DALINTIS | SPAUSDINTI | SIŲSTI EL. PAŠTU
Geriausios Europos Komisija yra ES teisėkūros institucija, turinti reguliavimo įgaliojimus skaitmeninių technologijų srityje. EK siūlomas eIDAS 45 straipsnis sąmoningai susilpnintų interneto saugumo sritis, kurias pramonė kruopščiai vystė ir stiprino daugiau nei 25 metus. Šis straipsnis iš esmės suteiktų 27 ES vyriausybėms gerokai išplėstus interneto naudojimo stebėjimo įgaliojimus.
Pagal šią taisyklę visos interneto naršyklės turėtų pasitikėti papildomu šakniniu sertifikatu, išduotu kiekvienos ES valstybės narės nacionalinės vyriausybės agentūros (arba reguliuojamo subjekto). Netechniniams skaitytojams paaiškinsiu, kas yra šakninis sertifikatas, kaip vystėsi pasitikėjimas internetu ir ką su tuo daro 45 straipsnis. Tada aptarsiu kai kuriuos technologijų bendruomenės komentarus šiuo klausimu.
Kitame šio straipsnio skyriuje bus paaiškinta, kaip veikia interneto pasitikėjimo infrastruktūra. Ši informacija yra būtina norint suprasti, koks radikalus yra siūlomas straipsnis. Paaiškinimas skirtas netechniniam skaitytojui.
Aptariamas reglamentas skirtas interneto saugumui. Čia „internetas“ iš esmės reiškia naršykles, lankančias svetaines. Interneto saugumas susideda iš daugelio skirtingų aspektų. 45 straipsnis siekia pakeisti viešojo rakto infrastruktūra (PKI), interneto saugumo dalis nuo dešimtojo dešimtmečio vidurio. PKI iš pradžių buvo pritaikyta, o vėliau per 90 metus tobulinama, siekiant suteikti vartotojams ir leidėjams šias garantijas:
- Naršyklės ir svetainės pokalbio privatumasNaršyklės ir svetainės bendrauja internete – tinklų tinkle, kurį valdo... Interneto paslaugų teikėjaiir 1 pakopos vežėjaiArba mobiliojo ryšio operatoriai jei įrenginys mobilus. Pats tinklas nėra savaime saugus ir patikimas. Jūsų smalsus namų interneto paslaugų teikėjas, keliautojas oro uosto poilsio kambaryje kur laukiate savo skrydžio, arba duomenų tiekėjas, norintis parduoti potencialius klientus reklamuotojams gali norėti jus šnipinėti. Be jokios apsaugos piktavalis asmuo gali peržiūrėti konfidencialius duomenis, pvz., slaptažodį, kredito kortelės likutį ar sveikatos informaciją.
- Garantuojame, kad peržiūrėsite puslapį tiksliai taip, kaip jį jums atsiuntė svetainėAr peržiūrint tinklalapį galimai jį buvo kitaip modifikuoti leidėjo ir jūsų naršyklės? Cenzorius gali norėti pašalinti turinį, kurio nenori, kad matytumėte. Turinys, pažymėtas kaip „dezinformacija“, buvo plačiai slopinamas per COVID-19 isterijos protrūkį. Įsilaužėlis, pavogęs jūsų kreditinę kortelę, gali norėti pašalinti įrodymus apie savo sukčiavimo atvejus.
- Įsitikinkite, kad matoma svetainė tikrai yra ta, kuri rodoma naršyklės vietos juostojeKai jungiatės prie banko, kaip žinote, kad matote to banko svetainę, o ne netikrą versiją, kuri atrodo identiškai? Naršyklėje patikrinate vietos juostą. Ar jūsų naršyklė gali būti apgauta ir parodyti netikrą svetainę, kuri atrodo identiškai tikrajai? Kaip jūsų naršyklė tikrai žino, kad ji prijungta prie teisingos svetainės?
Ankstyvosiomis interneto dienomis tokių garantijų nebuvo. 2010 m. naršyklės įskiepis, kurį galima rasti priedų parduotuvėje leido vartotojui dalyvauti kažkieno kito „Facebook“ grupės pokalbyje kavinės populiarioje vietoje. Dabar – PKI dėka, galite būti gana tikri dėl šių dalykų.
Šios apsaugos funkcijos yra apsaugotos sistema, pagrįsta skaitmeniniai sertifikataiSkaitmeniniai sertifikatai yra asmens tapatybės dokumento forma – internetinė vairuotojo pažymėjimo versija. Kai naršyklė prisijungia prie svetainės, svetainė pateikia jai sertifikatą. Sertifikate yra kriptografinis raktas. Naršyklė ir svetainė veikia kartu, atlikdamos kriptografinių skaičiavimų seriją, kad užmegztų saugų ryšį.
Naršyklė ir svetainė kartu užtikrina tris saugumo garantijas:
- privatumo: užšifruojant pokalbį.
- kriptografiniai skaitmeniniai parašai: kad tai užtikrintų turinys skrydžio metu nėra keičiamas.
- leidėjo patvirtinimasper PKI teikiamą pasitikėjimo grandinę, kurią išsamiau paaiškinsiu toliau.
Gerą tapatybę turėtų būti sunku padirbti. Senovės pasaulyje antspaudo vaško liejinys pasitarnavo šiam tikslui. Žmonių tapatybės buvo kuriamos remiantis biometrija. Jūsų veidas yra viena seniausių formų. Neskaitmeniniame pasaulyje, kai jums reikia pasiekti amžiaus apribojimus turinčią aplinką, pavyzdžiui, užsisakyti alkoholinį gėrimą, jūsų bus paprašyta pateikti asmens tapatybės dokumentą su nuotrauka.
Kitas biometrinis metodas, sukurtas iki skaitmeninės eros, buvo naujo parašo, rašyto rašikliu ir rašalu, palyginimas su originaliu parašu asmens dokumento kitoje pusėje. Kadangi šiuos senesnius biometrinius duomenis tapo lengviau padirbti, prisitaikė ir žmogaus tapatybės patvirtinimas. Dabar įprasta, kad bankas atsiunčia patvirtinimo kodą į jūsų mobilųjį telefoną. Programėlė reikalauja, kad mobiliajame telefone atliktų biometrinį tapatybės patikrinimą, pavyzdžiui, veido atpažinimo kodą arba piršto atspaudą.
Be biometrinių duomenų, antras veiksnys, lemiantis asmens tapatybės dokumento patikimumą, yra išdavėjas. Plačiai pripažįstami asmens tapatybės dokumentai priklauso nuo išdavėjo gebėjimo patikrinti, ar asmuo, prašantis asmens tapatybės dokumento, yra tas, kuo teigia esąs. Daugumą plačiausiai pripažįstamų asmens tapatybės dokumentų išduoda vyriausybinės agentūros, pavyzdžiui, Motorinių transporto priemonių departamentas. Jei išduodanti agentūra turi patikimų priemonių sekti, kas ir kur yra jos subjektai, pavyzdžiui, mokesčių mokėjimus, įdarbinimo įrašus ar vandens tiekimo paslaugų naudojimą, yra didelė tikimybė, kad agentūra gali patikrinti, ar asmens tapatybės dokumente nurodytas asmuo yra tas asmuo.
Internetinėje erdvėje vyriausybės dažniausiai nedalyvauja tapatybės patvirtinimo procese. Sertifikatus išduoda privačiojo sektoriaus įmonės, žinomos kaip sertifikavimo institucijos (CA). Nors anksčiau sertifikatai buvo gana brangūs, dabar mokesčiai gerokai sumažėjo ir dabar kai kurie yra nemokamiGeriausiai žinomos CA yra „Verisign“, „DigiCert“ ir „GoDaddy“. Ryano Hursto pasirodymai Septynios pagrindinės CA (ISRG, „DigiCert“, „Sectigo“, „Google“, „GoDaddy“, „Microsoft“ ir „IdenTrust“) išduoda 99 % visų sertifikatų.
Naršyklė priims sertifikatą kaip tapatybės įrodymą tik tuo atveju, jei sertifikato vardo laukas sutampa su domeno vardu, kurį naršyklė rodo vietos juostoje. Net jei vardai sutampa, ar tai įrodo, kad sertifikatas, kuriame parašyta „apple.com„priklauso plataus vartojimo elektronikos verslui, žinomam kaip „Apple, Inc.“? Ne. Tapatybės nustatymo sistemos nėra atsparios kulkoms. Nepilnamečiai girtuokliai galima gauti suklastotus asmens dokumentusKaip ir žmonių tapatybės kortelės, skaitmeniniai sertifikatai taip pat gali būti suklastoti arba negaliojantys dėl kitų priežasčių. Programinės įrangos inžinierius, naudodamas nemokamas atvirojo kodo priemones, gali sukurti skaitmeninį sertifikatą pavadinimu „apple.com“ su kelios „Linux“ komandos.
PKI sistema pasikliauja CA, kad sertifikatai būtų išduoti tik svetainės savininkui. Sertifikato gavimo darbo eiga yra tokia:
- Svetainės leidėjas kreipiasi į pageidaujamą CA dėl domeno sertifikato.
- CA patikrina, ar sertifikato užklausą pateikė tikrasis tos svetainės savininkas. Kaip CA tai nustato? CA reikalauja, kad užklausą pateikęs subjektas paskelbtų konkretų turinį konkrečiame URL adrese. Galimybė tai padaryti įrodo, kad subjektas kontroliuoja svetainę.
- Kai svetainė įrodo domeno nuosavybę, CA prideda kriptografinis skaitmeninis parašas prie sertifikato naudodamas savo privatų kriptografinį raktą. Parašas identifikuoja CA kaip išdavėją.
- Pasirašytas sertifikatas perduodamas prašymą pateikusiam asmeniui arba subjektui.
- Leidėjas įdiegia savo sertifikatą savo svetainėje, kad jis galėtų būti rodomas naršyklėms.
Kriptografiniai skaitmeniniai parašai yra „matematinė schema skaitmeninių pranešimų ar dokumentų autentiškumui patikrinti“. Tai nėra tas pats, kas „DocuSign“ ir panašių tiekėjų teikiamas internetinis dokumentų pasirašymas. Jei parašą būtų galima suklastoti, sertifikatai nebūtų patikimi. Laikui bėgant, kriptografinių raktų dydis didėjo, siekiant apsunkinti klastojimą. Kriptografijos tyrėjai mano, kad dabartinių parašų praktiškai neįmanoma suklastoti. Kita pažeidžiamumas yra tada, kai CA slapti raktai yra pavogti. Vagis gali sukurti galiojančius tos CA parašus.
Įdiegus sertifikatą, jis naudojamas nustatant internetinį pokalbį. Geriausios Registruotis paaiškina kaip tai vyksta:
Jei sertifikatą išdavė žinoma patikima CA ir visa informacija yra teisinga, svetainė yra patikima ir naršyklė bandys užmegzti saugų, užšifruotą ryšį su ja, kad jūsų veikla svetainėje nebūtų matoma tinkle esantiems asmenims. Jei sertifikatą išdavė nepatikima CA, sertifikatas nesutampa su svetainės adresu arba kai kurie duomenys yra neteisingi, naršyklė atmes svetainę, nes įtaria, kad ji nesijungia prie tikrosios svetainės, kurios nori vartotojas, ir gali bendrauti su apsimetėliu.
Galime pasitikėti naršykle, nes naršyklė pasitiki svetaine. Naršyklė pasitiki svetaine, nes sertifikatą išdavė „žinoma patikima“ CA. Bet kas yra „žinoma patikima CA“? Dauguma naršyklių pasikliauja operacinės sistemos pateiktais CA. Patikimų CA sąrašą nustato įrenginių ir programinės įrangos tiekėjai. Pagrindiniai kompiuterių ir įrenginių tiekėjai – „Microsoft“, „Apple“, „Android“ telefonų gamintojai ir atvirojo kodo „Linux“ platintojai – iš anksto įdiegia operacinę sistemą savo įrenginiuose su šakninių sertifikatų rinkiniu.
Šie sertifikatai identifikuoja patikrintas ir patikimas sertifikatų įstaigas. Ši šakninių sertifikatų kolekcija vadinama „patikimų saugykla“. Pateiksiu pavyzdį, kuris man artimas: „Windows“ kompiuteryje, kurį naudoju rašydamas šį straipsnį, patikimų šakninių sertifikatų saugykloje yra 70 šakninių sertifikatų. „Apple“ palaikymo svetainė. išvardija visas šaknis, kuriomis pasitiki „MacOS“ „Sierra“ versija.
Kaip kompiuterių ir telefonų pardavėjai nusprendžia, kurie sertifikavimo centrai yra patikimi? Jie turi audito ir atitikties programas, skirtas sertifikavimo centrų kokybei įvertinti. Įtraukiami tik tie, kurie atitinka reikalavimus. Žr., pavyzdžiui, naršyklė Chrome (kuri suteikia savo patikimų duomenų saugyklą, o ne naudoja įrenginyje esančią). EFF (kuri save apibūdina kaip „pirmaujančią ne pelno siekiančią organizaciją, ginančią pilietines laisves skaitmeniniame pasaulyje“) paaiškina:
Naršyklės naudoja „šaknines programas“, kad stebėtų patikimų CA saugumą ir patikimumą. Šios šakninės programos nustato daugybę reikalavimų – nuo „kaip turi būti apsaugota pagrindinė medžiaga“ iki „kaip turi būti atliekamas domeno vardo valdymo patvirtinimas“ ir „kokie algoritmai turi būti naudojami sertifikatų pasirašymui“.
Kai tiekėjas patvirtina sertifikavimo tarnybą (CA), jis toliau ją stebi. Tiekėjai pašalins sertifikavimo tarnybas iš patikimų saugyklos, jei sertifikavimo tarnyba nesilaikys būtinų saugumo standartų. Sertifikavimo tarnybos gali elgtis ir taip nutinka arba nepavyksta atlikti savo funkcijų dėl kitų priežasčių. Geriausios Registruotis ataskaitos:
Sertifikatai ir juos išduodančios CA ne visada yra patikimi, o naršyklių kūrėjai per daugelį metų pašalino CA šakninius sertifikatus iš CA, esančių Turkijoje, Prancūzijoje, Kinijoje, Kazachstane ir kitur, kai buvo nustatyta, kad išdavęs subjektas arba susijusi šalis perima interneto srautą.
2022 m. tyrėjas Ianas Carrollas pranešė, kad Saugumo problemos, susijusios su „e-Tugra“ sertifikatų tarnybaCarroll „rado keletą nerimą keliančių problemų, susijusių su jų įmonės saugumo praktika“, pavyzdžiui, silpnus prisijungimo duomenis. Carroll ataskaitas patikrino pagrindiniai programinės įrangos tiekėjai. Todėl „e-Tugra“ buvo... pašalinta iš patikimų sertifikatų saugyklų.
Geriausios Sertifikatų institucijos gedimų laiko juosta pasakoja apie kitus panašius įvykius.
Šiuo metu egzistuojančioje PKI sistemoje vis dar yra žinomų spragų. Kadangi vienas konkretus klausimas yra svarbus norint suprasti eIDAS 45 straipsnį, jį paaiškinsiu toliau. CA pasitikėjimas neapsiriboja tomis svetainėmis, kurios vykdo veiklą su ta CA. Naršyklė priims bet kurio patikimo CA sertifikatą bet kuriai svetainei. Niekas netrukdo CA išduoti svetainės savininkui svetainės, kurios neprašė, savininkas. Toks sertifikatas būtų apgaulingas teisine prasme dėl to, kam jis buvo išduotas. Tačiau naršyklės požiūriu sertifikato turinys būtų techniškai galiojantis.
Jei būtų būdas susieti kiekvieną svetainę su jos pageidaujama sertifikavimo institucija (CA), bet koks tos svetainės sertifikatas iš bet kurios kitos sertifikavimo institucijos būtų nedelsiant atpažįstamas kaip suklastotas. Sertifikato prisegimas yra dar vienas standartas, žengiantis žingsnį šia linkme. Bet kaip tas susiejimas būtų skelbiamas ir kaip būtų galima pasitikėti tuo leidėju?
Kiekviename šio proceso lygmenyje techninis sprendimas remiasi išoriniu pasitikėjimo šaltiniu. Bet kaip tas pasitikėjimas sukuriamas? Pasikliaujant dar patikimesniu šaltiniu kitame aukštesniame lygmenyje? Šis klausimas iliustruoja „vėžliai, iki pat apačios„Problemos pobūdis. PKI apačioje turi vėžlį: saugumo pramonės ir jos klientų reputaciją, matomumą ir skaidrumą. Pasitikėjimas šiame lygmenyje kuriamas nuolat stebint, taikant atvirus standartus, programinės įrangos kūrėjus ir sertifikatų teikėjus.“
Buvo išduoti suklastoti sertifikatai. 2013 m. „ArsTechnica“ pranešė, kad Prancūzijos agentūra pričiupta kuriant SSL sertifikatus, apsimetant „Google“ vardu:
2011 m.… saugumo tyrėjai Aptiko netikrą „Google.com“ sertifikatą tai suteikė užpuolikams galimybę apsimesti svetainės pašto paslauga ir kitais pasiūlymais. Padirbtas sertifikatas buvo pagamintas po to, kai užpuolikai įsilaužė į Nyderlanduose įsikūrusios „DigiNotar“ saugumą ir perėmė jos sertifikatų išdavimo sistemų kontrolę.
Saugiųjų lizdų sluoksnio (SSL) prisijungimo duomenis skaitmeniniu būdu pasirašė galiojanti sertifikavimo institucija... Iš tikrųjų sertifikatai buvo neleistinos kopijos, išduotos pažeidžiant naršyklių gamintojų ir sertifikavimo institucijų nustatytas taisykles.
Gali pasitaikyti apgaulingų sertifikatų išdavimo atvejų. Nesąžininga CA gali išduoti sertifikatą, bet toli nenueis. Blogas sertifikatas bus aptiktas. Bloga CA neatitiks atitikties programų ir bus pašalinta iš patikimų saugyklų. Be patvirtinimo CA bankrutuos. Sertifikato skaidrumas, naujesnis standartas, leidžia greičiau aptikti suklastotus sertifikatus.
Kodėl CA turėtų sukčiauti? Kokią naudą piktavalis gali gauti iš neautorizuoto sertifikato? Vien su sertifikatu nedaug, net jei jį pasirašė patikima CA. Tačiau jei piktavalis gali bendradarbiauti su interneto paslaugų teikėju arba kitaip pasiekti tinklą, kurį naudoja naršyklė, sertifikatas suteikia piktavaliui galimybę pažeisti visas PKI saugumo garantijas.
Hakeris galėtų sumontuoti žmogaus tarpininkavimo ataka (MITM) pokalbyje. Užpuolikas galėtų įsiterpti tarp naršyklės ir tikros svetainės. Tokiu atveju vartotojas kalbėtų tiesiogiai su užpuoliku, o užpuolikas perduotų turinį tikrajai svetainei. Užpuolikas pateiktų naršyklei suklastotą sertifikatą. Kadangi jį pasirašė patikimas CA, naršyklė jį priimtų. Užpuolikas galėtų peržiūrėti ir net modifikuoti tai, ką atsiuntė kuri nors šalis, kol kita pusė jį gavo.
Dabar pereikime prie ES grėsmingojo eIDAS reglamento, 45 straipsnio. Šis siūlomas reglamentas reikalauja, kad visos naršyklės pasitikėtų ES paskirtų sertifikavimo institucijų sertifikatų krepšeliu. Tiksliau, dvidešimt septynių: po vieną kiekvienai valstybei narei. Šie sertifikatai bus vadinami Kvalifikuoti svetainės autentifikavimo sertifikataiAkronimas „QWAC“ turi nevykusį homofoną. perkrautas – o galbūt EK mus apgaudinėja.
QWAC išduotų arba vyriausybinės agentūros, arba, kaip Michaelas Rectenwaldas vadina... vyriausybinės institucijos„korporacijos, įmonės ir kiti valstybės pagalbininkai, kurie kitaip vadinami „privačiais“, bet iš tikrųjų veikia kaip valstybės aparatai, nes jie vykdo valstybės naratyvus ir diktatus.“
Ši schema priartintų ES valstybių narių vyriausybes prie ribos, kai jos galėtų vykdyti „žmogus per tarpininką“ atakas prieš savo piliečius. Joms taip pat reikėtų prieigos prie tinklų. Vyriausybės turi tokią galimybę. Jei interneto paslaugų teikėjas valdomas kaip valstybinė įmonė, jos ją jau turėtų. Jei interneto paslaugų teikėjai yra privačios įmonės, tai vietos... institucijos galėtų pasinaudoti policijos įgaliojimais, kad gautų prieigą.
Vienas dalykas, kuris nebuvo pabrėžtas viešose diskusijose, yra tai, kad bet kurios iš 27 ES valstybių narių naršyklė turėtų priimti kiekvieną QWAC, po vieną iš kiekvienos ES narėTai reiškia, kad naršyklė, pavyzdžiui, Ispanijoje, turėtų pasitikėti QWAC iš subjektų Kroatijoje, Suomijoje ir Austrijoje. Ispanijos vartotojas, apsilankęs Austrijos svetainėje, turėtų pereiti per Austrijos interneto dalis. Visos pirmiau iškeltos problemos būtų taikomos visose ES šalyse.
„The Register“ straipsnyje, pavadintame „ Blogas eIDAS: Europa pasirengusi perimti ir šnipinėti jūsų užšifruotus HTTPS ryšius paaiškina vieną iš būdų, kaip tai galėtų veikti:
Vyriausybė gali paprašyti savo draugiškos CA pateikti QWAC sertifikato kopiją, kad vyriausybė galėtų apsimesti svetaine, arba paprašyti kito sertifikato, kuriuo naršyklės pasitikės ir kurį priims. Taigi, naudodama „žmogaus tarp jų“ ataką, vyriausybė gali perimti ir iššifruoti užšifruotą HTTPS srautą tarp svetainės ir jos naudotojų, leisdama režimui bet kuriuo metu tiksliai stebėti, ką žmonės veikia toje svetainėje.
Įsilaužus į šifravimo skydą, stebėjimas galėtų apimti vartotojų slaptažodžių išsaugojimą ir jų panaudojimą kitu metu norint pasiekti piliečių el. pašto paskyras. Be stebėjimo, vyriausybės galėtų modifikuoti turinį tiesiogiai. Pavyzdžiui, jos galėtų pašalinti naratyvus, kuriuos nori cenzūruoti. Jos galėtų pridėti erzinančių... auklių valstybės faktų patikrinimai bei turinio įspėjimai prieštaraujančių nuomonių.
Šiuo metu CA privalo išlaikyti naršyklių bendruomenės pasitikėjimą. Šiuo metu naršyklės įspėja vartotoją, jei svetainė pateikia pasibaigusio galiojimo arba kitaip nepatikimą sertifikatą. Pagal 45 straipsnį įspėjimai arba pasitikėjimo piktnaudžiautojų pašalinimas būtų draudžiamas. Naršyklės ne tik įpareigotos pasitikėti QWAC, bet ir 45 straipsnis draudžia naršyklėms rodyti įspėjimą, kad QWAC pasirašytas sertifikatas...
Paskutinė eIDAS galimybė (svetainė su „Mozilla“ logotipu) pasisako prieš 45 straipsnį:
Bet kuri ES valstybė narė turi teisę paskirti kriptografinius raktus platinimui interneto naršyklėse, o naršyklėms draudžiama atšaukti pasitikėjimą šiais raktais be vyriausybės leidimo.
...Nėra jokios nepriklausomos kontrolės ar pusiausvyros, kuria reglamentuojami valstybių narių sprendimai dėl jų autorizuojamų raktų ir jų naudojimo. Tai ypač nerimą kelia, atsižvelgiant į tai, kad teisinės valstybės principo laikymasis... nebuvo vienodas visose valstybėse narėse, su dokumentuotais atvejais slaptosios policijos prievarta politiniais tikslais.
Kare atvirą laišką, kurį pasirašė keli šimtai saugumo tyrėjų ir kompiuterių mokslininkų:
45 straipsnis taip pat draudžia ES žiniatinklio sertifikatų saugumo patikrinimus, nebent tai būtų aiškiai leidžiama reglamentu, kai užmezgami užšifruoti žiniatinklio srauto ryšiai. Užuot nurodęs minimalių saugumo priemonių rinkinį, kuris turi būti taikomas kaip bazinis lygis, jis iš esmės nurodo viršutinę saugumo priemonių ribą, kurios negalima tobulinti be ETSI leidimo. Tai prieštarauja nusistovėjusioms pasaulinėms normoms, kai naujos kibernetinio saugumo technologijos kuriamos ir diegiamos reaguojant į sparčiai besivystančias technologijas.
Dauguma mūsų pasikliaujame savo tiekėjais, kad šie sudarytų patikimų CA sąrašą. Tačiau, kaip vartotojas, galite pridėti arba pašalinti sertifikatus savo įrenginiuose. „Microsoft Windows“ turi įrankis tam atlikti„Linux“ sistemoje šakniniai sertifikatai yra failai, esantys viename kataloge. CA galima pripažinti nepatikimu tiesiog ištrynus failą. Ar tai taip pat bus draudžiama? Steve'as Gibsonas, žinomas saugumo ekspertas, feljetonistas, ir šeimininkas Ilgai transliuojama tinklalaidė „Security Now“ klausia:
Tačiau ES teigia, kad naršyklės privalės be išimčių ir be jokių ieškinio reikalavimų gerbti šias naujas, nepatikrintas ir neišbandytas sertifikatų institucijas ir visus jų išduotus sertifikatus. Ar tai reiškia, kad mano „Firefox“ naršyklė bus teisiškai įpareigota atsisakyti mano bandymo pašalinti šiuos sertifikatus?
Gibsonas pažymi, kad kai kurios korporacijos įgyvendina panašų savo darbuotojų stebėjimą savo privačiame tinkle. Kad ir kokia būtų jūsų nuomonė apie šias darbo sąlygas, kai kurios pramonės šakos turi pagrįstų audito ir atitikties priežasčių sekti ir registruoti, ką jų darbuotojai daro su įmonės ištekliais. Tačiau, kaip teigia Gibsonas, toliau,
Bėda ta, kad ES ir jos valstybės narės labai skiriasi nuo privačios organizacijos darbuotojų. Bet kuriuo metu darbuotojas, nenorintis būti šnipinėjamas, gali naudoti savo išmanųjį telefoną, kad apeitų darbdavio tinklą. Ir, žinoma, darbdavio privatus tinklas yra būtent tai – privatus tinklas. ES nori tai padaryti visame viešajame internete, nuo kurio nebūtų jokios pabėgimo galimybės.
Dabar, kai nustatėme šio pasiūlymo radikalų pobūdį, laikas paklausti, kokias priežastis EK pateikia šiam pakeitimui pagrįsti? EK teigia, kad tapatybės patvirtinimas naudojant PKI nėra pakankamas. Ir kad šie pakeitimai reikalingi jam patobulinti.
Ar EK teiginiai yra tiesos? Dabartinė PKI daugeliu atvejų reikalauja tik įrodyti svetainės kontrolę. Nors tai yra kažkas, tai negarantuoja, pavyzdžiui, kad žiniatinklio nuosavybė „apple.com“ priklauso plataus vartojimo elektronikos bendrovei „Apple Inc.“, kurios būstinė yra Kupertine, Kalifornijoje. Kenkėjiškas vartotojas gali gauti galiojantį sertifikatą domenui, kurio pavadinimas panašus į gerai žinomos įmonės. Galiojantis sertifikatas galėtų būti panaudotas atakoje, kuri priklausytų nuo to, kad kai kurie vartotojai nepakankamai atidžiai ieškojo, kad pastebėtų, jog pavadinimas ne visai sutampa. Taip nutiko... Mokėjimų apdorojimo įmonė „Stripe“.
Leidėjams, norintiems įrodyti pasauliui, kad jie iš tikrųjų yra tas pats juridinis asmuo, kai kurios CA siūlo Išplėstinio patvirtinimo (EV) sertifikatai„Išplėstinę“ dalį sudaro papildomi pačios įmonės patvirtinimai, pvz., įmonės adresas, veikiantis telefono numeris, verslo licencija arba steigimo dokumentas ir kiti atributai, būdingi veikiančiai įmonei. Elektromobiliai parduodami už didesnę kainą, nes jiems reikia daugiau CA darbo.
Naršyklės anksčiau rodydavo paryškintą vaizdinį grįžtamąjį ryšį apie elektromobilius, pavyzdžiui, kitą spalvą ar ryškesnę spynos piktogramą. Pastaraisiais metais elektromobiliai rinkoje nebuvo itin populiarūs. Jie beveik išnyko. Daugelyje naršyklių neberodomas skirtingas grįžtamasis ryšys.
Nepaisant vis dar egzistuojančių trūkumų, PKI laikui bėgant gerokai patobulėjo. Suvokus trūkumus, jie buvo pašalinti. Sustiprinti kriptografiniai algoritmai, pagerintas valdymas ir užblokuoti pažeidžiamumai. Pramonės dalyvių bendru sutarimu pagrįstas valdymas veikė gana gerai. Sistema ir toliau vystysis tiek technologiškai, tiek instituciškai. Išskyrus reguliuotojų kišimąsi, nėra jokios priežasties tikėtis kitaip.
Iš blankios elektromobilių istorijos supratome, kad rinkai ne taip rūpi įmonės tapatybės patvirtinimas. Tačiau jei interneto vartotojai to norėtų, nereikėtų nutraukti esamos PKI, kad jiems tai būtų suteikta. Pakaktų nedidelių esamų darbo eigų pakeitimų. Kai kurie komentatoriai siūlė modifikuoti... TLS rankos paspaudimas; svetainėje būtų pateiktas vienas papildomas sertifikatas. Pagrindinis sertifikatas veiktų kaip ir dabar. Antrinis sertifikatas, pasirašytas QWAC, įgyvendintų papildomus tapatybės standartus, kurių, anot EK, nori.
Tariamos EK priežastys dėl eIDAS yra tiesiog neįtikinamos. Pateiktos priežastys ne tik neįtikinamos, bet ir EK net nesivargina įprasto veidmainiško dejavimo apie tai, kaip turime aukoti svarbias laisves vardan saugumo, nes susiduriame su rimta [pasirinkite vieną] prekybos žmonėmis, vaikų saugumo, pinigų plovimo, mokesčių vengimo grėsme arba (mano asmeninis favoritas)... klimato kaitaNeįmanoma paneigti, kad ES mus apgaudinėja.
Jei EK nėra sąžininga dėl savo tikrųjų motyvų, tai ko jie siekia? Gibsonas mato. piktavališkas ketinimas:
Ir yra tik viena galima priežastis, kodėl jie nori [priversti naršykles pasitikėti QWAC] – leisti perimti interneto srautą tiesioginio perdavimo metu, lygiai taip pat, kaip tai daroma korporacijose. Ir tai yra pripažinta.
(Gibsonas „interneto srauto perėmimu“ turi omenyje aukščiau aprašytą MITM ataką.) Kituose komentaruose pabrėžiamos grėsmingos pasekmės žodžio laisvei ir politiniams protestams. ilgoje esė formoje pateikia slidžios nuokalnės argumentą:
Kai liberali demokratija nustato tokio pobūdžio technologijų kontrolę internete, nepaisant jos pasekmių, ji sudaro sąlygas autoritariškesnėms vyriausybėms nebaudžiamai pasekti jos pavyzdžiu.
"Mozilla cituojamas „techdirt“ (be nuorodos į originalą) sako daugmaž tą patį:
„Priversti naršykles automatiškai pasitikėti vyriausybės remiamomis sertifikatų išdavimo tarnybomis yra pagrindinė autoritarinių režimų naudojama taktika, ir šiuos veikėjus dar labiau padrąsintų ES veiksmų įteisinimas...“
Gibsonas gamina panašų stebėjimas:
Ir tada kyla labai reali grėsmė, kokias kitas duris tai atveria: jei ES parodys likusiam pasauliui, kad gali sėkmingai diktuoti pasitikėjimo sąlygas nepriklausomoms interneto naršyklėms, kurias naudoja jos piliečiai, kokios kitos šalys paseks jos pavyzdžiu ir sudarys panašius įstatymus? Dabar kiekvienas gali tiesiog reikalauti, kad būtų pridėti savo šalies sertifikatai. Tai veda mus visiškai netinkama linkme.
Šis siūlomas 45 straipsnis yra išpuolis prieš vartotojų privatumą ES šalyse. Jei jis būtų priimtas, tai būtų didžiulis smūgis ne tik interneto saugumui, bet ir išsivysčiusiai valdymo sistemai. Pritariu Steve'ui Gibsonui, kad:
Visiškai neaišku ir niekur su tuo nesusidūriau, tai paaiškinimas, kokiais įgaliojimais ES įsivaizduoja galinti diktuoti kitų organizacijų programinės įrangos dizainą. Nes būtent tuo ir grindžiama visa esmė.
Į siūlomą 45 straipsnį reakcija buvo labai neigiama. EŽF 45 straipsnis 12 metų sumažins interneto saugumą rašo: „Tai katastrofa visų internetu besinaudojančių asmenų privatumui, o ypač tų, kurie internetu naudojasi ES.“
eIDAS pastangos saugumo bendruomenei yra keturių pavojaus signalų gaisras. „Mozilla“ – atvirojo kodo „Firefox“ žiniatinklio naršyklės kūrėja – paskelbė... Pramonės bendras pareiškimas prieštarauja tam. Pareiškimą pasirašė daugybė žvaigždžių interneto infrastruktūros bendrovių, įskaitant pačią „Mozilla“, „Cloudflare“, „Fastly“ ir „Linux Foundation“.
Iš Atviras laiškas aukščiau paminėta:
Perskaitę beveik galutinį tekstą, esame labai susirūpinę dėl siūlomo 45 straipsnio teksto. Dabartinis pasiūlymas radikaliai išplečia vyriausybių galimybes stebėti tiek savo piliečius, tiek gyventojus visoje ES, suteikiant joms technines priemones perimti užšifruotą interneto srautą, taip pat kenkiant esamiems priežiūros mechanizmams, kuriais pasitiki Europos piliečiai.
Kur tai veda? Šis reglamentas siūlomas jau kurį laiką. Galutinis sprendimas buvo numatytas 2023 m. lapkritį. Nuo to laiko internete atliktos paieškos nerodo jokios naujos informacijos šia tema.
Per pastaruosius kelerius metus visokiausia cenzūra sustiprėjo. Covid beprotybės metu vyriausybė ir pramonė bendradarbiavo kurdamos... cenzūros-pramoninis kompleksas efektyviau skleisti melagingus naratyvus ir slopinti disidentus. Per pastaruosius kelerius metus skeptikai ir nepriklausomi balsai priešinosi, teismuoseir kurdami požiūrio neutralus platformos.
Nors kalbos cenzūra ir toliau kelia didelį pavojų, rašytojų ir žurnalistų teisės yra geriau apsaugotos nei daugelis kitų teisių. JAV... Pirmas pakeitimas turi aiškią žodžio apsaugą ir laisvę kritikuoti vyriausybę. Teismai gali manyti, kad bet kokios teisės ar laisvės, kurių neapsaugo labai konkreti įstatymų kalba, yra sąžiningas žaidimas. Tai gali būti priežastis, kodėl pasipriešinimas buvo sėkmingesnis kalbos srityje nei kitos pastangos sustabdyti kitokį piktnaudžiavimą valdžia, pvz. karantinai ir gyventojų uždarymas.
Užuot buvusios gerai apgintos priešininkės, vyriausybės savo atakas perkelia į kitus interneto infrastruktūros lygmenis. Šios paslaugos, tokios kaip domenų registracija, DNS, sertifikatai, mokėjimų apdorojimo sistemos, priegloba ir programėlių parduotuvės, daugiausia susideda iš privačių prekyviečių sandorių. Šios paslaugos yra daug mažiau apsaugotos nei kalbos laisvė, nes dažniausiai niekas neturi teisės pirkti konkrečios paslaugos iš konkretaus verslo. O labiau techninės paslaugos, tokios kaip DNS ir PKI, visuomenei yra mažiau suprantamos nei internetinių leidinių kūrimas.
PKI sistema yra ypač pažeidžiama atakų, nes ji veikia reputacijos ir sutarimo pagrindu. Nėra vienos institucijos, kuri valdytų visą sistemą. Dalyviai turi užsitarnauti reputaciją skaidrumu, atitikimu reikalavimams ir sąžiningu gedimų pranešimu. O tai daro ją pažeidžiamą tokio tipo trikdančioms atakoms. Jei ES PKI pateks į reguliuotojų rankas, manau, kad kitos šalys paseks jų pavyzdžiu. PKI ne tik yra pavojuje. Kai bus įrodyta, kad reguliuotojai gali atakuoti ir kitus sistemos sluoksnius, jie taip pat taps taikiniu.
-
Robertas Blumenas yra programinės įrangos inžinierius ir tinklalaidžių vedėjas, retkarčiais rašantis politinėmis ir ekonominėmis temomis.
Žiūrėti visus pranešimus
