Epoch Times România
Acasă    
Externe    
Europa

UE vrea să spioneze utilizatorii europeni de internet

Robert Blumen via Brownstone Institute
22.01.2024

video

Cum îşi respectă România eroii? Mărturia dureroasă a strănepotului Elisabetei Rizea
Fetele din Domneşti, jud. Argeş, duc mai departe tradiţiile
113 ani de la naşterea Elisabetei Rizea, celebraţi la Domneşti, Argeş
IZIDOR - Povestea celor mai inocente victime ale comunismului, copiii cu dizabilităţi
Crimele comunismului. 15.000 de copii ucişi în căminele-spital tip lagăr ale lui Ceauşescu. De ce statul român n-a pedepsit pe nimeni?

Mai multe articole

(Captură Foto)
Robert Blumen via Brownstone Institute
22.01.2024
Share

Comisia Europeană (CE) este un organism legislativ al UE cu autoritate de reglementare în domeniul tehnologiei digitale. Articolul 45 din propunerea de regulament eIDAS al CE ar slăbi în mod deliberat domeniile de securitate a internetului pe care industria le-a dezvoltat şi consolidat cu atenţie de peste 25 de ani. Articolul ar acorda efectiv celor 27 de guverne ale UE puteri de supraveghere foarte extinse în ceea ce priveşte utilizarea internetului, potrivit lui Robert Blumen via Brownstone Institute.

Articolul ar impune tuturor browserelor de internet să aibă încredere într-un certificat rădăcină suplimentar de la o agenţie (sau o entitate reglementată) din partea fiecărui guvern naţional al fiecăruia dintre statele membre ale UE. Pentru cititorii fără cunoştinţe tehnice, voi explica ce este un certificat rădăcină, cum a evoluat încrederea pe internet şi ce face articolul 45 în acest sens. Şi apoi voi evidenţia câteva dintre comentariile comunităţii tehnice pe această temă.

Următoarea secţiune a acestui articol va explica modul în care funcţionează infrastructura de încredere a internetului. Acest context este necesar pentru a înţelege cât de radical este articolul propus. Explicaţia este menită să fie accesibilă unui cititor fără cunoştinţe tehnice.

Regulamentul în cauză se referă la securitatea internetului. Aici, "internet" înseamnă, în mare parte, browserele care vizitează site-uri web. Securitatea internetului constă în mai multe aspecte distincte. Articolul 45 intenţionează să modifice infrastructura cu chei publice (Public Key Infrastructure / PKI), care face parte din securitatea internetului încă de la mijlocul anilor '90. PKI a fost iniţial adoptată şi apoi îmbunătăţită de-a lungul unei perioade de 25 de ani, pentru a oferi utilizatorilor şi editorilor următoarele asigurări:

- Confidenţialitatea conversaţiei dintre browser şi site-ul web: Browserele şi site-urile web comunică prin intermediul internetului, un sistem de reţele operate de furnizorii de servicii de internet şi de operatorii de telefonie de nivel 1; sau de operatorii de telefonie mobilă, în cazul în care dispozitivul este mobil. Reţeaua în sine nu este în mod inerent sigură şi nici demnă de încredere. Furnizorul de servicii de internet de acasă, un călător din sala de aşteptare a aeroportului în care vă aşteptaţi cursa sau un furnizor de date care doreşte să vândă indicii agenţilor de publicitate ar putea dori să vă spioneze. Fără nicio protecţie, un actor rău intenţionat ar putea vedea date confidenţiale, cum ar fi o parolă, soldul cardului de credit sau informaţii despre sănătate.

- Garantaţi că vizualizaţi pagina exact aşa cum v-a trimis-o site-ul web: Atunci când vizualizaţi o pagină web, ar fi putut fi modificată între editor şi browserul dumneavoastră? Un cenzor ar putea dori să elimine conţinutul pe care nu doreşte să îl vedeţi. Conţinutul etichetat ca fiind "dezinformare" a fost suprimat pe scară largă în timpul isteriei COVID. Un hacker care v-a furat cardul de credit ar putea dori să elimine dovezile privind operaţiunile frauduloase pe care le-a efectuat.

- Garantaţi că site-ul web pe care îl vedeţi este într-adevăr cel din bara de localizare a browserului: Atunci când vă conectaţi la o bancă, de unde ştiţi că vedeţi site-ul web al acelei bănci, nu o versiune falsă care pare identică? Verificaţi bara de localizare din browserul dumneavoastră. Este posibil ca browserul dvs. să fi fost păcălit să vă arate un site web fals care pare identic cu cel real? Cum ştie browserul dvs. - cu siguranţă - că este conectat la site-ul corect?

În primele zile ale internetului, nu existau aceste asigurări. În 2010, un plugin de browser disponibil în magazinul de suplimente permitea utilizatorului să participe la chat-ul de grup de pe Facebook al altcuiva într-un hotspot de cafenea. Acum - datorită PKI, puteţi fi destul de sigur de aceste lucruri.

Aceste caracteristici de securitate sunt protejate cu ajutorul unui sistem bazat pe certificate digitale. Certificatele digitale sunt o formă de identificare - versiunea de internet a unui permis de conducere. Atunci când un browser se conectează la un site, site-ul prezintă un certificat browserului. Certificatul conţine o cheie criptografică. Browserul şi site-ul web colaborează cu o serie de calcule criptografice pentru a stabili o comunicare sigură.

Împreună, browserul şi site-ul oferă cele trei garanţii de securitate:

- confidenţialitate: prin criptarea conversaţiei.

- semnături digitale criptografice: pentru a se asigura că nu este modificat pe drum conţinutul.

- verificarea editorului: prin intermediul lanţului de încredere oferit de PKI, pe care îl voi explica mai în detaliu mai jos.

O identitate bună ar trebui să fie dificil de contrafăcut. În antichitate, turnarea în ceară a unui sigiliu servea acestui scop. Identităţile pentru oameni s-au bazat pe date biometrice. Faţa dumneavoastră este una dintre cele mai vechi forme. În lumea non-digitală, atunci când trebuie să accesaţi un cadru cu restricţii de vârstă, cum ar fi comandarea unei băuturi alcoolice, vi se va cere un act de identitate cu fotografie.

O altă măsură biometrică de dinainte de era digitală a fost compararea semnăturii dumneavoastră recente cu pix şi cerneală cu semnătura originală de pe spatele actului de identitate. Pe măsură ce aceste tipuri mai vechi de date biometrice au devenit mai uşor de falsificat, verificarea identităţii umane s-a adaptat. Acum, este obişnuit ca o bancă să vă trimită un cod de validare pe telefonul mobil. Aplicaţia vă cere să treceţi o verificare biometrică a identităţii pe telefonul mobil pentru a vedea codul, cum ar fi recunoaşterea feţei sau amprenta digitală.

Pe lângă datele biometrice, cel de-al doilea factor care face ca un act de identitate să fie demn de încredere este emitentul. Actele de identitate care sunt acceptate pe scară largă depind de capacitatea emitentului de a verifica dacă persoana care solicită un act de identitate este cine spune că este. Majoritatea dintre cele mai larg acceptate forme de identitate sunt emise de agenţii guvernamentale, cum ar fi Departamentul de autovehicule. Dacă agenţia emitentă dispune de mijloace fiabile pentru a urmări cine şi unde se află persoanele vizate, cum ar fi plăţile de impozite, dosarele de angajare sau utilizarea serviciilor de alimentare cu apă, atunci există şanse mari ca agenţia să poată verifica dacă persoana menţionată pe actul de identitate este acea persoană.

În lumea online, guvernele, în cea mai mare parte, nu s-au implicat în verificarea identităţii. Certificatele sunt emise de firme din sectorul privat, cunoscute sub numele de autorităţi de certificare (CA). În timp ce certificatele erau destul de scumpe, taxele au scăzut considerabil până în punctul în care unele sunt gratuite. Cele mai cunoscute CA-uri sunt Verisign, DigiCert şi GoDaddy. Ryan Hurst arată că cele şapte mari CA-uri (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft şi IdenTrust) emit 99% din toate certificatele.

Browserul va accepta un certificat ca dovadă a identităţii numai dacă câmpul de nume de pe certificat corespunde cu numele de domeniu, pe care browserul îl afişează în bara de localizare. Chiar dacă numele se potrivesc, înseamnă că un certificat care spune "apple.com" aparţine companiei de electronice de consum cunoscută sub numele de Apple, Inc.? Sistemele de identitate nu sunt antiglonţ. Minorii care consumă alcool pot obţine acte de identitate false. La fel ca şi ID-urile umane, certificatele digitale pot fi, de asemenea, false sau invalide din alte motive. Un inginer de software care utilizează instrumente open source / sursă deschisă gratuite poate crea un certificat digital numit "apple.com" cu câteva comenzi Linux.

Sistemul PKI se bazează pe CA-uri pentru a emite orice certificat doar pentru proprietarul site-ului web. Fluxul de lucru pentru a achiziţiona un certificat decurge astfel:

Editorul unui site web solicită un certificat, pentru un domeniu, la CA-ul său preferat.

AC verifică dacă cererea de certificat provine de la proprietarul real al site-ului respectiv. Cum stabileşte AC acest lucru? CA cere ca entitatea care face cererea să publice un anumit conţinut pe un anumit URL. Capacitatea de a face acest lucru dovedeşte că entitatea deţine controlul asupra site-ului.

Odată ce site-ul web a dovedit că este proprietarul domeniului, AC ataşează o semnătură digitală criptografică la certificat folosind propria cheie criptografică privată. Semnătura identifică AC ca fiind emitentul.

Certificatul semnat este transmis persoanei sau entităţii care face cererea.

Editorul îşi instalează certificatul pe site-ul său web, astfel încât acesta să poată fi afişat în browsere.

Semnăturile digitale criptografice sunt "o schemă matematică pentru verificarea autenticităţii mesajelor sau documentelor digitale". Ele nu sunt acelaşi lucru cu semnarea online a documentelor oferită de DocuSign şi alţi furnizori similari. Dacă semnătura ar putea fi falsificată, atunci certificatele nu ar fi de încredere. De-a lungul timpului, dimensiunea cheilor criptografice a crescut cu scopul de a face falsificarea mai dificilă. Cercetătorii în domeniul criptografiei consideră că semnăturile actuale sunt, în termeni practici, imposibil de falsificat. O altă vulnerabilitate este cea în care CA-ului i se fură cheile secrete. Hoţul ar putea apoi să producă semnături valide ale respectivei AC.

Odată ce certificatul a fost instalat, acesta este utilizat în timpul configurării unei conversaţii web. The Register explică modul în care se întâmplă acest lucru:

Dacă certificatul a fost emis de o autoritate de certificare cunoscută şi toate detaliile sunt corecte, atunci site-ul este de încredere, iar browserul va încerca să stabilească o conexiune sigură şi criptată cu site-ul web, astfel încât activitatea dvs. cu site-ul să nu fie vizibilă pentru o persoană care trage cu urechea în reţea. În cazul în care certificatul a fost emis de o autoritate de certificare care nu este de încredere sau dacă certificatul nu corespunde adresei site-ului web sau dacă unele detalii sunt greşite, browserul va respinge site-ul web, deoarece se teme ca nu se conectează la site-ul web pe care îl doreşte utilizatorul şi că ar putea vorbi cu un impostor.

Putem avea încredere în browser, deoarece browserul are încredere în site-ul web. Browserul are încredere în site-ul web pentru că certificatul a fost emis de o autoritate de certificare "cunoscută". Dar ce este o "CA cunoscută"? Majoritatea browserelor se bazează pe CA-urile furnizate de sistemul de operare. Lista CA-urilor de încredere este stabilită de furnizorii de dispozitive şi de software. Principalii furnizori de computere şi dispozitive - Microsoft, Apple, producătorii de telefoane Android şi distribuitorii de Linux open source - preîncarcă sistemul de operare de pe dispozitivele lor cu un set de certificate rădăcină.

Aceste certificate identifică AC pe care le-au verificat şi pe care le consideră de încredere. Această colecţie de certificate rădăcină se numeşte "depozit de încredere". Pentru a lua un exemplu apropiat mie, PC-ul cu Windows pe care îl folosesc pentru a scrie acest articol are 70 de certificate rădăcină în Trusted Root Certificate Store. Site-ul de asistenţă al Apple enumeră toate rădăcinile de încredere pentru versiunea Sierra a MacOS.

Cum decid vânzătorii de computere şi de telefoane care sunt CA-urile de încredere? Aceştia dispun de programe de audit şi de conformitate pentru a evalua calitatea AC. Numai cele care trec de aceste programe sunt incluse. A se vedea, de exemplu, browserul Chrome (care oferă propriul magazin de încredere în loc să îl folosească pe cel de pe dispozitiv). EFF (care se descrie ca fiind "principala organizaţie non-profit care apără libertăţile civile în lumea digitală") explică:

Browserele operează "programe rădăcină" pentru a monitoriza securitatea şi fiabilitatea autorităţilor de certificare în care au încredere. Aceste programe rădăcină impun o serie de cerinţe care variază de la "cum trebuie securizat materialul cheie" la "cum trebuie efectuată validarea controlului numelui de domeniu" şi "ce algoritmi trebuie utilizaţi pentru semnarea certificatelor".

După ce o AC a fost acceptată de un furnizor, acesta continuă să o monitorizeze. Furnizorii vor elimina CA-urile din depozitul de încredere în cazul în care acestea nu reuşesc să respecte standardele de securitate necesare. Autorităţile de certificare pot, şi chiar o fac, să devină necinstite sau să eşueze din alte motive. The Register raportează:

Certificatele şi autorităţile de certificare care le eliberează nu sunt întotdeauna demne de încredere, iar producătorii de browsere au eliminat de-a lungul anilor certificatele rădăcină ale autorităţilor de certificare cu sediul în Turcia, Franţa, China, Kazahstan şi în alte ţări, atunci când s-a constatat că entitatea emitentă sau o parte asociată intercepta traficul web.

În 2022, cercetătorul Ian Carroll a raportat probleme de securitate cu autoritatea de certificare e-Tugra. Carroll "a găsit o serie de probleme alarmante care mă îngrijorează în ceea ce priveşte practicile de securitate din cadrul companiei lor", cum ar fi acreditările slabe. Rapoartele lui Carroll au fost verificate de principalii furnizori de software. Ca urmare, e-Tugra a fost eliminată din magazinele lor de certificate de încredere.

Cronologia eşecurilor autorităţilor de certificare vorbeşte despre alte incidente de acest gen.

Există încă unele lacune cunoscute în PKI, aşa cum există în prezent. Deoarece o anumită problemă este importantă pentru înţelegerea articolului 45 din eIDAS, o voi explica în continuare. Încrederea unei autorităţi de certificare nu se limitează la acele site-uri web care îşi desfăşoară activitatea cu acea autoritate de certificare. Un browser va accepta un certificat de la orice AC de încredere pentru orice site web. Nu există nimic care să împiedice CA să elibereze un site web unui actor rău intenţionat care nu a fost solicitat de către proprietarul site-ului. Un astfel de certificat ar fi fraudulos din punct de vedere juridic din cauza persoanei căreia i-a fost emis. Dar conţinutul certificatului ar fi valid din punct de vedere tehnic din punctul de vedere al browserului.

Dacă ar exista o modalitate de a asocia fiecare site web cu autoritatea de certificare preferată, atunci orice certificat pentru site-ul respectiv, emis de orice altă autoritate de certificare, ar fi recunoscut imediat ca fiind fraudulos. Certificarea pinning este un alt standard care face un pas în această direcţie. Dar cum ar fi publicată această asociere şi cum ar fi de încredere acest editor?

La fiecare nivel al acestui proces, soluţia tehnică se bazează pe o sursă externă de încredere. Dar cum se stabileşte această încredere? Prin faptul că se bazează pe o sursă si mai de încredere pe planul imediat superior? Această întrebare ilustrează natura "ţestoasă, până jos" a problemei. PKI are o broască ţestoasă în partea de jos: reputaţia, vizibilitatea şi transparenţa industriei securităţii şi a clienţilor săi. Încrederea este construită la acest nivel prin monitorizare constantă, standarde deschise, dezvoltatori de software şi autorităţi de certificare.

Au fost emise certificate frauduloase. În 2013, ArsTechnica a raportat că o agenţie franceză a fost prinsă în timp ce emitea certificate SSL care se făceau trecând identitatea Google:

În 2011... cercetătorii în domeniul securităţii au detectat un certificat fals pentru Google.com, care le dădea atacatorilorposibilitatea de a impersona serviciul de e-mail al site-ului şi alte oferte. Certificatul contrafăcut a fost fabricat după ce atacatorii au pătruns în securitatea DigiNotar, cu sediul în Olanda, şi au obţinut controlul asupra sistemelor sale de emitere a certificatelor.

Certificatele SSL (Secure Sockets Layer) erau semnate digital de o autoritate de certificare validă... De fapt, certificatele erau duplicate neautorizate care au fost emise cu încălcarea regulilor stabilite de producătorii de browsere şi de serviciile de autoritate de certificare.

Emiterea frauduloasă de certificate se poate întâmpla. O autoritate de certificare necinstită poate emite unul, dar nu va ajunge prea departe. Certificatul greşit va fi detectat. Autoritatea de certificare necorespunzătoare va eşua în programele de conformitate şi va fi eliminată din magazinele de încredere. Fără acceptare, AC va ieşi din afaceri. Transparenţa certificatelor, un standard mai recent, permite detectarea mai rapidă a certificatelor frauduloase.

De ce o AC ar deveni necinstită? Ce avantaj poate obţine un tip rău de pe urma unui certificat neautorizat? Doar cu certificatul, nu prea mult, chiar dacă este semnat de o AC de încredere. Dar dacă tipul rău poate face echipă cu un furnizor de servicii de internet sau poate accesa în alt mod reţeaua pe care o foloseşte browserul, certificatul îi oferă actorului rău intenţionat posibilitatea de a încălca toate garanţiile de securitate ale PKI.

Hackerul ar putea organiza un atac de tip man-in-the-middle / om în mijloc (MITM) asupra conversaţiei. Atacatorul s-ar putea interpune între browser şi site-ul web real. În acest scenariu, utilizatorul ar vorbi direct cu atacatorul, iar acesta ar transmite conţinutul de la un capăt la altul cu site-ul real. Atacatorul ar prezenta browserului certificatul fraudulos. Deoarece a fost semnat de o autoritate de certificare de încredere, browserul l-ar accepta. Atacatorul ar putea vedea şi chiar modifica ceea ce oricare dintre părţi a trimis înainte ca cealaltă parte să primească.

Ajungem acum la sinistrul eIDAS al UE, articolul 45. Această propunere de regulament impune tuturor browserelor să aibă încredere într-un set de certificate de la autorităţile de certificare desemnate de UE. Douăzeci şi şapte mai exact: câte unul pentru fiecare ţară membră. Aceste certificate se vor numi Certificate calificate de autentificare a site-urilor web. Acronimul "QWAC" are o omofonie nefericită cu "quackery" (şarlatanerie) - sau poate că CE ne trollează.

Certificatele QWAC vor fi emise fie de agenţii guvernamentale, fie de ceea ce Michael Rectenwald numeşte "guvernamentalităţi": "corporaţii şi companii şi alte adjuvante ale statului care sunt altfel numite "private", dar care, de fapt, funcţionează ca aparate de stat, în sensul că impun naraţiunile şi dictatele statului".

Această schemă ar aduce guvernele statelor membre ale UE cu un pas mai aproape de punctul în care ar putea ataca prin metoda "man-in-the-middle" împotriva propriilor cetăţeni. De asemenea, acestea ar trebui să aibă acces la reţele. Guvernele sunt în măsură să facă acest lucru. Dacă ISP-ul este administrat ca o întreprindere de stat, atunci ar avea deja acest lucru. În cazul în care ISP-urile sunt firme private, atunci autorităţile locale ar putea folosi puterile poliţiei pentru a obţine acces.

Un aspect care nu a fost evidenţiat în conversaţia publică este ca un browser din oricare dintre cele 27 de ţări membre ale UE ar trebui să accepte fiecare QWAC, unul din fiecare membru al UE. Aceasta înseamnă că un browser din Spania, de exemplu, ar trebui să aibă încredere într-un QWAC de la entităţi din Croaţia, Finlanda şi Austria. Utilizatorul spaniol care vizitează un site web austriac ar trebui să tranziteze porţiuni austriece de internet. Problemele ridicate mai sus s-ar aplica în toate ţările din UE.

The Register, într-un articol intitulat Bad eIDAS: Europa este pregătită să intercepteze şi să spioneze conexiunile HTTPS criptate, explică un mod în care acest lucru ar putea funcţiona:

Acel guvern poate cere autorităţii sale de certificare prietenoase o copie a certificatului [QWAC], astfel încât guvernul să se poată da drept site web - sau poate cere un alt certificat în care browserele să aibă încredere şi pe care să-l accepte pentru site. Astfel, folosind un atac de tip "man-in-the-middle", guvernul respectiv poate intercepta şi decripta traficul HTTPS criptat dintre site-ul web şi utilizatorii săi, permiţând regimului să monitorizeze exact ceea ce fac oamenii cu acel site în orice moment.

După ce a pătruns în scutul de criptare, monitorizarea ar putea include salvarea parolelor utilizatorilor şi apoi utilizarea lor la un alt moment pentru a accesa conturile de e-mail ale cetăţenilor. În plus faţă de monitorizare, guvernele ar putea să modifice conţinutul inline. De exemplu, acestea ar putea elimina relatările pe care doresc să le cenzureze. Ar putea ataşa verificări enervante ale faptelor şi avertismente de conţinut la opiniile divergente.

În situaţia actuală, autorităţile de certificare trebuie să menţină încrederea comunităţii de browsere. În prezent, browserele avertizează utilizatorul în cazul în care un site prezintă un certificat expirat sau care nu este de încredere. În temeiul articolului 45, avertismentele sau expulzarea celor care abuzează de încredere ar fi interzise. Nu numai că browserele sunt obligate să aibă încredere în AC, dar articolul 45 interzice browserelor să afişeze un avertisment că un certificat este semnat de o QWAC.

Last Chance for eIDAS (un site web care afişează sigla Mozilla) pledează împotriva articolului 45:

Orice stat membru al UE are posibilitatea de a desemna chei criptografice pentru a fi distribuite în browserele web, iar browserele nu au voie să revoce încrederea în aceste chei fără permisiunea guvernului.

...Nu există niciun control sau echilibru independent asupra deciziilor luate de statele membre în ceea ce priveşte cheile pe care le autorizează şi utilizarea pe care o fac. Acest lucru este deosebit de îngrijorător, având în vedere că respectarea statului de drept nu a fost uniformă în toate statele membre, existând cazuri documentate de constrângere de către poliţia secretă în scopuri politice.

Într-o scrisoare deschisă semnată de câteva sute de cercetători în domeniul securităţii şi informaticieni:

Articolul 45 interzice, de asemenea, verificările de securitate ale certificatelor web ale UE, cu excepţia cazului în care acest lucru este permis în mod expres prin regulament, atunci când se stabilesc conexiuni de trafic web criptate. În loc să specifice un set de măsuri minime de securitate care trebuie aplicate ca bază de referinţă, acesta specifică efectiv o limită superioară a măsurilor de securitate care nu pot fi îmbunătăţite fără permisiunea ETSI. Acest lucru contravine normelor globale bine stabilite în care noile tehnologii de securitate cibernetică sunt dezvoltate şi implementate ca răspuns la evoluţiile rapide ale tehnologiei.

Cei mai mulţi dintre noi se bazează pe furnizorii noştri pentru a selecta o listă de autorităţi de certificare de încredere. Cu toate acestea, în calitate de utilizator, puteţi adăuga sau elimina certificate după bunul plac pe propriile dispozitive. Microsoft Windows dispune de un instrument pentru a face acest lucru. Pe Linux, certificatele rădăcină sunt fişiere aflate într-un singur director. O CA poate fi lipsită de încredere prin simpla ştergere a fişierului. Va fi interzis şi acest lucru?, întreabă Steve Gibson, cunoscut expert în securitate, editorialist şi gazda podcastului de lungă durată Security Now:

Dar UE afirma că browserele vor fi obligate să onoreze aceste autorităţi de certificare noi, nedovedite şi netestate şi, prin urmare, orice certificat emis de acestea, fără excepţie şi fără recurs. Înseamnă asta că instanţa mea de Firefox va fi obligată legal să refuze încercarea mea de a elimina aceste certificate?

Gibson remarcă faptul că unele corporaţii implementează o supraveghere similară a angajaţilor lor în cadrul propriei reţele private. Indiferent de părerea dumneavoastră despre aceste condiţii de lucru, unele industrii au motive legitime de audit şi de conformitate pentru a urmări şi înregistra ceea ce fac angajaţii lor cu resursele companiei. Dar, după cum continuă Gibson,

Problema este că UE şi naţiunile sale membre sunt foarte diferite de angajaţii unei organizaţii private. Ori de câte ori un angajat nu doreşte să fie spionat, acesta îşi poate folosi propriul smartphone pentru a ocoli reţeaua angajatorului său. Şi, desigur, reţeaua privată a angajatorului este doar atât, o reţea privată. UE vrea să facă acest lucru pentru întregul internet public, de unde nu ar exista nicio scăpare.

Acum am stabilit natura radicală a acestei propuneri. Este timpul să ne întrebăm ce motive oferă CE pentru a motiva această schimbare? CE afirmă că verificarea identităţii în cadrul PKI nu este adecvată. Şi că aceste schimbări sunt necesare pentru a o îmbunătăţi.

Există vreun adevăr în afirmaţiile CE? În majoritatea cazurilor, PKI actuală cere doar ca cererea să dovedească controlul asupra site-ului web. Deşi acest lucru este ceva, nu garantează, de exemplu, că proprietatea web "apple.com" este deţinută de compania de electronice de consum cunoscută sub numele de Apple Inc, cu sediul central în Cupertino, California. Un utilizator rău intenţionat ar putea obţine un certificat valabil pentru un domeniu cu un nume similar cu cel al unei întreprinderi bine cunoscute. Certificatul valid ar putea fi folosit într-un atac care se bazează pe faptul că unii utilizatori nu se uită suficient de atent pentru a observa că numele nu corespunde cu adevărat. Acest lucru s-a întâmplat în cazul procesatorului de plăţi Stripe.

Pentru editorii care ar dori să demonstreze lumii că sunt cu adevărat aceeaşi entitate corporativă, unele AC au oferit certificate cu validare extinsă (EV). Partea "extinsă" constă în validări suplimentare în raport cu firma în sine, cum ar fi adresa firmei, un număr de telefon funcţional, o licenţă de afaceri sau o înregistrare şi alte atribute tipice pentru o întreprindere în funcţiune. Certificatele EV sunt listate la un preţ mai ridicat deoarece necesită mai multă muncă din partea AC.

Browserele obişnuiau să afişeze un feedback vizual evidenţiat pentru un EV, cum ar fi o culoare diferită sau o pictogramă de blocare mai robustă. În ultimii ani, EV-urile nu au fost deosebit de populare pe piaţă. Ele au dispărut în mare parte. Multe browsere nu mai afişează feedback-ul diferenţiat.

În ciuda punctelor slabe care încă există, PKI s-a îmbunătăţit considerabil de-a lungul timpului. Pe măsură ce defectele au devenit cunoscute, acestea au fost remediate. Algoritmii criptografici au fost consolidaţi, guvernanţa s-a îmbunătăţit, iar vulnerabilităţile au fost blocate. Guvernanţa prin consensul actorilor din industrie a funcţionat destul de bine. Sistemul va continua să evolueze, atât din punct de vedere tehnologic, cât şi instituţional. În afară de intervenţia autorităţilor de reglementare, nu există niciun motiv să ne aşteptăm la altceva.

Am învăţat din istoria modestă a vehiculelor electrice că pieţei nu-i pasă atât de mult de verificarea identităţii corporative. Cu toate acestea, dacă utilizatorii de internet şi-ar dori acest lucru, nu ar fi nevoie de ruperea PKI existente pentru a le oferi acest lucru. Ar fi suficiente câteva mici modificări ale fluxurilor de lucru existente. Unii comentatori au propus modificarea TLS Handshake (Transport Layer Security Handshake - un protocol pentru iniţierea şi stabilirea unei conexiuni securizate); site-ul web ar prezenta un certificat suplimentar. Certificatul principal ar funcţiona la fel ca în prezent. Certificatul secundar, semnat de un QWAC, ar pune în aplicare standardele suplimentare de identitate pe care CE spune că le doreşte.

Motivele invocate de CE pentru eIDAS pur şi simplu nu sunt credibile. Nu numai că motivele invocate nu sunt plauzibile, dar CE nici măcar nu se oboseşte cu obişnuitele lamentări moralizatoare despre cum trebuie să sacrificăm libertăţi importante în numele siguranţei, deoarece ne confruntăm cu ameninţarea gravă a [alegeţi una] traficului de persoane, a siguranţei copiilor, a spălării de bani, a evaziunii fiscale sau (preferata mea) a schimbărilor climatice.

Dacă CE nu este sinceră în legătură cu adevăratele sale motive, atunci ce urmăreşte?

Gibson vede o intenţie nefastă:

Şi există un singur motiv posibil pentru care doresc [să impună browserelor să aibă încredere în QWAC-uri], şi anume să permită interceptarea pe loc a traficului web pe internet, exact aşa cum se întâmplă în interiorul corporaţiilor. Iar acest lucru este recunoscut.

(Ceea ce Gibson înţelege prin "interceptarea traficului web" este atacul MITM descris mai sus). Alte comentarii au evidenţiat implicaţiile sinistre pentru libertatea de exprimare şi protestul politic. Hurst, într-un eseu de lungă durată, prezintă un argument de pantă alunecoasă:

Atunci când o democraţie liberală stabileşte acest tip de control asupra tehnologiei de pe web, în ciuda consecinţelor sale, pune bazele unor guverne mai autoritare care să urmeze exemplul cu impunitate.

Mozilla, citată în techdirt (fără link către original), spune cam acelaşi lucru:

[F]orţarea browserelor să aibă încredere în mod automat în autorităţile de certificare susţinute de guvern este o tactică cheie folosită de regimurile autoritare, iar aceşti actori ar fi încurajaţi de efectul de legitimare al acţiunilor UE...

Gibson face o observaţie similară:

Şi mai există şi spectrul real al altor uşi pe care le deschide acest lucru: Dacă UE arată restului lumii că poate dicta cu succes termenii de încredere pentru browserele web independente folosite de cetăţenii săi, ce alte ţări vor urma cu legi similare? Acum, toată lumea poate cere pur şi simplu ca certificatele din propria ţara să fie adăugate. Acest lucru ne duce exact în direcţia greşită.

Acest articol 45 propus este un atac la viaţa privată a utilizatorilor din ţările UE. Dacă va fi adoptat, va fi un regres masiv nu numai în ceea ce priveşte securitatea internetului, ci şi în ceea ce priveşte sistemul evoluat de guvernanţă. Sunt de acord cu Steve Gibson că:

Ceea ce este complet neclar şi ceea ce nu am întâlnit nicăieri este o explicaţie a autorităţii prin care UE îşi imaginează că este capabilă să dicteze proiectarea software-ului altor organizaţii. Pentru ca la asta se reduce totul.

Răspunsul la articolul 45 propus a fost masiv negativ. În articolul 45, EFF scrie: "Este o catastrofă pentru viaţă privată a tuturor celor care folosesc internetul, dar mai ales pentru cei care folosesc internetul în UE".

Efortul eIDAS este un incendiu cu patru alarme pentru comunitatea de securitate. Mozilla - creatorul browserului web open source Firefox - a postat o declaraţie comună a industriei care se opune acestui proiect. Declaraţia este semnată de o listă de vedete de companii de infrastructură de internet, inclusiv Mozilla, Cloudflare, Fastly şi Linux Foundation.

Din scrisoarea deschisă menţionată mai sus:

După ce am citit textul aproape final, suntem profund îngrijoraţi de textul propus pentru articolul 45. Propunerea actuală extinde radical capacitatea guvernelor de a supraveghea atât propriii cetăţeni, cât şi pe rezidenţii din UE, oferindu-le mijloacele tehnice de interceptare a traficului web criptat, precum şi subminând mecanismele de supraveghere existente pe care se bazează cetăţenii europeni.

Unde se ajunge? Regulamentul a fost propus de ceva timp. O decizie finală a fost programată pentru luna noiembrie a anului 2023. Căutările pe internet nu arată nicio informaţie nouă pe această temă de atunci.

În aceşti ultimi ani, cenzura directă, sub toate formele sale, a crescut. În timpul nebuniei Covid, guvernul şi industria s-au asociat pentru a crea un complex industrial de cenzură pentru a promova mai eficient naraţiunile false şi a suprima disidenţii. În ultimii ani, scepticii şi vocile independente au ripostat, în instanţe şi prin crearea de platforme neutre în privinţa opiniilor.

Deşi cenzura discursului continuă să fie un mare pericol, drepturile scriitorilor şi jurnaliştilor sunt mai bine protejate decât multe alte drepturi. În SUA, Primul Amendament are o protecţie explicită a exprimării şi a libertăţii de a critica guvernul. Instanţele de judecată pot fi de părere că orice drepturi sau libertăţi care nu sunt protejate de un limbaj legislativ foarte specific este un joc corect. Acesta poate fi motivul pentru care rezistenţa a avut mai mult succes în ceea ce priveşte discursul decât alte eforturi de a opri alte abuzuri de putere, cum ar fi carantina şi lockdown-ul impuse populaţiei.

Mai degrabă decât un inamic bine apărat, guvernele îşi mută atacurile către alte straturi ale infrastructurii internetului. Aceste servicii, cum ar fi înregistrarea domeniilor, DNS, certificatele, procesatorii de plăţi, găzduirea şi magazinele de aplicaţii, constau în mare parte din tranzacţii pe piaţa privată. Aceste servicii sunt mult mai puţin protejate decât discursul, deoarece, în cea mai mare parte, nimeni nu are dreptul de a achiziţiona un anumit serviciu de la o anumită întreprindere. Iar serviciile mai tehnice, cum ar fi DNS şi PKI, sunt mai puţin cunoscute de public decât publicarea pe internet.

Sistemul PKI este deosebit de vulnerabil la atacuri, deoarece funcţionează prin reputaţie şi consens. Nu există o autoritate unică pentru a conduce întregul sistem. Jucătorii trebuie să-şi câştige reputaţia prin transparenţă, conformitate şi raportarea onestă a eşecurilor. Iar acest lucru îl face vulnerabil la acest tip de atac perturbator. Dacă PKI din UE cade în sarcina autorităţilor de reglementare, mă aştept ca şi alte ţări să o urmeze. Nu numai că PKI este în pericol. Odată ce se va dovedi că şi alte straturi ale sistemului pot fi atacate de autorităţile de reglementare, acestea vor fi şi ele vizate.

România are nevoie de o presă neaservită politic şi integră, care să-i asigure viitorul. Vă invităm să ne sprijiniţi prin donaţii: folosind PayPal
sau prin transfer bancar direct în contul (lei) RO56 BTRL RONC RT03 0493 9101 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
sau prin transfer bancar direct în contul (euro) RO06 BTRL EURC RT03 0493 9101, SWIFT CODE BTRLRO22 deschis la Banca Transilvania pe numele Asociația Timpuri Epocale
O presă independentă nu poate exista fără sprijinul cititorilor
Interiorul uzinei subterane iraniene de la Fordo (HO/AFP/GETTY IMAGES)
În ciuda unui început fulminant din partea Israelului, victoria este încă indecisă - expert
Pentagonul, sediul Departamentului Apărării în comitatul Arlington, lângă fluviul Potomac, Washington (Daniel Slim/AFP via Getty Images)
Un cont de social media care urmărea livrările de pizza pentru Pentagon a trădat planurile de atac ale Israelului împotriva Iranului
China este centrul unei epidemii virale cu centrul în oraşul Wuhan (NOEL CELIS/AFP via Getty Images)
Tribunal din Missouri cere 24,5 miliarde USD despăgubiri Chinei pentru pandemia COVID
Vladimir Putin, desenat pe un zid din Serbia (Pierre Crom/Getty Images)
Un document pentru Kremlin prezintă planul de a prelungi războiul din Ucraina prin crearea de tensiuni între Trump şi europeni [WaPo]
Donald Trump împreună cu Vladimir Putin, arhivă (Mikhail Klimentyev/AFP/Getty Images)
Actori-cheie în negocierea cu Ucraina: Steve Witkoff (SUA) şi Kirill Dmitriev (Rusia). Cine sunt şi cum îi leagă Orientul Mijlociu
Premierul israelian Benjamin Netanyahu. (Sebastian Scheiner-Pool / Getty Images)
Serviciile secrete americane sugerează că Israelul încearcă să îl atragă pe Trump într-un atac preventiv împotriva Iranului
Marius  Bodo
"Era îmbrăcat într-un puloveraş albastru cu steluţe bleu" - Carnagiul copiilor de la Revoluţie. Mărturii cutremurătoare
Nicoleta Giurcanu
"Au adus câinele şi l-au asmuţit să ne sfâşie! Câinele nu ne-a muşcat, i-a fost milă. Lor nu!" - Mărturii de la Revoluţie
Un cercetător lucrează în laborator (PHILIPPE HUGUEN / AFP / Getty Images)
Mostre de virusuri mortale au dispărut dintr-un laborator din Australia, într-o "gravă încălcare a biosecurităţii"
Sediul central al ONU, New York (Spencer Platt/Getty Images)
"Pactul pentru viitor" al ONU stârneşte îngrijorări privind sprijinul puternic din partea Partidului Comunist Chinez
Robot (Shutterstock)
Profeţii tehnologiei - Sam Altman, CEO-ul OpenAI anunţă „Era inteligenţei”
Garda de Coastă italiană, căutând de supravieţuitori după scufundarea iahtului magnatului Mike Lynch (Getty Images)
Epava iahtului magnatului Mike Lynch, sub pază strictă. Două hard disk-uri aflate în adâncuri, ţinta mai multor guverne