DIJELI | ISPIS | POŠALJI E-POŠTOM
The Europska komisija je zakonodavno tijelo EU-a s regulatornim ovlastima nad digitalnom tehnologijom. Članak 45. eIDAS-a EK-a, predložena uredba, namjerno bi oslabio područja internetske sigurnosti koja je industrija pažljivo razvijala i jačala više od 25 godina. Članak bi zapravo dao 27 vlada EU-a znatno proširene ovlasti nadzora nad korištenjem interneta.
Pravilo bi zahtijevalo od svih internetskih preglednika da vjeruju dodatnom korijenskom certifikatu agencije (ili reguliranog subjekta) svake nacionalne vlade svake od država članica EU. Za netehničke čitatelje objasnit ću što je korijenski certifikat, kako se razvilo povjerenje u internet i što Članak 45. čini s tim. Zatim ću istaknuti neke od komentara tehnološke zajednice o ovom pitanju.
Sljedeći odjeljak ovog članka objasnit će kako funkcionira infrastruktura povjerenja na internetu. Ova pozadina je potrebna kako bi se razumjelo koliko je predloženi članak radikalan. Objašnjenje je namijenjeno da bude dostupno i netehničkom čitatelju.
Predmetna uredba odnosi se na internetsku sigurnost. Ovdje se „internet“ uglavnom odnosi na preglednike koji posjećuju web-stranice. Internetska sigurnost sastoji se od mnogo različitih aspekata. Članak 45. namjerava izmijeniti infrastruktura javnog ključa (PKI), dio internetske sigurnosti od sredine 90-ih. PKI je isprva usvojen, a zatim poboljšan tijekom razdoblja od 25 godina, kako bi korisnicima i izdavačima pružio sljedeća jamstva:
- Privatnost razgovora između preglednika i web-stranicePreglednici i web-stranice komuniciraju putem interneta, mreže mreža kojima upravlja Davatelji internetskih uslugai Prijevoznici 1. razineIli mobilni operateri ako je uređaj mobilni. Sama mreža nije inherentno sigurna niti pouzdana. Vaš znatiželjni kućni internetski servis, putnik u salonu zračne luke gdje čekate svoj let, ili dobavljač podataka koji želi prodati potencijalne klijente oglašivačima možda vas žele špijunirati. Bez ikakve zaštite, zlonamjerni akter mogao bi vidjeti povjerljive podatke poput lozinke, stanja kreditne kartice ili zdravstvenih informacija.
- Jamčite da stranicu vidite točno onako kako vam ju je web stranica poslala: Je li moguće da je web stranica koju je izdavač mijenjao između vas i vašeg preglednika? Cenzor bi mogao htjeti ukloniti sadržaj koji ne želi da vidite. Sadržaj označen kao "dezinformacije" bio je uvelike potiskivan tijekom covid histerije. Haker koji vam je ukrao kreditnu karticu možda bi htio ukloniti dokaze o svojim lažnim optužbama.
- Provjerite je li web-stranica koju vidite doista ona u adresnoj traci preglednikaKada se povežete s bankom, kako znate da vidite web stranicu te banke, a ne lažnu verziju koja izgleda identično? Provjeravate traku lokacije u pregledniku. Može li vaš preglednik biti prevaren da vam prikaže lažnu web stranicu koja izgleda identično pravoj? Kako vaš preglednik sigurno zna da je povezan s ispravnom stranicom?
U ranim danima interneta nijedno od ovih jamstava nije postojalo. Godine 2010. dodatak za preglednik dostupan u trgovini dodataka omogućilo je korisniku sudjelovanje u tuđem Facebook grupnom chatu u hotspotu kafića. Sada – zahvaljujući PKI-ju, možete biti prilično sigurni u te stvari.
Ove sigurnosne značajke zaštićene su sustavom koji se temelji na digitalni certifikatiDigitalni certifikati su oblik identifikacije – internetska verzija vozačke dozvole. Kada se preglednik poveže s web-mjestom, web-mjesto predstavlja certifikat pregledniku. Certifikat sadrži kriptografski ključ. Preglednik i web-mjesto surađuju nizom kriptografskih izračuna kako bi uspostavili sigurnu komunikaciju.
Zajedno, preglednik i web-stranica pružaju tri sigurnosna jamstva:
- privatnost: šifriranjem razgovora.
- kriptografski digitalni potpisi: kako bi se osiguralo da sadržaj se ne mijenja tijekom leta.
- provjera izdavačaputem lanca povjerenja koji pruža PKI, što ću detaljnije objasniti u nastavku.
Dobar identitet trebao bi biti teško krivotvoriti. U antičkom svijetu, voštani odljev pečata služilo je toj svrsi. Identiteti za ljude oslanjali su se na biometriju. Vaše lice jedan je od najstarijih oblika. U nedigitalnom svijetu, kada trebate pristupiti postavci s dobnim ograničenjem, poput naručivanja alkoholnog pića, bit ćete zamoljeni za identifikaciju s fotografijom.
Još jedna biometrijska metoda iz razdoblja prije digitalnog doba bila je usporedba vašeg svježeg potpisa olovkom i tintom s vašim originalnim potpisom na poleđini vaše osobne iskaznice. Kako se ove starije vrste biometrije lakše krivotvore, provjera ljudskog identiteta se prilagodila. Sada je uobičajeno da vam banka pošalje validacijski kod na vaš mobitel. Aplikacija zahtijeva da prođete biometrijsku provjeru identiteta na svom mobitelu kako biste vidjeli kod, kao što je prepoznavanje lica ili otisak prsta.
Uz biometriju, drugi faktor koji čini identifikacijsku ispravu pouzdanom je izdavatelj. Identifikacijske isprave koje su široko prihvaćene ovise o sposobnosti izdavatelja da provjeri je li osoba koja podnosi zahtjev za identifikacijsku ispravu ona za koju se predstavlja. Većinu šire prihvaćenih oblika identifikacijskih isprava izdaju vladine agencije, poput Ministarstva motornih vozila. Ako agencija koja izdaje ispravu ima pouzdana sredstva za praćenje tko su i gdje se nalaze njezini subjekti, kao što su plaćanja poreza, evidencija o zaposlenju ili korištenje usluga vodoopskrbe, tada postoji velika vjerojatnost da agencija može provjeriti je li osoba navedena na identifikacijskoj ispravi ta osoba.
U online svijetu, vlade se, uglavnom, nisu uključivale u provjeru identiteta. Certifikate izdaju tvrtke privatnog sektora poznate kao tijela za izdavanje certifikata (CA). Dok su certifikati nekada bili prilično skupi, naknade su znatno pale do te mjere da neki su besplatniNajpoznatiji CA-ovi su Verisign, DigiCert i GoDaddy. Ryan Hurst predstavlja Sedam glavnih CA-ova (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft i IdenTrust) izdaju 99% svih certifikata.
Preglednik će prihvatiti certifikat kao dokaz identiteta samo ako se polje za ime na certifikatu podudara s nazivom domene koji preglednik prikazuje u adresnoj traci. Čak i ako se imena podudaraju, dokazuje li to da certifikat kaže „apple.com" pripada tvrtki za potrošačku elektroniku poznatoj kao Apple, Inc.? Ne. Sustavi za identifikaciju nisu neprobojni. Maloljetni konzumenti alkohola mogu dobiti lažne osobne iskaznicePoput ljudskih identifikacijskih dokumenata, digitalni certifikati također mogu biti lažni ili nevažeći iz drugih razloga. Softverski inženjer koji koristi besplatne alate otvorenog koda može stvoriti digitalni certifikat pod nazivom „apple.com“ s nekoliko Linux naredbi.
PKI sustav oslanja se na CA-ove za izdavanje certifikata samo vlasniku web stranice. Tijek rada za dobivanje certifikata izgleda ovako:
- Izdavač web stranice podnosi zahtjev svom preferiranom CA za certifikat, za domenu.
- CA provjerava dolazi li zahtjev za certifikat od stvarnog vlasnika te web-lokacije. Kako CA to utvrđuje? CA zahtijeva da entitet koji podnosi zahtjev objavi određeni dio sadržaja na određenom URL-u. Mogućnost da se to učini dokazuje da entitet ima kontrolu nad web-stranicom.
- Nakon što web stranica dokaže vlasništvo nad domenom, CA dodaje kriptografski digitalni potpis certifikatu koristeći vlastiti privatni kriptografski ključ. Potpis identificira CA kao izdavatelja.
- Potpisani certifikat dostavlja se osobi ili subjektu koji podnosi zahtjev.
- Izdavač instalira svoj certifikat na svoju web stranicu kako bi se mogao prikazati preglednicima.
Kriptografski digitalni potpisi su „matematička shema za provjeru autentičnosti digitalnih poruka ili dokumenata“. Oni nisu isto što i online potpisivanje dokumenata koje pružaju DocuSign i slični dobavljači. Ako bi se potpis mogao krivotvoriti, certifikati ne bi bili pouzdani. Vremenom se veličina kriptografskih ključeva povećavala s ciljem otežavanja krivotvorenja. Istraživači kriptografije vjeruju da je trenutne potpise, u praktičnom smislu, nemoguće krivotvoriti. Druga ranjivost je kada se CA-u ukradu tajni ključevi. Lopov bi tada mogao proizvesti valjane potpise tog CA-a.
Nakon što je certifikat instaliran, koristi se tijekom postavljanja web razgovora. The Registriranje objašnjava kako to ide:
Ako je certifikat izdao poznati dobri CA i svi su podaci točni, tada je web-mjesto pouzdano i preglednik će pokušati uspostaviti sigurnu, šifriranu vezu s web-mjestom kako vaša aktivnost na web-mjestu ne bi bila vidljiva prisluškivaču na mreži. Ako je certifikat izdao nepouzdani CA ili certifikat ne odgovara adresi web-mjesta ili su neki podaci netočni, preglednik će odbiti web-mjesto iz zabrinutosti da se ne povezuje sa stvarnom web-stranicom koju korisnik želi i da možda razgovara s imitatorom.
Možemo vjerovati pregledniku jer preglednik vjeruje web stranici. Preglednik vjeruje web stranici jer je certifikat izdao "poznati dobar" CA. Ali što je "poznati dobar CA"? Većina preglednika oslanja se na CA koje pruža operativni sustav. Popis pouzdanih CA određuju dobavljači uređaja i softvera. Glavni dobavljači računala i uređaja - Microsoft, Apple, proizvođači Android telefona i distributeri Linuxa otvorenog koda - unaprijed instaliraju operativni sustav na svoje uređaje s nizom korijenskih certifikata.
Ti certifikati identificiraju CA-ove koje su provjerili i smatraju pouzdanima. Ova zbirka korijenskih certifikata naziva se „spremište povjerenja“. Da uzmemo primjer koji mi je blizak, Windows računalo koje koristim za pisanje ovog teksta ima 70 korijenskih certifikata u svom Spremištu pouzdanih korijenskih certifikata. Appleova stranica za podršku navodi sve root-ove kojima Sierra verzija MacOS-a vjeruje.
Kako dobavljači računala i telefona odlučuju koji su CA pouzdani? Imaju programe revizije i usklađenosti za procjenu kvalitete CA-a. Uključeni su samo oni koji prođu. Vidi na primjer, pregledniku Chrome (koji pruža vlastito spremište pouzdanih podataka umjesto korištenja onog na uređaju). EFF (koja sebe opisuje kao „vodeću neprofitnu organizaciju koja brani građanske slobode u digitalnom svijetu“) objašnjava:
Preglednici koriste „root programe“ za praćenje sigurnosti i pouzdanosti CA-a kojima vjeruju. Ti root programi nameću niz zahtjeva, od „kako se ključni materijal mora osigurati“ do „kako se mora provesti validacija kontrole naziva domene“ do „koji se algoritmi moraju koristiti za potpisivanje certifikata“.
Nakon što dobavljač prihvati CA, dobavljač ga nastavlja pratiti. Dobavljači će ukloniti CA iz skladišta povjerenja ako CA ne uspije održati potrebne sigurnosne standarde. Tijela za izdavanje certifikata mogu, i to čine, postati neovlaštena ili propasti iz drugih razloga. The Registriranje izvješća:
Certifikati i CA-ovi koji ih izdaju nisu uvijek pouzdani, a proizvođači preglednika tijekom godina uklanjali su korijenske CA certifikate od CA-ova sa sjedištem u Turskoj, Francuskoj, Kini, Kazahstanu i drugdje kada se utvrdilo da izdavatelj ili povezana strana presreću web promet.
Istraživač Ian Carroll izvijestio je 2022. godine Sigurnosne zabrinutosti s e-Tugra certifikacijskim tijelomCarroll je „pronašao niz alarmantnih problema koji me zabrinjavaju u vezi sa sigurnosnim praksama unutar njihove tvrtke“, poput slabih vjerodajnica. Carrollova izvješća provjerili su glavni dobavljači softvera. Kao rezultat toga, e-Tugra je uklonjeno iz njihovih pouzdanih spremišta certifikata.
The Vremenska crta neuspjeha izdavatelja certifikata govori o drugim takvim događajima.
Još uvijek postoje neke poznate rupe u PKI-ju u trenutnom obliku. Budući da je jedno određeno pitanje važno za razumijevanje članka 45. eIDAS-a, to ću objasniti u nastavku. Povjerenje CA-a nije ograničeno na one web-stranice koje posluju s tim CA-om. Preglednik će prihvatiti certifikat od bilo kojeg pouzdanog CA-a za bilo koju web-stranicu. Ništa ne sprječava CA da izda web-stranicu zlonamjernom akteru koju nije zatražio vlasnik stranice. Takav certifikat bio bi lažan u pravnom smislu zbog osobe kojoj je izdan. Ali sadržaj certifikata bio bi tehnički valjan s gledišta preglednika.
Kad bi postojao način povezivanja svake web stranice s njezinim preferiranim CA, tada bi svaki certifikat za tu stranicu od bilo kojeg drugog CA odmah bio prepoznat kao lažan. Pričvršćivanje certifikata je još jedan standard koji ide korak u tom smjeru. Ali kako bi se ta povezanost objavila i kako bi se tom izdavaču vjerovalo?
Na svakom sloju ovog procesa, tehničko rješenje oslanja se na vanjski izvor povjerenja. Ali kako se to povjerenje uspostavlja? Oslanjanjem na još pouzdaniji izvor na sljedećoj višoj razini? Ovo pitanje ilustrira „kornjače, skroz dolje„priroda problema. PKI doista ima kornjaču na dnu: ugled, vidljivost i transparentnost sigurnosne industrije i njezinih kupaca. Povjerenje se na ovoj razini gradi stalnim praćenjem, otvorenim standardima, programerima softvera i CA-ima.“
Izdani su lažni certifikati. ArsTechnica je 2013. izvijestila Francuska agencija uhvaćena u krivotvorenju SSL certifikata koji se lažno predstavljaju kao Google:
Istraživači sigurnosti 2011. godine... uočio lažni certifikat za Google.com što je napadačima omogućilo da se lažno predstavljaju kao poštanska usluga i druge ponude web stranice. Krivotvoreni certifikat je iskovan nakon što su napadači probili sigurnost nizozemske tvrtke DigiNotar i preuzeli kontrolu nad njezinim sustavima za izdavanje certifikata.
Vjerodajnice za secure sockets layer (SSL) digitalno je potpisao valjani izdavatelj certifikata... Zapravo, certifikati su bili neovlaštene kopije koje su izdane kršeći pravila koja su utvrdili proizvođači preglednika i usluge izdavatelja certifikata.
Može se dogoditi izdavanje lažnih certifikata. Lažni CA može ga izdati, ali neće daleko stići. Loš certifikat će biti otkriven. Loš CA neće proći programe usklađenosti i bit će uklonjen iz pouzdanih skladišta. Bez prihvaćanja, CA će prestati s radom. Transparentnost certifikata, noviji standard, omogućuje brže otkrivanje lažnih certifikata.
Zašto bi CA postao neovlašten? Kakvu prednost negativac može dobiti od neovlaštenog certifikata? Samo s certifikatom, ne puno, čak ni kada ga je potpisao pouzdani CA. Ali ako se negativac može udružiti s davateljem internetskih usluga ili na drugi način pristupiti mreži koju preglednik koristi, certifikat daje negativcu mogućnost da prekrši sva sigurnosna jamstva PKI-a.
Haker bi mogao montirati napad posrednika (MITM) u razgovoru. Napadač bi se mogao umetnuti između preglednika i stvarne web stranice. U ovom scenariju, korisnik bi izravno razgovarao s napadačem, a napadač bi prenosio sadržaj naprijed-natrag sa stvarne web stranice. Napadač bi pregledniku predstavio lažni certifikat. Budući da ga je potpisao pouzdani CA, preglednik bi ga prihvatio. Napadač bi mogao vidjeti, pa čak i izmijeniti ono što je bilo koja strana poslala prije nego što je druga strana to primila.
Sada dolazimo do zlokobnog eIDAS-a EU, članka 45. Ovaj predloženi propis zahtijeva od svih preglednika da vjeruju košarici certifikata od CA-ova koje je odredila EU. Točnije, dvadeset sedam: po jedan za svaku zemlju članicu. Ti se certifikati nazivaju Kvalificirani certifikati za autentifikaciju web-mjestaKratica „QWAC“ ima nesretan homofon od nadriliječništvo – ili nas možda EK trola.
QWAC-ove bi izdavale ili vladine agencije ili, kako ih Michael Rectenwald naziva vladine funkcije„korporacije, tvrtke i drugi državni dodaci koji se inače nazivaju 'privatnim', ali zapravo djeluju kao državni aparati, u smislu da provode državne narative i diktate.“
Ova shema bi vlade članica EU približila točki u kojoj bi mogle napadati vlastite građane putem posrednika. Također bi trebale pristupiti mrežama. Vlade su u poziciji da to učine. Ako se ISP vodi kao državno poduzeće, onda bi ga već imale. Ako su ISP-ovi privatne tvrtke, onda lokalni... vlasti mogao bi koristiti policijske ovlasti kako bi dobio pristup.
Jedna stvar koja nije naglašena u javnoj raspravi jest da bi preglednik u bilo kojoj od 27 zemalja članica EU morao prihvatiti svaki pojedinačni QWAC, po jedan iz svake zemlje. članica EUTo znači da bi preglednik, na primjer u Španjolskoj, morao vjerovati QWAC-u subjekata u Hrvatskoj, Finskoj i Austriji. Španjolski korisnik koji posjećuje austrijsku web stranicu morao bi prelaziti preko austrijskih dijelova interneta. Gore navedena pitanja primjenjivala bi se u svim zemljama unutar EU-a.
The Register, u članku pod naslovom Loš eIDAS: Europa je spremna presresti i špijunirati vaše šifrirane HTTPS veze objašnjava jedan od načina na koji bi to moglo funkcionirati:
[T]a vlada može zatražiti od svog prijateljskog CA kopiju [QWAC] certifikata kako bi vlada mogla lažno predstavljati web stranicu - ili zatražiti neki drugi certifikat kojem će preglednici vjerovati i prihvatiti ga za stranicu. Dakle, korištenjem napada "čovjek u sredini", ta vlada može presresti i dešifrirati šifrirani HTTPS promet između web stranice i njezinih korisnika, omogućujući režimu da točno prati što ljudi rade s tom stranicom u bilo kojem trenutku.
Nakon što probiju štit enkripcije, praćenje bi moglo uključivati spremanje korisničkih lozinki, a zatim njihovo korištenje u nekom drugom trenutku za pristup računima e-pošte građana. Osim praćenja, vlade bi mogle mijenjati sadržaj unutar teksta. Na primjer, mogle bi ukloniti narative koje žele cenzurirati. Mogle bi priložiti dosadne provjere činjenica u državi dadilji i upozorenja o sadržaju na suprotna mišljenja.
Trenutno stanje stvari je da CA-ovi moraju održavati povjerenje zajednice preglednika. Preglednici trenutno upozoravaju korisnika ako web-mjesto predstavi istekli ili na neki drugi način nepouzdani certifikat. Prema članku 45., upozorenja ili izbacivanje zlouporabi povjerenja bili bi zabranjeni. Preglednici ne samo da su obvezni vjerovati QWAC-ovima, već im članak 45. zabranjuje prikazivanje upozorenja da je certifikat potpisan od strane QWAC-a.
Posljednja prilika za eIDAS (web stranica koja prikazuje Mozilla logo) zalaže se protiv članka 45:
Svaka država članica EU ima mogućnost odrediti kriptografske ključeve za distribuciju u web preglednicima, a preglednicima je zabranjeno opozvati povjerenje u te ključeve bez dopuštenja vlade.
...Ne postoji neovisna kontrola ili ravnoteža odluka koje donose države članice u vezi s ključevima koje odobravaju i njihovom upotrebom. To je posebno zabrinjavajuće s obzirom na to da je poštivanje vladavine prava nije bio ujednačen u svim državama članicama, s dokumentiranim slučajevima prisila tajne policije u političke svrhe.
U otvoreno pismo koje je potpisalo nekoliko stotina istraživača sigurnosti i računalnih znanstvenika:
Članak 45. također zabranjuje sigurnosne provjere EU web certifikata, osim ako to nije izričito dopušteno propisima prilikom uspostavljanja šifriranih veza web prometa. Umjesto određivanja skupa minimalnih sigurnosnih mjera koje se moraju provoditi kao osnova, on zapravo određuje gornju granicu sigurnosnih mjera koje se ne mogu poboljšati bez dopuštenja ETSI-ja. To je suprotno dobro utvrđenim globalnim normama gdje se nove tehnologije kibernetičke sigurnosti razvijaju i primjenjuju kao odgovor na brzi tehnološki razvoj.
Većina nas se oslanja na svoje dobavljače da sastavljaju popis pouzdanih CA-ova. Međutim, kao korisnik, možete dodavati ili uklanjati certifikate po želji na vlastitim uređajima. Microsoft Windows ima alat za toNa Linuxu su korijenski certifikati datoteke koje se nalaze u jednom direktoriju. CA se može učiniti nepouzdanim jednostavnim brisanjem datoteke. Hoće li i to biti zabranjeno? Steve Gibson, poznati sigurnosni stručnjak, novinski komentator, i domaćin dugotrajni podcast Security Now pita:
No EU izjavljuje da će preglednici morati poštivati te nove, nedokazane i netestirane certifikacijske autoritete, a time i sve certifikate koje izdaju, bez iznimke i bez mogućnosti pravnog lijeka. Znači li to da će moja instanca Firefoxa biti zakonski obvezna odbiti moj pokušaj uklanjanja tih certifikata?
Gibson napominje da neke korporacije provode sličan nadzor svojih zaposlenika unutar vlastite privatne mreže. Bez obzira na vaše mišljenje o tim radnim uvjetima, neke industrije imaju legitimne razloge za reviziju i usklađenost kako bi pratile i bilježile što njihovi zaposlenici rade s resursima tvrtke. Ali, kako Gibson nastavlja,
Problem je u tome što se EU i njezine zemlje članice jako razlikuju od zaposlenika privatne organizacije. Kad god zaposlenik ne želi biti špijuniran, može koristiti vlastiti pametni telefon kako bi zaobišao mrežu svog poslodavca. I naravno, privatna mreža poslodavca je upravo to, privatna mreža. EU to želi učiniti za cijeli javni internet od kojeg ne bi bilo bijega.
Sada smo utvrdili radikalnu prirodu ovog prijedloga. Vrijeme je da se zapitamo koje razloge EK nudi kako bi motivirala ovu promjenu? EK kaže da provjera identiteta u okviru PKI-ja nije adekvatna. I da su ove promjene potrebne za njezino poboljšanje.
Ima li istine u tvrdnjama EK? Trenutni PKI u većini slučajeva zahtijeva samo zahtjev za dokazivanje kontrole nad web stranicom. Iako je to nešto, ne jamči, na primjer, da je web svojstvo „apple.com“ u vlasništvu tvrtke za potrošačku elektroniku poznate kao Apple Inc, sa sjedištem u Cupertinu u Kaliforniji. Zlonamjerni korisnik mogao bi dobiti važeći certifikat za domenu sličnog naziva kao i domena poznate tvrtke. Važeći certifikat mogao bi se koristiti u napadu koji se oslanjao na neke korisnike koji nisu dovoljno pažljivo gledali da bi primijetili da se naziv ne podudara u potpunosti. To se dogodilo procesor plaćanja Stripe.
Za izdavače koji bi svijetu željeli dokazati da su zaista isti korporativni entitet, neki CA-ovi su ponudili Certifikati proširene valjanosti (EV).„Prošireni“ dio sastoji se od dodatnih provjera samog poslovanja, kao što su poslovna adresa, važeći telefonski broj, poslovna dozvola ili registracija te drugi atributi tipični za poslovanje koje posluje. Električna vozila su navedena po višoj cijeni jer zahtijevaju više rada od strane ovlaštenog tijela.
Preglednici su prije prikazivali istaknute vizualne povratne informacije za električno vozilo, poput drugačije boje ili snažnije ikone lokota. Posljednjih godina električna vozila nisu bila osobito popularna na tržištu. Uglavnom su izumrla. Mnogi preglednici više ne prikazuju diferencijalne povratne informacije.
Unatoč slabostima koje još uvijek postoje, PKI se s vremenom znatno poboljšao. Kako su se nedostaci shvatali, oni su i rješavani. Kriptografski algoritmi su ojačani, upravljanje je poboljšano, a ranjivosti su blokirane. Upravljanje konsenzusom igrača u industriji funkcioniralo je prilično dobro. Sustav će se nastaviti razvijati, i tehnološki i institucionalno. Osim miješanja regulatora, nema razloga očekivati drugačije.
Iz blijede povijesti električnih vozila naučili smo da tržište ne mari toliko za provjeru korporativnog identiteta. Međutim, ako bi korisnici interneta to željeli, ne bi bilo potrebno kršiti postojeći PKI da bi im se to omogućilo. Dovoljne bi bile neke male prilagodbe postojećih tijekova rada. Neki komentatori predložili su izmjenu TLS rukovanje; web stranica bi predstavila još jedan certifikat. Primarni certifikat bi radio kao i sada. Sekundarni certifikat, potpisan od strane QWAC-a, implementirao bi dodatne standarde identiteta koje EC želi.
Navodni razlozi EK-a za eIDAS jednostavno nisu vjerodostojni. Ne samo da su navedeni razlozi nevjerojatni, već se EK čak ni ne trudi s uobičajenim licemjernim kukanjem o tome kako moramo žrtvovati važne slobode u ime sigurnosti jer se suočavamo s ozbiljnom prijetnjom [izaberite jedno] trgovine ljudima, sigurnosti djece, pranja novca, utaje poreza ili (moj osobni favorit) klimatskih promjenaNe može se poreći da nas EU iskorištava.
Ako EK nije iskrena u vezi svojih pravih motiva, što onda traže? Gibson vidi zlonamjerna namjera:
I postoji samo jedan mogući razlog zašto žele [prisiliti preglednike da vjeruju QWAC-ovima], a to je omogućiti presretanje internetskog prometa u hodu, točno onako kako se događa unutar korporacija. I to je priznato.
(Gibson pod "presretanjem web prometa" misli na MITM napad opisan gore.) Drugi komentari istaknuli su zlokobne implikacije za slobodu govora i političke prosvjede. Hurst u dugom eseju iznosi argument skliskog terena:
Kada liberalna demokracija uspostavi ovakvu kontrolu nad tehnologijom na webu, unatoč posljedicama, ona postavlja temelje za autoritarnije vlade koje će nekažnjeno slijediti taj primjer.
Mozilla citirano u Techdirtu (bez linka na original) kaže manje-više isto:
[P]isiljavanje preglednika da automatski vjeruju vladinim tijelima za izdavanje certifikata ključna je taktika koju koriste autoritarni režimi, a te bi aktere ohrabrio legitimizirajući učinak postupaka EU-a...
Gibson pravi slično primjedba:
A onda se postavlja vrlo realna stvarnost oko toga koja se još vrata otvaraju: Ako EU pokaže ostatku svijeta da može uspješno diktirati uvjete povjerenja za neovisne web preglednike koje koriste njezini građani, koje će druge zemlje slijediti taj primjer sa sličnim zakonima? Sada svatko jednostavno može zahtijevati da se dodaju certifikati vlastite zemlje. To nas vodi u potpuno krivom smjeru.
Ovaj predloženi članak 45. napad je na privatnost korisnika u zemljama EU-a. Ako se usvoji, bio bi to ogroman korak unatrag ne samo u internetskoj sigurnosti, već i u razvijenom sustavu upravljanja. Slažem se sa Steveom Gibsonom da:
Ono što je potpuno nejasno, a na što nigdje nisam naišao, jest objašnjenje ovlasti kojom EU zamišlja da može diktirati dizajn softvera drugih organizacija. Jer na to se sve svodi.
Reakcija na predloženi članak 45. bila je izrazito negativna. EFR u Članak 45. će smanjiti web sigurnost za 12 godina piše: „Ovo je katastrofa za privatnost svih koji koriste internet, ali posebno za one koji koriste internet u EU.“
eIDAS napor je četiri alarma za sigurnosnu zajednicu. Mozilla – proizvođač web preglednika otvorenog koda Firefox – objavila je Zajednička izjava industrije protiveći se tome. Izjavu je potpisao popis zvijezda tvrtki za internetsku infrastrukturu, uključujući samu Mozillu, Cloudflare, Fastly i Linux Foundation.
Od otvoreno pismo navedeno gore:
Nakon čitanja gotovo konačnog teksta, duboko smo zabrinuti predloženim tekstom za članak 45. Trenutni prijedlog radikalno proširuje mogućnost vlada da nadziru i vlastite građane i stanovnike diljem EU-a pružajući im tehnička sredstva za presretanje šifriranog web prometa, kao i potkopavajući postojeće mehanizme nadzora na koje se oslanjaju europski građani.
Kamo ovo vodi? Uredba se predlaže već neko vrijeme. Konačna odluka zakazana je za studeni 2023. Pretrage na webu ne pokazuju nove informacije o ovoj temi od tada.
U posljednjih nekoliko godina, izravna cenzura u svim svojim oblicima se povećala. Tijekom covid ludila, vlada i industrija surađivale su kako bi stvorile cenzorsko-industrijski kompleks učinkovitije promovirati lažne narative i suzbijati disidente. U posljednjih nekoliko godina, skeptici i neovisni glasovi su se borili, na sudovimai stvaranjem neutralno od gledišta platforme.
Iako cenzura govora i dalje predstavlja veliku opasnost, prava pisaca i novinara bolje su zaštićena od mnogih drugih prava. U SAD-u, Prvi amandman ima eksplicitnu zaštitu govora i slobodu kritiziranja vlade. Sudovi mogu biti mišljenja da su sva prava ili slobode koje nisu zaštićene vrlo specifičnim zakonskim jezikom dopuštena igra. To bi mogao biti razlog zašto je otpor imao više uspjeha u pogledu govora nego drugi napori da se zaustave druge zlouporabe moći, kao što je karantene i karantene stanovništva.
Umjesto dobro branjenog neprijatelja, vlade preusmjeravaju svoje napade na druge slojeve internetske infrastrukture. Ove usluge, poput registracije domena, DNS-a, certifikata, procesora plaćanja, hostinga i trgovina aplikacijama, uglavnom se sastoje od transakcija na privatnom tržištu. Ove usluge su mnogo slabije zaštićene od govora jer uglavnom nitko nema pravo kupiti određenu uslugu od određenog poduzeća. A tehničke usluge poput DNS-a i PKI-a javnost manje razumije nego web izdavaštvo.
PKI sustav je posebno ranjiv na napade jer funkcionira na temelju ugleda i konsenzusa. Ne postoji jedinstveni autoritet koji vlada cijelim sustavom. Igrači moraju steći ugled transparentnošću, usklađenošću i iskrenim prijavljivanjem nedostataka. A to ga čini ranjivim na ovu vrstu ometajućeg napada. Ako EU PKI padne u ruke regulatora, očekujem da će i druge zemlje slijediti taj primjer. Ne samo da je PKI u opasnosti. Nakon što se dokaže da regulatori mogu napasti i druge slojeve stoga, i oni će biti meta.
-
Robert Blumen je softverski inženjer i voditelj podcasta koji povremeno piše o političkim i ekonomskim pitanjima.
Pogledaj sve postove
