnak az alanyai, például adófizetések, foglalkoztatási nyilvántartások vagy víziközmű-szolgáltatások használata, akkor jó esély van arra, hogy a szerv ellenőrizni tudja, hogy a személyazonosító okmányon megnevezett személy valóban az a személy-e.
Az online világban a kormányok többnyire nem vesznek részt a személyazonosság-ellenőrzésben. A tanúsítványokat magánszektorbeli cégek, úgynevezett tanúsító hatóságok (CA-k). Míg a tanúsítványok korábban meglehetősen drágák voltak, a díjak mára jelentősen csökkentek, odáig, hogy néhány ingyenesA legismertebb hitelesítésszolgáltatók a Verisign, a DigiCert és a GoDaddy. Ryan Hurst műsorai A hét fő hitelesítésszolgáltató (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft és IdenTrust) az összes tanúsítvány 99%-át állítja ki.
A böngésző csak akkor fogad el egy tanúsítványt személyazonosság igazolására, ha a tanúsítványon szereplő név mező megegyezik a domain névvel, amelyet a böngésző a helysávban megjelenít. Még ha a nevek megegyeznek is, ez bizonyítja-e, hogy egy olyan tanúsítvány, amely azt mondja: „apple.com„az Apple, Inc. néven ismert szórakoztatóelektronikai vállalathoz tartozik?” Nem. Az azonosító rendszerek nem golyóállóak. Kiskorúak isznak hamis személyi igazolványokat lehet szerezniAz emberi azonosítókhoz hasonlóan a digitális tanúsítványok is lehetnek hamisak, vagy más okokból érvénytelenek. Egy szoftvermérnök ingyenes, nyílt forráskódú eszközöket használva létrehozhat egy „apple.com” nevű digitális tanúsítványt a következővel: néhány Linux parancs.
A PKI rendszer a hitelesítésszolgáltatókra támaszkodik, hogy csak a weboldal tulajdonosának adják ki a tanúsítványokat. A tanúsítvány beszerzésének munkafolyamata a következő:
- Egy weboldal készítője a választott hitelesítésszolgáltatótól (CA) kér tanúsítványt egy domainhez.
- A hitelesítésszolgáltató ellenőrzi, hogy a tanúsítványkérés a webhely tényleges tulajdonosától származik-e. Hogyan állapítja meg ezt a hitelesítésszolgáltató? A hitelesítésszolgáltató megköveteli, hogy a kérelmet benyújtó entitás tegyen közzé egy adott tartalmat egy adott URL-címen. Ennek a képessége bizonyítja, hogy a entitás ellenőrzi a webhelyet.
- Miután a weboldal igazolta a domain tulajdonjogát, a hitelesítésszolgáltató hozzáfűz egy kriptográfiai digitális aláírás a tanúsítványhoz saját privát kriptográfiai kulcsával. Az aláírás a CA-t azonosítja kibocsátóként.
- Az aláírt tanúsítványt átadják a kérelmet benyújtó személynek vagy szervezetnek.
- A kiadó telepíti a tanúsítványát a weboldalára, így az megjeleníthető a böngészők számára.
Kriptográfiai digitális aláírások „egy matematikai séma digitális üzenetek vagy dokumentumok hitelességének ellenőrzésére”. Nem ugyanazok, mint a DocuSign és hasonló szolgáltatók által biztosított online dokumentumaláírás. Ha az aláírás hamisítható lenne, akkor a tanúsítványok nem lennének megbízhatóak. Az idő múlásával a kriptográfiai kulcsok mérete megnőtt azzal a céllal, hogy a hamisítást megnehezítsék. A kriptográfiai kutatók úgy vélik, hogy a jelenlegi aláírásokat gyakorlatilag lehetetlen hamisítani. Egy másik sebezhetőség, amikor a hitelesítésszolgáltató titkos kulcsait ellopják. A tolvaj ezután érvényes aláírásokat hozhat létre az adott hitelesítésszolgáltatótól.
A tanúsítvány telepítése után a rendszer egy webbeszélgetés beállításakor használja azt. A Regisztráció magyarázza hogy megy ez:
Ha a tanúsítványt egy ismert, megbízható hitelesítésszolgáltató állította ki, és minden adat helyes, akkor a webhely megbízható, és a böngésző megpróbál biztonságos, titkosított kapcsolatot létesíteni a webhelypel, hogy a webhelyen végzett tevékenységed ne legyen látható a hálózaton lévő lehallgatók számára. Ha a tanúsítványt egy nem megbízható hitelesítésszolgáltató állította ki, vagy a tanúsítvány nem egyezik a webhely címével, vagy bizonyos adatok hibásak, a böngésző elutasítja a webhelyet, mivel attól tart, hogy az nem a felhasználó által kívánt webhelyhez csatlakozik, és esetleg egy megszemélyesítővel beszélget.
Megbízhatunk a böngészőben, mert a böngésző megbízik a weboldalban. A böngésző azért bízik a weboldalban, mert a tanúsítványt egy „ismerten jó” CA állította ki. De mi az az „ismerten jó CA”? A legtöbb böngésző az operációs rendszer által biztosított CA-kra támaszkodik. A megbízható CA-k listáját az eszköz- és szoftvergyártók határozzák meg. A főbb számítógép- és eszközgyártók – a Microsoft, az Apple, az Android telefongyártók és a nyílt forráskódú Linux-forgalmazók – előre telepítik az operációs rendszert az eszközeikre egy sor gyökértanúsítvánnyal.
Ezek a tanúsítványok azonosítják azokat a hitelesítésszolgáltatókat, amelyeket ellenőriztek és megbízhatónak tartanak. Ezt a gyökértanúsítvány-gyűjteményt „megbízható tárolónak” nevezik. Hogy egy hozzám közel álló példát említsek, a cikk írásához használt Windows PC 70 gyökértanúsítvánnyal rendelkezik a Megbízható Gyökértanúsítvány-tárolójában. Az Apple támogatási oldala felsorolja az összes olyan root könyvtárat, amelyet a MacOS Sierra verziója megbízhatónak tart.
Hogyan döntik el a számítógép- és telefongyártók, hogy melyik hitelesítésszolgáltató megbízható? Ellenőrzési és megfelelőségi programokkal rendelkeznek a hitelesítésszolgáltatók minőségének értékelésére. Csak azok kerülnek be, amelyek megfelelnek ezeknek. Lásd például: a Chrome böngészőt (amely saját bizalmi tárolót biztosít ahelyett, hogy az eszközön lévőt használná). Az EFF (amely magát a „digitális világban a polgári szabadságjogokat védő vezető nonprofit szervezetként” írja le.) magyarázza:
A böngészők „root programokat” futtatnak a megbízható hitelesítésszolgáltatók biztonságának és megbízhatóságának figyelésére. Ezek a root programok számos követelményt támasztanak, a „kulcsanyagok védelmének módjától” a „tartománynév-ellenőrzés érvényesítésének módján” át a „tanúsítványaláíráshoz használt algoritmusokig”.
Miután egy szállító elfogadott egy hitelesítésszolgáltatót, a szállító továbbra is figyelemmel kíséri azt. A szállítók eltávolítják a hitelesítésszolgáltatókat a bizalmi tárolóból, ha a hitelesítésszolgáltató nem tartja be a szükséges biztonsági szabványokat. A hitelesítésszolgáltatók elkövethetnek szabálytalanságokat, vagy más okokból kudarcot vallanak, és meg is teszik. A Regisztráció jelentések:
A tanúsítványok és az azokat kibocsátó hitelesítésszolgáltatók (CA-k) nem mindig megbízhatóak, és a böngészőgyártók az évek során eltávolították a CA gyökértanúsítványait a törökországi, franciaországi, kínai, kazahsztáni és más országokban található CA-któl, amikor a kibocsátó szervezetről vagy egy kapcsolódó félről kiderült, hogy webes forgalmat fog le.
Ian Carroll kutató 2022-ben arról számolt be, hogy Biztonsági aggályok az e-Tugra tanúsító hatósággal kapcsolatbanCarroll „számos riasztó problémát talált a cégükön belüli biztonsági gyakorlatokkal kapcsolatban, amelyek aggasztanak”, például a gyenge hitelesítő adatokat. Carroll jelentéseit a főbb szoftvergyártók ellenőrizték. Ennek eredményeként az e-Tugrát… eltávolítva a megbízható tanúsítványtárakból.
A A hitelesítésszolgáltatók hibáinak idővonala más hasonló eseményekről is beszámol.
A PKI jelenlegi formájában még mindig vannak ismert hiányosságok. Mivel az eIDAS 45. cikkének megértéséhez egy bizonyos kérdés fontos, ezt fogom a következőkben kifejteni. Egy hitelesítésszolgáltató (CA) bizalma nem terjed ki azokra a webhelyekre, amelyek üzleti tevékenységet folytatnak az adott hitelesítésszolgáltatóval. Egy böngésző bármely megbízható CA-tól elfogad tanúsítványt bármely webhelyhez. Semmi sem akadályozza meg a CA-t abban, hogy egy rosszindulatú szereplőnek olyan webhelyet adjon ki, amelyet a webhely tulajdonosa nem kért. Egy ilyen tanúsítvány jogi értelemben csalárd lenne a kiállított személy miatt. De a tanúsítvány tartalma technikailag érvényes lenne a böngésző szempontjából.
Ha lenne mód arra, hogy minden weboldalt a preferált hitelesítésszolgáltatójához társítsanak, akkor az adott weboldalhoz bármely más hitelesítésszolgáltatótól származó tanúsítványt azonnal hamisnak minősítenének. Tanúsítvány rögzítése egy másik szabvány, amely lépést tesz ebbe az irányba. De hogyan lehetne ezt az összefüggést közzétenni, és hogyan lehetne megbízni a közzétevőben?
A folyamat minden egyes rétegén a technikai megoldás egy külső bizalomforrásra támaszkodik. De hogyan jön létre ez a bizalom? Egy még megbízhatóbb forrásra támaszkodva a következő, magasabb síkon? Ez a kérdés jól szemlélteti a „teknősök, egészen lefelé„A probléma természete. A PKI-nak valóban van egy teknős a végén: a biztonsági iparág és ügyfelei hírneve, láthatósága és átláthatósága. A bizalom ezen a szinten állandó monitorozással, nyílt szabványokkal, szoftverfejlesztőkkel és hitelesítésszolgáltatókkal épül ki.
Csalárd tanúsítványokat állítottak ki. 2013-ban az ArsTechnica arról számolt be, hogy Francia ügynökséget rajtakaptak, hogy SSL-tanúsítványokat gyártott a Google-nek való kiléttel.:
2011-ben…biztonsági kutatók Hamis tanúsítványt észleltek a Google.com számára amely lehetővé tette a támadók számára, hogy a weboldal levelezési szolgáltatását és egyéb ajánlatait utánozzák. A hamisított tanúsítványt azután verték, hogy a támadók feltörték a hollandiai székhelyű DigiNotar biztonsági rendszerét, és átvették az irányítást a tanúsítványkibocsátó rendszerei felett.
A biztonságos socket réteg (SSL) hitelesítő adatait egy érvényes hitelesítésszolgáltató digitálisan írta alá… Valójában a tanúsítványok jogosulatlan másolatok voltak, amelyeket a böngészőgyártók és a hitelesítésszolgáltatók által meghatározott szabályok megsértésével állítottak ki.
Előfordulhat csalárd tanúsítványkiállítás. Egy tisztességtelen hitelesítésszolgáltató kiállíthat egyet, de nem jut messzire. A rossz tanúsítványt észlelik. A rossz hitelesítésszolgáltató nem felel meg a megfelelőségi programoknak, és eltávolítják a bizalmi adattárakból. Elfogadás nélkül a hitelesítésszolgáltató csődbe megy. Tanúsítvány átláthatósága, egy újabb szabvány, lehetővé teszi a hamis tanúsítványok gyorsabb felderítését.
Miért tenne egy hitelesítésszolgáltató csalót? Milyen előnyt szerezhet a rosszfiú egy jogosulatlan tanúsítvánnyal? Magával a tanúsítvánnyal nem sok, még akkor sem, ha egy megbízható hitelesítésszolgáltató írta alá. De ha a rosszfiú össze tud fogni egy internetszolgáltatóval, vagy más módon hozzáfér a böngésző által használt hálózathoz, a tanúsítvány lehetővé teszi a rosszfiú számára, hogy feltörje a PKI összes biztonsági garanciáját.
A hacker felállíthat egy közbeeső támadás (MITM) a beszélgetésen. A támadó beillesztheti magát a böngésző és a valódi weboldal közé. Ebben az esetben a felhasználó közvetlenül a támadóval beszélne, és a támadó oda-vissza továbbítaná a tartalmat a valódi weboldalnak. A támadó bemutatná a hamis tanúsítványt a böngészőnek. Mivel egy megbízható hitelesítésszolgáltató írta alá, a böngésző elfogadná. A támadó megtekinthetné, sőt módosíthatná is, amit bármelyik fél elküldött, mielőtt a másik fél megkapná.
Most pedig elérkeztünk az EU baljóslatú eIDAS-ához, a 45. cikkhez. Ez a javasolt szabályozás előírja, hogy minden böngészőnek megbíznia kell az EU által kijelölt hitelesítésszolgáltatóktól származó tanúsítványok kosarában. Pontosabban huszonhétben: minden tagállamnak egy. Ezeket a tanúsítványokat úgy fogják emlegetni, mint... Minősített weboldal-hitelesítési tanúsítványokA „QWAC” betűszó szerencsétlen módon homofonikus alakot ölt a következőhöz: kuruzslás – vagy talán az EB trollkodik minket.
A QWAC-okat vagy kormányzati szervek, vagy Michael Rectenwald által meghatározottak szerint adnák ki. kormányzati szervek„vállalatok, cégek és az állam egyéb kiegészítői, amelyeket egyébként »magántulajdonnak« neveznek, de valójában állami apparátusként működnek, abban az értelemben, hogy állami narratívákat és diktátumokat érvényesítenek.”
Ez a rendszer egy lépéssel közelebb vinné az EU tagállamainak kormányait ahhoz a ponthoz, ahol beavatkozó támadást indíthatnának saját állampolgáraik ellen. Hozzá kellene férniük a hálózatokhoz is. A kormányok abban a helyzetben vannak, hogy ezt megtegyék. Ha az internetszolgáltatót állami tulajdonú vállalatként működtetik, akkor már rendelkeznének vele. Ha az internetszolgáltatók magáncégek, akkor a helyi... hatóság rendőri erőket is igénybe vehetnének a hozzáférés megszerzéséhez.
Egyetlen pontot nem hangsúlyoztak a nyilvános beszélgetésekben, mégpedig azt, hogy a 27 EU-tagállam bármelyik böngészőjének el kellene fogadnia minden egyes QWAC-ot, egyet-egyet minden egyes országból. EU tagEz azt jelenti, hogy egy böngészőnek például Spanyolországban meg kellene bíznia egy horvátországi, finnországi és osztrák QWAC-ban. Az osztrák weboldalt látogató spanyol felhasználónak az internet osztrák részein kellene áthaladnia. A fent felvetett problémák mind az EU-n belüli országokra vonatkoznának.
A Register, egy cikkben, melynek címe Rossz eIDAS: Európa készen áll a titkosított HTTPS-kapcsolatok lehallgatására és kémkedésére elmagyarázza ennek egy lehetséges működését:
[A]z a kormány kérheti a baráti CA-tól a [QWAC] tanúsítvány másolatát, hogy a kormányzat megszemélyesíthesse a weboldalt – vagy kérhet más, a böngészők által megbízhatónak ítélt és elfogadott tanúsítványt az oldalhoz. Így egy közbeeső támadás segítségével a kormányzat elfoghatja és visszafejtheti a weboldal és a felhasználók közötti titkosított HTTPS forgalmat, lehetővé téve a rezsim számára, hogy pontosan figyelemmel kísérje, mit csinálnak az emberek az adott weboldallal bármikor.
A titkosítás pajzsának áttörése után a megfigyelés magában foglalhatja a felhasználók jelszavainak mentését, majd azok egy másik időpontban történő felhasználását a polgárok e-mail fiókjainak eléréséhez. A megfigyelés mellett a kormányok módosíthatják a tartalmat közvetlenül. Például eltávolíthatják a cenzúrázni kívánt narratívákat. Zavarba ejtő elemeket csatolhatnak. bébiszitter állam tényellenőrzései és a tartalmi figyelmeztetések a különvéleményekre.
A jelenlegi állás szerint a hitelesítésszolgáltatóknak (CA-knak) fenn kell tartaniuk a böngészőközösség bizalmát. A böngészők jelenleg figyelmeztetik a felhasználót, ha egy webhely lejárt vagy más módon nem megbízható tanúsítványt kínál. A 45. cikk értelmében a figyelmeztetések vagy a bizalommal visszaélők kizárása tilos lenne. A böngészőknek nemcsak kötelező a QWAC-ok megbízása, de a 45. cikk tiltja a böngészőknek, hogy figyelmeztetést jelenítsenek meg arról, hogy egy QWAC által aláírt tanúsítvány...
Utolsó esély az eIDAS-ra (egy, a Mozilla logóját megjelenítő weboldal) a 45. cikkely ellen érvel:
Bármely EU-tagállam jogosult kriptográfiai kulcsokat kijelölni webböngészőkben való terjesztésre, és a böngészők nem vonhatják vissza a bizalmat ezekben a kulcsokban kormányzati engedély nélkül.
...Nincs független ellenőrzés vagy egyensúly a tagállamok döntéseit illetően az általuk engedélyezett kulcsokkal és azok felhasználásával kapcsolatban. Ez különösen aggasztó, tekintve, hogy a jogállamiság betartása... nem volt egységes minden tagállamban, dokumentált esetekkel titkosrendőrség általi kényszer politikai célokra.
Egy nyílt levél, amelyet több száz biztonsági kutató és informatikus írt alá:
A 45. cikk tiltja az EU webes tanúsítványok biztonsági ellenőrzését is, kivéve, ha azt kifejezetten rendelet engedélyezi titkosított webes forgalmi kapcsolatok létrehozásakor. Ahelyett, hogy meghatározna egy sor minimális biztonsági intézkedést, amelyeket alapként kell érvényesíteni, valójában a biztonsági intézkedések felső határát határozza meg, amelyet az ETSI engedélye nélkül nem lehet javítani. Ez ellentmond a jól bevált globális normáknak, ahol az új kiberbiztonsági technológiákat a technológia gyors fejlődésére válaszul fejlesztik és alkalmazzák.
Legtöbben a beszállítóinkra támaszkodunk a megbízható hitelesítésszolgáltatók listájának összeállításában. Felhasználóként azonban tetszés szerint hozzáadhat vagy eltávolíthat tanúsítványokat a saját eszközein. A Microsoft Windows rendszerben van egy eszköz ehhezLinuxon a gyökértanúsítványok egyetlen könyvtárban található fájlok. Egy hitelesítésszolgáltatót egyszerűen a fájl törlésével lehet megbízhatatlanná tenni. Ez is tiltott lesz? Steve Gibson, ismert biztonsági szakértő, rovatvezető, és a házigazda a régóta futó Security Now podcast kérdezi:
Az EU azonban kijelenti, hogy a böngészőknek tiszteletben kell tartaniuk ezeket az új, nem bizonyított és nem tesztelt tanúsítványkibocsátókat, és így az általuk kibocsátott tanúsítványokat is, kivétel és jogorvoslat nélkül. Ez azt jelenti, hogy a Firefox-példányom jogilag köteles lesz elutasítani a tanúsítványok eltávolítására irányuló kísérletemet?
Gibson megjegyzi, hogy egyes vállalatok hasonló megfigyelést végeznek alkalmazottaik felett a saját privát hálózatukon belül. Bármi legyen is a véleményed ezekről a munkakörülményekről, egyes iparágaknak jogos ellenőrzési és megfelelőségi okaik vannak arra, hogy nyomon kövessék és rögzítsék, mit csinálnak alkalmazottaik a vállalati erőforrásokkal. De ahogy Gibson is mondja... tovább,
A baj az, hogy az EU és tagállamai nagyon különböznek egy magánszervezet alkalmazottaitól. Bármikor, amikor egy alkalmazott nem akar kémkedés áldozata lenni, a saját okostelefonjával megkerülheti a munkáltatója hálózatát. És természetesen egy munkáltató magánhálózata is csak az, egy magánhálózat. Az EU ezt a teljes nyilvános internetre vonatkozóan szeretné megvalósítani, amely elől nem lenne menekvés.
Most, hogy megállapítottuk a javaslat radikális jellegét, itt az ideje feltenni a kérdést: milyen indokokat hoz fel az Európai Bizottság a változtatás alátámasztására? Az Európai Bizottság szerint a PKI keretében történő személyazonosság-ellenőrzés nem megfelelő. És hogy ezek a változtatások szükségesek a fejlesztéséhez.
Van igazság az EB állításaiban? A jelenlegi PKI a legtöbb esetben csak a weboldal feletti ellenőrzés igazolására kéri a kérést. Bár ez valami, nem garantálja például, hogy az „apple.com” webes tulajdon az Apple Inc. néven ismert, Cupertino-ban (Kalifornia) székelő szórakoztatóelektronikai vállalat tulajdonában van. Egy rosszindulatú felhasználó érvényes tanúsítványt szerezhet egy ismert vállalkozás domainnevéhez hasonló névhez. Az érvényes tanúsítvány felhasználható egy olyan támadásban, amely azon alapul, hogy egyes felhasználók nem figyelnek elég alaposan, hogy észrevegyék, hogy a név nem teljesen egyezik. Ez történt a következővel: fizetési processzor Stripe.
Azoknak a kiadóknak, akik be szeretnék bizonyítani a világnak, hogy valóban ugyanazt a vállalati egységet képviselik, egyes hitelesítésszolgáltatók felajánlották Kiterjesztett érvényesítési (EV) tanúsítványokA „bővített” rész további, a vállalkozással kapcsolatos ellenőrzésekből áll, például a cég címéről, a működő telefonszámról, a működési engedélyről vagy a bejegyzésről, valamint a működő vállalkozásra jellemző egyéb jellemzőkről. Az elektromos járművek ára magasabb, mivel több munkát igényelnek a hatóság részéről.
A böngészők korábban kiemelt vizuális visszajelzést jelenítettek meg az elektromos járművek esetében, például eltérő színt vagy erőteljesebb lakat ikont. Az utóbbi években az elektromos járművek nem voltak különösebben népszerűek a piacon. Nagyrészt kihaltak. Sok böngésző már nem jeleníti meg a differenciális visszajelzést.
A továbbra is fennálló gyengeségek ellenére a PKI az idők során jelentősen fejlődött. Ahogy a hibákat felismerték, azokat kijavították. A kriptográfiai algoritmusokat megerősítették, az irányítást javították, és a sebezhetőségeket blokkolták. Az iparági szereplők konszenzusán alapuló irányítás meglehetősen jól működött. A rendszer folyamatosan fejlődni fog, mind technológiai, mind intézményi szempontból. A szabályozó hatóságok beavatkozásán kívül nincs okunk másra számítani.
Az elektromos járművek gyenge történelméből megtanultuk, hogy a piac nem igazán törődik a vállalati identitás ellenőrzésével. Ha azonban az internetfelhasználók ezt szeretnék, nem kellene feltörni a meglévő PKI-t ahhoz, hogy ezt megadják nekik. Elegendő lenne néhány apró módosítás a meglévő munkafolyamatokon. Néhány hozzászóló a következő módosítását javasolta: TLS kézfogás; a weboldal egy további tanúsítványt jelenítene meg. Az elsődleges tanúsítvány a jelenlegi módon működne. A QWAC által aláírt másodlagos tanúsítvány megvalósítaná azokat a további identitási szabványokat, amelyeket az EC állítása szerint szeretne.
Az EB állítólagos indokai az eIDAS mellett egyszerűen nem hihetőek. A felhozott indokok nemcsak valószínűtlenek, de az EB még csak nem is veszi a fáradságot a szokásos álszentes nyafogással arról, hogy hogyan kell feláldoznunk fontos szabadságjogokat a biztonság nevében, mivel az emberkereskedelem, a gyermekbiztonság, a pénzmosás, az adócsalás vagy (a személyes kedvencem) súlyos fenyegetésével nézünk szembe. klímaváltozásTagadhatatlan, hogy az EU átver minket.
Ha az EB nem őszinte a valódi indítékait illetően, akkor mit akarnak? Gibson látja. egy aljas szándék:
És csak egyetlen lehetséges oka van annak, hogy [a böngészőket a QWAC-ok megbízhatóságára kényszerítsék], mégpedig az, hogy lehetővé tegyék az internetes webforgalom menet közbeni lehallgatását, pontosan úgy, ahogyan az a vállalatokon belül is történik. És ezt elismerik.
(Gibson a „webforgalom lehallgatása” alatt a fent leírt MITM-támadást érti.) Más kommentárok kiemelték a szólásszabadságra és a politikai tiltakozásra gyakorolt baljós következményeket. egy hosszú esszében csúszós lejtőn érvel:
Amikor egy liberális demokrácia ilyenfajta ellenőrzést vezet be az interneten futó technológia felett, annak következményei ellenére, az megalapozza azt, hogy az autoriterebb kormányok büntetlenül kövessék a példáját.
Mozilla idézve a techdirtben (az eredetihez való link nélkül) nagyjából ugyanezt mondja:
A böngészők arra kényszerítése, hogy automatikusan megbízzanak a kormány által támogatott hitelesítésszolgáltatókban, az autoriter rezsimek egyik kulcsfontosságú taktikája, és ezeket a szereplőket felbátorítaná az EU fellépésének legitimáló hatása…
Gibson hasonlót gyárt megfigyelés:
És akkor ott van annak a nagyon is valós kísértete, hogy milyen további ajtókat nyit meg ez: Ha az EU megmutatja a világ többi részének, hogy sikeresen képes diktálni a bizalmi feltételeket a polgárai által használt független webböngészők számára, akkor mely más országok fogják követni a példáját hasonló törvényekkel? Most mindenki egyszerűen megkövetelheti, hogy a saját országának tanúsítványait adják hozzá. Ez pontosan rossz irányba visz minket.
Ez a javasolt 45. cikk támadás a felhasználók magánélete ellen az EU-tagállamokban. Ha elfogadják, hatalmas visszaesést jelentene nemcsak az internetbiztonság, hanem a fejlett irányítási rendszer szempontjából is. Egyetértek Steve Gibsonnal abban, hogy:
Ami teljesen nem világos, és amivel sehol sem találkoztam, az az EU azon felhatalmazásának magyarázata, amellyel azt képzeli, hogy képes diktálni más szervezetek szoftverének tervezését. Mert erről van szó.
A javasolt 45. cikkre adott válasz rendkívül negatív volt. Az EFF a következő helyen áll: A 45. cikkely 12 évvel visszavonja a webbiztonságot azt írja: „Ez katasztrófa mindenki számára, aki az internetet használja, de különösen azok számára, akik az EU-ban használják az internetet.”
Az eIDAS-törekvés négy vészjelzést jelent a biztonsági közösség számára. A Mozilla – a nyílt forráskódú Firefox webböngésző gyártója – közzétett egy… Iparági Közös Nyilatkozat ellenzi azt. A nyilatkozatot számos internetes infrastruktúra-cég írta alá, köztük maga a Mozilla, a Cloudflare, a Fastly és a Linux Foundation.
A nyílt levél fent emlitett:
A majdnem végleges szöveg elolvasása után mély aggodalommal tölt el minket a 45. cikk javasolt szövege. A jelenlegi javaslat radikálisan kibővíti a kormányok azon képességét, hogy mind saját állampolgáraikat, mind az EU-szerte lakókat megfigyelhessék azáltal, hogy technikai eszközöket biztosít számukra a titkosított webforgalom lehallgatásához, valamint aláássa az európai polgárok által használt meglévő felügyeleti mechanizmusokat.
Mire való ez? A szabályozást már egy ideje javasolják. A végleges döntést 2023 novemberére tervezték. Azóta a webes keresések nem mutattak új információt a témában.
Az elmúlt néhány évben a nyílt cenzúra minden formájában megnőtt. A Covid-őrület idején a kormány és az ipar összefogott, hogy létrehozzanak egy... cenzúra-ipari komplexum hogy hatékonyabban terjesszék a hamis narratívákat és elnyomják a disszidenseket. Az elmúlt években a szkeptikusok és a független hangok visszavágtak, bíróságokon, és azáltal, hogy létrehozzuk nézőpontsemleges platformokon.
Míg a szóláscenzúra továbbra is nagy veszélyt jelent, az írók és újságírók jogai jobban védettek, mint sok más jog. Az Egyesült Államokban a Első módosítás kifejezett szólásvédelemmel és a kormány kritizálásának szabadságával rendelkezik. A bíróságok véleménye szerint a szigorúan meghatározott törvényi nyelvezettel nem védett jogok vagy szabadságok szabadok. Ez lehet az oka annak, hogy az ellenállás nagyobb sikereket ért el a szólásszabadság terén, mint más, a hatalommal való visszaélések megállítására irányuló erőfeszítések, mint például karanténba és a népességzárlatok.
A jól védett ellenség helyett a kormányok az internetes infrastruktúra más rétegeire helyezik át támadásaikat. Ezek a szolgáltatások, mint például a domainregisztráció, a DNS, a tanúsítványok, a fizetésfeldolgozók, a tárhelyszolgáltatások és az alkalmazásboltok, nagyrészt magánpiaci tranzakciókból állnak. Ezek a szolgáltatások sokkal kevésbé védettek, mint a szólásszabadság, mivel nagyrészt senkinek sincs joga egy adott szolgáltatást megvásárolni egy adott vállalkozástól. A technikaibb szolgáltatásokat, mint például a DNS és a PKI, a nyilvánosság kevésbé érti, mint a webes közzétételt.
A PKI rendszer különösen sebezhető a támadásokkal szemben, mivel hírnév és konszenzus alapján működik. Nincs egyetlen hatóság, amely az egész rendszert uralja. A szereplőknek átláthatóság, megfelelés és a hibák őszinte jelentése révén kell hírnevet szerezniük. Ez pedig sebezhetővé teszi az ilyen típusú zavaró támadásokkal szemben. Ha az EU PKI a szabályozó hatóságok kezébe kerül, arra számítok, hogy más országok is követni fogják a példájukat. Nemcsak a PKI van veszélyben. Amint bebizonyosodik, hogy a rendszer más rétegeit is támadhatják a szabályozó hatóságok, azok is célponttá válnak.
Csatlakozz a beszélgetéshez:
Megjelent egy Creative Commons Nevezd meg! 4.0 Nemzetközi licenc
Újranyomtatáshoz kérjük, állítsa vissza a kanonikus linket az eredetire. Brownstone Intézet Cikk és szerző.
