ΚΟΙΝΟΠΟΙΗΣΗ | ΕΚΤΥΠΩΣΗ | ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
The Ευρωπαϊκή Επιτροπή είναι ένα νομοθετικό όργανο της ΕΕ με ρυθμιστική εξουσία επί της ψηφιακής τεχνολογίας. Το Άρθρο 45 του eIDAS της Επιτροπής, ένας προτεινόμενος κανονισμός, θα αποδυνάμωνε σκόπιμα τομείς της ασφάλειας στο διαδίκτυο τους οποίους ο κλάδος έχει αναπτύξει και βελτιώσει προσεκτικά για πάνω από 25 χρόνια. Το Άρθρο θα χορηγούσε ουσιαστικά στις 27 κυβερνήσεις της ΕΕ εκτεταμένες εξουσίες επιτήρησης της χρήσης του διαδικτύου.
Ο κανόνας θα απαιτούσε από όλα τα προγράμματα περιήγησης στο διαδίκτυο να εμπιστεύονται ένα επιπλέον πιστοποιητικό ρίζας από έναν οργανισμό (ή μια ρυθμιζόμενη οντότητα) από κάθε μία από τις εθνικές κυβερνήσεις κάθε κράτους μέλους της ΕΕ. Για τους μη τεχνικούς αναγνώστες, θα εξηγήσω τι είναι ένα πιστοποιητικό ρίζας, πώς έχει εξελιχθεί η εμπιστοσύνη στο διαδίκτυο και τι κάνει το Άρθρο 45 σε αυτό. Και στη συνέχεια θα επισημάνω ορισμένα από τα σχόλια της τεχνολογικής κοινότητας σχετικά με αυτό το θέμα.
Η επόμενη ενότητα αυτού του άρθρου θα εξηγήσει πώς λειτουργεί η υποδομή εμπιστοσύνης του διαδικτύου. Αυτό το υπόβαθρο είναι απαραίτητο για να κατανοήσουμε πόσο ριζοσπαστικό είναι το προτεινόμενο Άρθρο. Η εξήγηση προορίζεται να είναι προσβάσιμη σε έναν μη τεχνικό αναγνώστη.
Ο εν λόγω κανονισμός αφορά την ασφάλεια στο διαδίκτυο. Εδώ, με τον όρο «διαδίκτυο» νοούνται, σε μεγάλο βαθμό, τα προγράμματα περιήγησης που επισκέπτονται ιστότοπους. Η ασφάλεια στο διαδίκτυο αποτελείται από πολλές διακριτές πτυχές. Το άρθρο 45 αποσκοπεί στην τροποποίηση υποδομή δημόσιου κλειδιού (PKI), ένα μέρος της ασφάλειας στο διαδίκτυο από τα μέσα της δεκαετίας του '90. Το PKI έχει αρχικά υιοθετηθεί και στη συνέχεια βελτιωθεί σε μια περίοδο 25 ετών, για να παρέχει στους χρήστες και τους εκδότες τις ακόλουθες διαβεβαιώσεις:
- Απόρρητο της συνομιλίας μεταξύ του προγράμματος περιήγησης και του ιστότοπουΤα προγράμματα περιήγησης και οι ιστότοποι συνομιλούν μέσω του διαδικτύου, ενός δικτύου δικτύων που λειτουργούν από Πάροχοι υπηρεσιών Διαδικτύου, να Μεταφορείς Tier 1? Ή κινητοί φορείς εάν η συσκευή είναι κινητή. Το ίδιο το δίκτυο δεν είναι εγγενώς ασφαλές ούτε αξιόπιστο. Το πάροχος υπηρεσιών Διαδικτύου (ISP) με αδιάκριτο σπίτι, ένας ταξιδιώτης στην αίθουσα αναμονής του αεροδρομίου πού περιμένετε την πτήση σας, ή ένας προμηθευτής δεδομένων που θέλει να πουλήσει υποψήφιους πελάτες σε διαφημιζόμενους μπορεί να θέλουν να σας κατασκοπεύσουν. Χωρίς καμία προστασία, ένας κακόβουλος χρήστης θα μπορούσε να δει εμπιστευτικά δεδομένα, όπως έναν κωδικό πρόσβασης, το υπόλοιπο της πιστωτικής κάρτας ή πληροφορίες υγείας.
- Εγγυηθείτε ότι βλέπετε τη σελίδα ακριβώς όπως σας την έστειλε ο ιστότοποςΌταν προβάλλετε μια ιστοσελίδα, μήπως έχει παραβιαστεί από τον εκδότη και το πρόγραμμα περιήγησής σας; Ένας λογοκριτής μπορεί να θέλει να αφαιρέσει περιεχόμενο που δεν θέλει να δείτε. Το περιεχόμενο που χαρακτηρίστηκε ως «παραπληροφόρηση» καταστάλθηκε ευρέως κατά τη διάρκεια της υστερίας της covid. Ένας χάκερ που είχε κλέψει την πιστωτική σας κάρτα μπορεί να θέλει να αφαιρέσει αποδεικτικά στοιχεία για τις δόλιες χρεώσεις του.
- Βεβαιωθείτε ότι ο ιστότοπος που βλέπετε είναι όντως αυτός στη γραμμή τοποθεσίας του προγράμματος περιήγησηςΌταν συνδέεστε με μια τράπεζα, πώς ξέρετε ότι βλέπετε τον ιστότοπο αυτής της τράπεζας και όχι μια ψεύτικη έκδοση που μοιάζει πανομοιότυπη; Ελέγχετε τη γραμμή τοποθεσίας στο πρόγραμμα περιήγησής σας. Μήπως το πρόγραμμα περιήγησής σας εξαπατηθεί ώστε να σας εμφανίσει έναν ψεύτικο ιστότοπο που φαίνεται πανομοιότυπος με τον πραγματικό; Πώς γνωρίζει το πρόγραμμα περιήγησής σας – με βεβαιότητα – ότι είναι συνδεδεμένο με τον σωστό ιστότοπο;
Στις πρώτες μέρες του διαδικτύου, καμία από αυτές τις διαβεβαιώσεις δεν υπήρχε. Το 2010, ένα πρόσθετο προγράμματος περιήγησης διαθέσιμο στο κατάστημα πρόσθετων επέτρεπε στον χρήστη να συμμετέχει στην ομαδική συνομιλία κάποιου άλλου στο Facebook σε ένα hotspot καφέ. Τώρα – χάρη στο PKI, μπορείτε να είστε αρκετά σίγουροι για αυτά τα πράγματα.
Αυτά τα χαρακτηριστικά ασφαλείας προστατεύονται με ένα σύστημα που βασίζεται σε ψηφιακών πιστοποιητικώνΤα ψηφιακά πιστοποιητικά είναι μια μορφή ταυτότητας – η διαδικτυακή έκδοση μιας άδειας οδήγησης. Όταν ένα πρόγραμμα περιήγησης συνδέεται σε έναν ιστότοπο, ο ιστότοπος παρουσιάζει ένα πιστοποιητικό στο πρόγραμμα περιήγησης. Το πιστοποιητικό περιέχει ένα κρυπτογραφικό κλειδί. Το πρόγραμμα περιήγησης και ο ιστότοπος συνεργάζονται με μια σειρά κρυπτογραφικών υπολογισμών για να ρυθμίσουν την ασφαλή επικοινωνία.
Μαζί, το πρόγραμμα περιήγησης και ο ιστότοπος παρέχουν τις τρεις εγγυήσεις ασφαλείας:
- μυστικότητα: κρυπτογραφώντας τη συνομιλία.
- κρυπτογραφικές ψηφιακές υπογραφές: για να εξασφαλιστεί ότι το περιεχόμενο δεν τροποποιείται κατά την πτήση.
- επαλήθευση του εκδότη: μέσω της αλυσίδας εμπιστοσύνης που παρέχεται από το PKI, την οποία θα εξηγήσω λεπτομερέστερα παρακάτω.
Μια καλή ταυτότητα θα έπρεπε να είναι δύσκολο να παραποιηθεί. Στον αρχαίο κόσμο, ένα χυτό κερί μιας σφραγίδας εξυπηρετούσε αυτόν τον σκοπό. Οι ταυτότητες των ανθρώπων βασίζονταν στη βιομετρία. Το πρόσωπό σας είναι μια από τις παλαιότερες μορφές. Στον μη ψηφιακό κόσμο, όταν χρειάζεται να αποκτήσετε πρόσβαση σε μια ρύθμιση με περιορισμό ηλικίας, όπως η παραγγελία ενός αλκοολούχου ποτού, θα σας ζητηθεί μια ταυτότητα με φωτογραφία.
Ένα άλλο βιομετρικό στοιχείο πριν από την ψηφιακή εποχή ήταν η αντιστοίχιση της νέας σας υπογραφής με στυλό και μελάνι με την αρχική σας υπογραφή στο πίσω μέρος της ταυτότητάς σας. Καθώς αυτοί οι παλαιότεροι τύποι βιομετρικών στοιχείων γίνονται πιο εύκολο να πλαστογραφηθούν, η επαλήθευση της ανθρώπινης ταυτότητας έχει προσαρμοστεί. Τώρα, είναι σύνηθες για μια τράπεζα να σας στέλνει έναν κωδικό επικύρωσης στο κινητό σας. Η εφαρμογή απαιτεί να περάσετε έναν βιομετρικό έλεγχο ταυτότητας στο κινητό σας τηλέφωνο για να δείτε τον κωδικό, όπως η αναγνώριση προσώπου ή το δακτυλικό σας αποτύπωμα.
Εκτός από τα βιομετρικά στοιχεία, ο δεύτερος παράγοντας που καθιστά μια ταυτότητα αξιόπιστη είναι ο εκδότης. Οι ταυτότητες που είναι ευρέως αποδεκτές εξαρτώνται από την ικανότητα του εκδότη να επαληθεύσει ότι το άτομο που υποβάλλει αίτηση για ταυτότητα είναι αυτό που ισχυρίζεται ότι είναι. Οι περισσότερες από τις πιο ευρέως αποδεκτές μορφές ταυτότητας εκδίδονται από κυβερνητικές υπηρεσίες, όπως το Υπουργείο Μηχανοκίνητων Οχημάτων. Εάν η εκδίδουσα υπηρεσία διαθέτει αξιόπιστα μέσα για να παρακολουθεί ποιοι και πού βρίσκονται τα υποκείμενά της, όπως πληρωμές φόρων, αρχεία απασχόλησης ή χρήση υπηρεσιών ύδρευσης, τότε υπάρχει μεγάλη πιθανότητα η υπηρεσία να μπορεί να επαληθεύσει ότι το άτομο που αναφέρεται στην ταυτότητα είναι αυτό το άτομο.
Στον διαδικτυακό κόσμο, οι κυβερνήσεις, ως επί το πλείστον, δεν έχουν εμπλακεί στην επαλήθευση ταυτότητας. Τα πιστοποιητικά εκδίδονται από εταιρείες του ιδιωτικού τομέα, γνωστές ως αρχές έκδοσης πιστοποιητικών (CAs). Ενώ τα πιστοποιητικά ήταν αρκετά ακριβά στο παρελθόν, τα τέλη έχουν μειωθεί σημαντικά σε σημείο που μερικά είναι δωρεάνΟι πιο γνωστές Αρχές Πιστοποίησης (CA) είναι οι Verisign, DigiCert και GoDaddy. Παραστάσεις του Ράιαν Χερστ Οι επτά μεγάλες Αρχές Πιστοποίησης (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft και IdenTrust) εκδίδουν το 99% όλων των πιστοποιητικών.
Το πρόγραμμα περιήγησης θα αποδεχτεί ένα πιστοποιητικό ως απόδειξη ταυτότητας μόνο εάν το πεδίο ονόματος στο πιστοποιητικό ταιριάζει με το όνομα τομέα, το οποίο εμφανίζεται στο πρόγραμμα περιήγησης στη γραμμή τοποθεσίας. Ακόμα κι αν τα ονόματα ταιριάζουν, αποδεικνύει αυτό ότι ένα πιστοποιητικό που λέει "apple.com«ανήκει στην εταιρεία ηλεκτρονικών ειδών ευρείας κατανάλωσης γνωστή ως Apple, Inc.; Όχι. Τα συστήματα ταυτοποίησης δεν είναι αλεξίσφαιρα. Ανήλικοι πότες μπορούν να αποκτήσουν πλαστές ταυτότητεςΌπως και τα ανθρώπινα αναγνωριστικά, τα ψηφιακά πιστοποιητικά μπορούν επίσης να είναι πλαστά ή άκυρα για άλλους λόγους. Ένας μηχανικός λογισμικού που χρησιμοποιεί δωρεάν εργαλεία ανοιχτού κώδικα μπορεί να δημιουργήσει ένα ψηφιακό πιστοποιητικό με το όνομα "apple.com" με μερικές εντολές Linux.
Το σύστημα PKI βασίζεται στις αρχές έκδοσης πιστοποιητικών (CA) για την έκδοση οποιουδήποτε πιστοποιητικού μόνο στον κάτοχο του ιστότοπου. Η ροή εργασίας για την απόκτηση ενός πιστοποιητικού έχει ως εξής:
- Ο εκδότης ενός ιστότοπου υποβάλλει αίτηση στην προτιμώμενη αρχή έκδοσης πιστοποιητικών (CA) για ένα πιστοποιητικό, για έναν τομέα.
- Η Αρχή Πιστοποίησης (CA) επαληθεύει ότι το αίτημα πιστοποιητικού προέρχεται από τον πραγματικό κάτοχο αυτού του ιστότοπου. Πώς το διαπιστώνει αυτό η Αρχή Πιστοποίησης; Η Αρχή Πιστοποίησης απαιτεί από την οντότητα που υποβάλλει το αίτημα να δημοσιεύσει ένα συγκεκριμένο τμήμα περιεχομένου σε μια συγκεκριμένη διεύθυνση URL. Η δυνατότητα αυτή αποδεικνύει ότι η οντότητα έχει τον έλεγχο του ιστότοπου.
- Μόλις ο ιστότοπος αποδείξει την κυριότητα του τομέα, η Αρχή Πιστοποίησης προσθέτει ένα κρυπτογραφική ψηφιακή υπογραφή στο πιστοποιητικό χρησιμοποιώντας το δικό του ιδιωτικό κρυπτογραφικό κλειδί. Η υπογραφή προσδιορίζει την CA ως τον εκδότη.
- Το υπογεγραμμένο πιστοποιητικό διαβιβάζεται στο άτομο ή την οντότητα που υποβάλλει το αίτημα.
- Ο εκδότης εγκαθιστά το πιστοποιητικό του στον ιστότοπό του, ώστε να μπορεί να παρουσιαστεί στα προγράμματα περιήγησης.
Κρυπτογραφικές ψηφιακές υπογραφές είναι «ένα μαθηματικό σχήμα για την επαλήθευση της αυθεντικότητας ψηφιακών μηνυμάτων ή εγγράφων». Δεν είναι το ίδιο με την ηλεκτρονική υπογραφή εγγράφων που παρέχεται από την DocuSign και παρόμοιους προμηθευτές. Εάν η υπογραφή μπορούσε να πλαστογραφηθεί, τότε τα πιστοποιητικά δεν θα ήταν αξιόπιστα. Με την πάροδο του χρόνου, το μέγεθος των κρυπτογραφικών κλειδιών έχει αυξηθεί με στόχο να καταστεί η πλαστογράφηση πιο δύσκολη. Οι ερευνητές κρυπτογραφίας πιστεύουν ότι οι τρέχουσες υπογραφές, στην πράξη, είναι αδύνατο να πλαστογραφηθούν. Μια άλλη ευπάθεια είναι όταν κλέβονται τα μυστικά κλειδιά της CA. Ο κλέφτης θα μπορούσε στη συνέχεια να παράγει έγκυρες υπογραφές αυτής της CA.
Μόλις εγκατασταθεί το πιστοποιητικό, τότε χρησιμοποιείται κατά τη ρύθμιση μιας διαδικτυακής συνομιλίας. The Εγγραφη εξηγεί πώς πάει αυτό:
Εάν το πιστοποιητικό εκδόθηκε από μια γνωστή και έγκυρη αρχή έκδοσης πιστοποιητικών (CA) και όλα τα στοιχεία είναι σωστά, τότε ο ιστότοπος είναι αξιόπιστος και το πρόγραμμα περιήγησης θα προσπαθήσει να δημιουργήσει μια ασφαλή, κρυπτογραφημένη σύνδεση με τον ιστότοπο, έτσι ώστε η δραστηριότητά σας στον ιστότοπο να μην είναι ορατή σε κάποιον ωτακουστή στο δίκτυο. Εάν το πιστοποιητικό εκδόθηκε από μια μη αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA) ή το πιστοποιητικό δεν ταιριάζει με τη διεύθυνση του ιστότοπου ή ορισμένα στοιχεία είναι λανθασμένα, το πρόγραμμα περιήγησης θα απορρίψει τον ιστότοπο επειδή ανησυχεί ότι δεν συνδέεται με τον πραγματικό ιστότοπο που θέλει ο χρήστης και ενδέχεται να επικοινωνεί με κάποιον που κάνει απομίμηση.
Μπορούμε να εμπιστευτούμε το πρόγραμμα περιήγησης επειδή εμπιστεύεται τον ιστότοπο. Το πρόγραμμα περιήγησης εμπιστεύεται τον ιστότοπο επειδή το πιστοποιητικό εκδόθηκε από μια «γνωστά καλή» αρχή έκδοσης πιστοποιητικών (CA). Αλλά τι είναι μια «γνωστά καλή αρχή έκδοσης πιστοποιητικών»; Τα περισσότερα προγράμματα περιήγησης βασίζονται στις CA που παρέχονται από το λειτουργικό σύστημα. Η λίστα των αξιόπιστων CA καθορίζεται από τους προμηθευτές συσκευών και λογισμικού. Οι κύριοι προμηθευτές υπολογιστών και συσκευών - η Microsoft, η Apple, οι κατασκευαστές τηλεφώνων Android και οι διανομείς Linux ανοιχτού κώδικα - προφορτώνουν το λειτουργικό σύστημα στις συσκευές τους με ένα σύνολο πιστοποιητικών root.
Αυτά τα πιστοποιητικά προσδιορίζουν τις Αρχές Πιστοποίησης (CA) που έχουν ελέγξει και θεωρούν αξιόπιστες. Αυτή η συλλογή πιστοποιητικών ρίζας ονομάζεται «αποθήκη εμπιστοσύνης». Για να πάρουμε ένα παράδειγμα που μου ταιριάζει, ο υπολογιστής με Windows που χρησιμοποιώ για να γράψω αυτό το άρθρο έχει 70 πιστοποιητικά ρίζας στο Αποθηκευτικό Χώρο Πιστοποιητικών Ρίζας. Ιστότοπος υποστήριξης της Apple παραθέτει όλες τις ρίζες που εμπιστεύεται η έκδοση Sierra του MacOS.
Πώς αποφασίζουν οι προμηθευτές υπολογιστών και τηλεφώνων ποιες Αρχές Πιστοποίησης (CA) είναι αξιόπιστες; Έχουν προγράμματα ελέγχου και συμμόρφωσης για την αξιολόγηση της ποιότητας των Αρχών Πιστοποίησης (CA). Συμπεριλαμβάνονται μόνο αυτές που περνούν τις εξετάσεις. Δείτε για παράδειγμα, το πρόγραμμα περιήγησης Chrome (το οποίο παρέχει το δικό του χώρο αποθήκευσης εμπιστοσύνης αντί να χρησιμοποιεί αυτόν που υπάρχει στη συσκευή). Το EFF (η οποία αυτοαποκαλείται «ο κορυφαίος μη κερδοσκοπικός οργανισμός που υπερασπίζεται τις πολιτικές ελευθερίες στον ψηφιακό κόσμο») εξηγεί:
Τα προγράμματα περιήγησης χρησιμοποιούν «προγράμματα root» για να παρακολουθούν την ασφάλεια και την αξιοπιστία των αρχών έκδοσης πιστοποιητικών (CA) που εμπιστεύονται. Αυτά τα προγράμματα root επιβάλλουν μια σειρά από απαιτήσεις που ποικίλλουν από το «πώς πρέπει να ασφαλίζεται το υλικό κλειδιών» έως το «πώς πρέπει να εκτελείται η επικύρωση του ελέγχου ονόματος τομέα» και το «ποιοι αλγόριθμοι πρέπει να χρησιμοποιούνται για την υπογραφή πιστοποιητικών».
Αφού μια Αρχή Πιστοποίησης (CA) γίνει δεκτή από έναν προμηθευτή, ο προμηθευτής συνεχίζει να την παρακολουθεί. Οι προμηθευτές θα αφαιρέσουν τις Αρχές Πιστοποίησης (CA) από το χώρο αποθήκευσης εμπιστοσύνης σε περίπτωση που η Αρχή Πιστοποίησης (CA) δεν τηρεί τα απαραίτητα πρότυπα ασφαλείας. Οι αρχές έκδοσης πιστοποιητικών μπορούν, και πράγματι, να αποτύχουν ή να αποτύχουν για άλλους λόγους. The Εγγραφη εκθέσεις:
Τα πιστοποιητικά και οι CA που τα εκδίδουν δεν είναι πάντα αξιόπιστα και οι κατασκευαστές προγραμμάτων περιήγησης με την πάροδο των ετών έχουν αφαιρέσει τα πιστοποιητικά ρίζας CA από CA με έδρα την Τουρκία, τη Γαλλία, την Κίνα, το Καζακστάν και αλλού, όταν διαπιστώθηκε ότι η οντότητα έκδοσης ή ένα συνδεδεμένο μέρος παρεμπόδιζε την διαδικτυακή κίνηση.
Το 2022, ο ερευνητής Ian Carroll ανέφερε Ανησυχίες ασφαλείας με την αρχή έκδοσης πιστοποιητικών e-TugraΟ Carroll «εντόπισε μια σειρά από ανησυχητικά ζητήματα που με ανησυχούν όσον αφορά τις πρακτικές ασφαλείας εντός της εταιρείας τους», όπως αδύναμα διαπιστευτήρια. Οι αναφορές του Carroll επαληθεύτηκαν από τους μεγάλους προμηθευτές λογισμικού. Ως αποτέλεσμα, το e-Tugra ήταν αφαιρέθηκαν από τα αξιόπιστα αποθετήρια πιστοποιητικών τους.
The Χρονολόγιο αποτυχιών αρχής έκδοσης πιστοποιητικών αναφέρει και άλλα τέτοια περιστατικά.
Εξακολουθούν να υπάρχουν ορισμένα γνωστά κενά στο PKI, όπως αυτό υπάρχει αυτήν τη στιγμή. Επειδή ένα συγκεκριμένο ζήτημα είναι σημαντικό για την κατανόηση του Άρθρου 45 του eIDAS, θα το εξηγήσω στη συνέχεια. Η εμπιστοσύνη μιας CA δεν καλύπτει τους ιστότοπους που διεξάγουν τις δραστηριότητές τους με αυτήν την CA. Ένα πρόγραμμα περιήγησης θα δεχτεί ένα πιστοποιητικό από οποιαδήποτε αξιόπιστη CA για οποιονδήποτε ιστότοπο. Δεν υπάρχει τίποτα που να εμποδίζει την CA να εκδώσει έναν ιστότοπο σε έναν κακόβουλο παράγοντα που δεν ζητήθηκε από τον κάτοχο του ιστότοπου. Ένα τέτοιο πιστοποιητικό θα ήταν δόλιο από νομικής άποψης λόγω του σε ποιον εκδόθηκε. Αλλά το περιεχόμενο του πιστοποιητικού θα ήταν τεχνικά έγκυρο από την άποψη του προγράμματος περιήγησης.
Εάν υπήρχε τρόπος να συσχετιστεί κάθε ιστότοπος με την προτιμώμενη αρχή έκδοσης πιστοποιητικών (CA), τότε οποιοδήποτε πιστοποιητικό για αυτόν τον ιστότοπο από οποιαδήποτε άλλη αρχή έκδοσης πιστοποιητικών (CA) θα αναγνωρίζονταν αμέσως ως δόλιο. Καρφίτσωμα πιστοποιητικού είναι ένα άλλο πρότυπο που κάνει ένα βήμα προς αυτή την κατεύθυνση. Πώς όμως θα δημοσιευόταν αυτή η συσχέτιση και πώς θα ήταν αξιόπιστος αυτός ο εκδότης;
Σε κάθε επίπεδο αυτής της διαδικασίας, η τεχνική λύση βασίζεται σε μια εξωτερική πηγή εμπιστοσύνης. Πώς όμως εδραιώνεται αυτή η εμπιστοσύνη; Βασιζόμενοι σε μια ακόμη πιο αξιόπιστη πηγή στο αμέσως υψηλότερο επίπεδο; Αυτή η ερώτηση καταδεικνύει το «χελώνες, μέχρι κάτω«φύση του προβλήματος. Το PKI έχει πράγματι μια «χελώνα» στο κάτω μέρος: τη φήμη, την προβολή και τη διαφάνεια του κλάδου ασφάλειας και των πελατών του. Η εμπιστοσύνη χτίζεται σε αυτό το επίπεδο μέσω της συνεχούς παρακολούθησης, των ανοιχτών προτύπων, των προγραμματιστών λογισμικού και των αρχών πιστοποίησης.»
Έχουν εκδοθεί πλαστά πιστοποιητικά. Το 2013, ανέφερε η ArsTechnica Γαλλική εταιρεία συνελήφθη να δημιουργεί πιστοποιητικά SSL που παρίσταναν την Google:
Το 2011…ερευνητές ασφαλείας εντόπισα ένα πλαστό πιστοποιητικό για το Google.com που έδινε στους εισβολείς τη δυνατότητα να μιμηθούν την υπηρεσία αλληλογραφίας του ιστότοπου και άλλες προσφορές. Το πλαστό πιστοποιητικό δημιουργήθηκε αφού οι εισβολείς παραβίασαν την ασφάλεια της DigiNotar με έδρα την Ολλανδία και απέκτησαν τον έλεγχο των συστημάτων έκδοσης πιστοποιητικών της.
Τα διαπιστευτήρια του επιπέδου ασφαλών υποδοχών (SSL) υπογράφηκαν ψηφιακά από μια έγκυρη αρχή έκδοσης πιστοποιητικών... Στην πραγματικότητα, τα πιστοποιητικά ήταν μη εξουσιοδοτημένα αντίγραφα που εκδόθηκαν κατά παράβαση των κανόνων που έχουν θεσπιστεί από τους κατασκευαστές προγραμμάτων περιήγησης και τις υπηρεσίες αρχής έκδοσης πιστοποιητικών.
Μπορεί να συμβεί έκδοση δόλιων πιστοποιητικών. Μια αθέμιτη CA μπορεί να εκδώσει ένα, αλλά δεν θα φτάσει μακριά. Το ελαττωματικό πιστοποιητικό θα εντοπιστεί. Η ελαττωματική CA θα αποτύχει στα προγράμματα συμμόρφωσης και θα αφαιρεθεί από τα καταστήματα εμπιστοσύνης. Χωρίς αποδοχή, η CA θα χρεοκοπήσει. Διαφάνεια πιστοποιητικού, ένα πιο πρόσφατο πρότυπο, επιτρέπει την ταχύτερη ανίχνευση πλαστών πιστοποιητικών.
Γιατί μια CA να γίνει αθέμιτη; Ποιο πλεονέκτημα μπορεί να αποκομίσει ο κακόβουλος από ένα μη εξουσιοδοτημένο πιστοποιητικό; Με το πιστοποιητικό μόνο του, όχι πολλά, ακόμη και όταν υπογράφεται από μια αξιόπιστη CA. Αλλά αν ο κακόβουλος μπορεί να συνεργαστεί με έναν ISP ή να αποκτήσει πρόσβαση στο δίκτυο που χρησιμοποιεί το πρόγραμμα περιήγησης, το πιστοποιητικό δίνει στον κακόβουλο παράγοντα τη δυνατότητα να παραβιάσει όλες τις εγγυήσεις ασφαλείας του PKI.
Ο χάκερ θα μπορούσε να στήσει ένα επίθεση man-in-the-middle (MITM) στη συνομιλία. Ο εισβολέας θα μπορούσε να εισέλθει ανάμεσα στο πρόγραμμα περιήγησης και τον πραγματικό ιστότοπο. Σε αυτό το σενάριο, ο χρήστης θα μιλούσε απευθείας στον εισβολέα και ο εισβολέας θα αναμετέδιδε το περιεχόμενο στον πραγματικό ιστότοπο. Ο εισβολέας θα παρουσίαζε το ψευδές πιστοποιητικό στο πρόγραμμα περιήγησης. Επειδή ήταν υπογεγραμμένο από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών (CA), το πρόγραμμα περιήγησης θα το αποδεχόταν. Ο εισβολέας θα μπορούσε να δει και ακόμη και να τροποποιήσει αυτό που έστειλε το ένα μέρος πριν το λάβει το άλλο μέρος.
Τώρα φτάνουμε στο δυσοίωνο eIDAS της ΕΕ, το Άρθρο 45. Αυτός ο προτεινόμενος κανονισμός απαιτεί από όλα τα προγράμματα περιήγησης να εμπιστεύονται ένα καλάθι πιστοποιητικών από τις Αρχές Πιστοποίησης που έχουν οριστεί από την ΕΕ. Είκοσι επτά για την ακρίβεια: ένα για κάθε κράτος μέλος. Αυτά τα πιστοποιητικά θα ονομάζονται... Πιστοποιητικά Πιστοποίησης ΙστοτόπουΤο ακρωνύμιο «QWAC» έχει μια ατυχή ομόηχη χροιά για να αγυρτεία – ή μήπως η Ευρωπαϊκή Επιτροπή μας τρολάρει.
Τα QWAC θα εκδίδονταν είτε από κυβερνητικές υπηρεσίες είτε από αυτό που ο Michael Rectenwald αποκαλεί κυβερνητικές λειτουργίες: «εταιρείες και εταιρείες και άλλα παραρτήματα του κράτους που αλλιώς ονομάζονται «ιδιωτικά», αλλά στην πραγματικότητα λειτουργούν ως κρατικοί μηχανισμοί, με την έννοια ότι επιβάλλουν κρατικές αφηγήσεις και υπαγορεύσεις».
Αυτό το σχέδιο θα έφερνε τις κυβερνήσεις των μελών της ΕΕ ένα βήμα πιο κοντά στο σημείο όπου θα μπορούσαν να επιτεθούν μεσολαβητικά εναντίον των πολιτών τους. Θα έπρεπε επίσης να έχουν πρόσβαση στα δίκτυα. Οι κυβερνήσεις είναι σε θέση να το κάνουν αυτό. Εάν ο πάροχος υπηρεσιών Διαδικτύου λειτουργεί ως κρατική επιχείρηση, τότε θα τον έχουν ήδη. Εάν οι πάροχοι υπηρεσιών Διαδικτύου είναι ιδιωτικές εταιρείες, τότε οι τοπικές... αρχές θα μπορούσε να χρησιμοποιήσει αστυνομικές δυνάμεις για να αποκτήσει πρόσβαση.
Ένα σημείο που δεν έχει τονιστεί στη δημόσια συζήτηση είναι ότι ένα πρόγραμμα περιήγησης σε οποιοδήποτε από τα 27 κράτη μέλη της ΕΕ θα έπρεπε να αποδέχεται κάθε QWAC, ένα από κάθε... μέλος της Ε.ΕΑυτό σημαίνει ότι ένα πρόγραμμα περιήγησης, για παράδειγμα, στην Ισπανία, θα πρέπει να εμπιστεύεται ένα QWAC από οντότητες στην Κροατία, τη Φινλανδία και την Αυστρία. Ο Ισπανός χρήστης που επισκέπτεται έναν αυστριακό ιστότοπο θα πρέπει να διασχίσει αυστριακά τμήματα του διαδικτύου. Τα ζητήματα που αναφέρθηκαν παραπάνω θα ισχύουν σε όλες τις χώρες εντός της ΕΕ.
Το Μητρώο, σε ένα άρθρο με τίτλο Κακό eIDAS: Η Ευρώπη είναι έτοιμη να υποκλέψει και να κατασκοπεύσει τις κρυπτογραφημένες συνδέσεις HTTPS σας εξηγεί έναν τρόπο με τον οποίο αυτό θα μπορούσε να λειτουργήσει:
[Α]υτή η κυβέρνηση μπορεί να ζητήσει από την φιλική προς αυτήν Αρχή Πιστοποίησης ένα αντίγραφο του πιστοποιητικού [του QWAC], ώστε η κυβέρνηση να μπορεί να μιμηθεί τον ιστότοπο - ή να ζητήσει κάποια άλλα πιστοποιητικά που τα προγράμματα περιήγησης θα εμπιστευτούν και θα αποδεχτούν για τον ιστότοπο. Έτσι, χρησιμοποιώντας μια επίθεση man-in-the-middle, η κυβέρνηση αυτή μπορεί να υποκλέψει και να αποκρυπτογραφήσει την κρυπτογραφημένη κίνηση HTTPS μεταξύ του ιστότοπου και των χρηστών του, επιτρέποντας στο καθεστώς να παρακολουθεί ακριβώς τι κάνουν οι άνθρωποι με αυτόν τον ιστότοπο ανά πάσα στιγμή.
Έχοντας διαπεράσει την ασπίδα της κρυπτογράφησης, η παρακολούθηση θα μπορούσε να περιλαμβάνει την αποθήκευση των κωδικών πρόσβασης των χρηστών και στη συνέχεια τη χρήση τους σε άλλη χρονική στιγμή για την πρόσβαση στους λογαριασμούς email των πολιτών. Εκτός από την παρακολούθηση, οι κυβερνήσεις θα μπορούσαν να τροποποιήσουν το περιεχόμενο εντός της γραμμής. Για παράδειγμα, θα μπορούσαν να αφαιρέσουν τις αφηγήσεις που θέλουν να λογοκρίνουν. Θα μπορούσαν να επισυνάψουν ενοχλητικά... έλεγχοι γεγονότων για την πολιτεία των νταντάδων και προειδοποιήσεις περιεχομένου σε διαφωνίες.
Όπως έχουν τα πράγματα σήμερα, οι Αρχές Πιστοποίησης (CA) πρέπει να διατηρούν την εμπιστοσύνη της κοινότητας των προγραμμάτων περιήγησης. Τα προγράμματα περιήγησης προειδοποιούν τον χρήστη εάν ένας ιστότοπος παρουσιάσει ένα ληγμένο ή μη αξιόπιστο πιστοποιητικό. Σύμφωνα με το Άρθρο 45, οι προειδοποιήσεις ή η απόρριψη όσων καταχρώνται την εμπιστοσύνη θα απαγορεύονται. Όχι μόνο τα προγράμματα περιήγησης υποχρεούνται να εμπιστεύονται τα QWAC, αλλά το Άρθρο 45 απαγορεύει στα προγράμματα περιήγησης να εμφανίζουν προειδοποίηση ότι ένα πιστοποιητικό υπογεγραμμένο από ένα QWAC.
Τελευταία ευκαιρία για eIDAS (μια ιστοσελίδα που εμφανίζει το λογότυπο Mozilla) υποστηρίζει το Άρθρο 45:
Οποιοδήποτε κράτος μέλος της ΕΕ έχει τη δυνατότητα να ορίζει κρυπτογραφικά κλειδιά για διανομή σε προγράμματα περιήγησης ιστού και απαγορεύεται στα προγράμματα περιήγησης να ανακαλούν την εμπιστοσύνη σε αυτά τα κλειδιά χωρίς κυβερνητική άδεια.
...Δεν υπάρχει ανεξάρτητος έλεγχος ή εξισορρόπηση των αποφάσεων που λαμβάνουν τα κράτη μέλη όσον αφορά τα κλειδιά που εξουσιοδοτούν και τη χρήση τους. Αυτό είναι ιδιαίτερα ανησυχητικό δεδομένου ότι η τήρηση του κράτους δικαίου έχει δεν ήταν ομοιόμορφος σε όλα τα κράτη μέλη, με καταγεγραμμένα κρούσματα καταναγκασμός από μυστική αστυνομία για πολιτικούς σκοπούς.
Σε μία ανοιχτή επιστολή υπογεγραμμένη από αρκετές εκατοντάδες ερευνητές ασφαλείας και επιστήμονες υπολογιστών:
Το Άρθρο 45 απαγορεύει επίσης τους ελέγχους ασφαλείας σε πιστοποιητικά ιστού της ΕΕ, εκτός εάν αυτό επιτρέπεται ρητά από κανονισμούς κατά τη δημιουργία κρυπτογραφημένων συνδέσεων διαδικτυακής κίνησης. Αντί να καθορίζει ένα σύνολο ελάχιστων μέτρων ασφαλείας που πρέπει να εφαρμόζονται ως βάση, ουσιαστικά καθορίζει ένα ανώτατο όριο στα μέτρα ασφαλείας, τα οποία δεν μπορούν να βελτιωθούν χωρίς την άδεια του ETSI. Αυτό αντιβαίνει στους καθιερωμένους παγκόσμιους κανόνες, όπου οι νέες τεχνολογίες κυβερνοασφάλειας αναπτύσσονται και εφαρμόζονται ως απάντηση στις ταχέως εξελισσόμενες τεχνολογικές εξελίξεις.
Οι περισσότεροι από εμάς βασιζόμαστε στους προμηθευτές μας για να δημιουργήσουμε τη λίστα με τις αξιόπιστες αρχές έκδοσης πιστοποιητικών (CA). Ωστόσο, ως χρήστης, μπορείτε να προσθέσετε ή να αφαιρέσετε πιστοποιητικά όπως θέλετε στις δικές σας συσκευές. Τα Microsoft Windows διαθέτουν... εργαλείο για να το κάνετε αυτόΣτο Linux, τα πιστοποιητικά ρίζας είναι αρχεία που βρίσκονται σε έναν μόνο κατάλογο. Μια αρχή έκδοσης πιστοποιητικών μπορεί να θεωρηθεί μη αξιόπιστη απλώς διαγράφοντας το αρχείο. Θα απαγορεύεται και αυτό; Ο Steve Gibson, γνωστός ειδικός ασφαλείας, αρθρογράφος, και οικοδεσπότης του μακροχρόνιο podcast Security Now ζητάει:
Ωστόσο, η ΕΕ δηλώνει ότι τα προγράμματα περιήγησης θα υποχρεούνται να σέβονται αυτές τις νέες, μη αποδεδειγμένες και μη δοκιμασμένες αρχές έκδοσης πιστοποιητικών και, ως εκ τούτου, οποιαδήποτε πιστοποιητικά εκδίδουν, χωρίς εξαίρεση και χωρίς δυνατότητα προσφυγής. Αυτό σημαίνει ότι η δική μου έκδοση του Firefox θα είναι νομικά δεσμευμένη να αρνηθεί την προσπάθειά μου να καταργήσω αυτά τα πιστοποιητικά;
Η Gibson σημειώνει ότι ορισμένες εταιρείες εφαρμόζουν παρόμοια επιτήρηση των εργαζομένων τους εντός του ιδιωτικού τους δικτύου. Όποια και αν είναι η γνώμη σας για αυτές τις συνθήκες εργασίας, ορισμένοι κλάδοι έχουν νόμιμους λόγους ελέγχου και συμμόρφωσης για να παρακολουθούν και να καταγράφουν τι κάνουν οι εργαζόμενοί τους με τους εταιρικούς πόρους. Ωστόσο, όπως σημειώνει η Gibson... συνεχίζεται,
Το πρόβλημα είναι ότι η ΕΕ και τα κράτη μέλη της διαφέρουν πολύ από τους υπαλλήλους ενός ιδιωτικού οργανισμού. Κάθε φορά που ένας υπάλληλος δεν θέλει να τον παρακολουθούν, μπορεί να χρησιμοποιήσει το δικό του smartphone για να παρακάμψει το δίκτυο του εργοδότη του. Και φυσικά το ιδιωτικό δίκτυο ενός εργοδότη είναι ακριβώς αυτό, ένα ιδιωτικό δίκτυο. Η ΕΕ θέλει να το κάνει αυτό για ολόκληρο το δημόσιο Διαδίκτυο από το οποίο δεν θα υπήρχε διαφυγή.
Τώρα έχουμε διαπιστώσει τη ριζοσπαστική φύση αυτής της πρότασης. Ήρθε η ώρα να αναρωτηθούμε, ποιους λόγους προσφέρει η Ευρωπαϊκή Επιτροπή για να παρακινήσει αυτήν την αλλαγή; Η Ευρωπαϊκή Επιτροπή λέει ότι η επαλήθευση ταυτότητας στο πλαίσιο του PKI δεν είναι επαρκής. Και ότι αυτές οι αλλαγές είναι απαραίτητες για τη βελτίωσή της.
Ισχύουν οι ισχυρισμοί της EC; Το τρέχον PKI στις περισσότερες περιπτώσεις απαιτεί μόνο το αίτημα για την απόδειξη του ελέγχου του ιστότοπου. Ενώ αυτό είναι κάτι, δεν εγγυάται, για παράδειγμα, ότι η ιδιότητα ιστού "apple.com" ανήκει στην εταιρεία ηλεκτρονικών ειδών ευρείας κατανάλωσης Apple Inc, με έδρα το Cupertino της Καλιφόρνια. Ένας κακόβουλος χρήστης μπορεί να αποκτήσει ένα έγκυρο πιστοποιητικό για ένα όνομα τομέα παρόμοιο με αυτό μιας γνωστής επιχείρησης. Το έγκυρο πιστοποιητικό θα μπορούσε να χρησιμοποιηθεί σε μια επίθεση που βασιζόταν στο γεγονός ότι ορισμένοι χρήστες δεν έψαχναν αρκετά καλά για να παρατηρήσουν ότι το όνομα δεν ταιριάζει απόλυτα. Αυτό συνέβη σε... επεξεργαστής πληρωμών Stripe.
Για τους εκδότες που θα ήθελαν να αποδείξουν στον κόσμο ότι είναι πραγματικά η ίδια εταιρική οντότητα, ορισμένες Αρχές Πιστοποίησης έχουν προσφέρει Πιστοποιητικά εκτεταμένης επικύρωσης (EV).Το «εκτεταμένο» μέρος αποτελείται από πρόσθετες επικυρώσεις έναντι της ίδιας της επιχείρησης, όπως η διεύθυνση της επιχείρησης, ένας αριθμός τηλεφώνου που λειτουργεί, μια άδεια ή σύσταση επιχείρησης και άλλα χαρακτηριστικά που είναι τυπικά μιας επιχείρησης που λειτουργεί. Τα ηλεκτρικά οχήματα διατίθενται σε υψηλότερη τιμή επειδή απαιτούν περισσότερη εργασία από την Αρχή Πιστοποίησης.
Τα προγράμματα περιήγησης παλαιότερα εμφάνιζαν επισημασμένη οπτική ανατροφοδότηση για ένα ηλεκτρικό όχημα (EV), όπως ένα διαφορετικό χρώμα ή ένα πιο ανθεκτικό εικονίδιο κλειδαριάς. Τα τελευταία χρόνια, τα ηλεκτρικά οχήματα δεν ήταν ιδιαίτερα δημοφιλή στην αγορά. Έχουν ως επί το πλείστον εξαφανιστεί. Πολλά προγράμματα περιήγησης δεν εμφανίζουν πλέον τη διαφορική ανατροφοδότηση.
Παρά τις αδυναμίες που εξακολουθούν να υπάρχουν, το PKI έχει βελτιωθεί σημαντικά με την πάροδο του χρόνου. Καθώς τα ελαττώματα έχουν γίνει κατανοητά, έχουν αντιμετωπιστεί. Οι κρυπτογραφικοί αλγόριθμοι έχουν ενισχυθεί, η διακυβέρνηση έχει βελτιωθεί και τα τρωτά σημεία έχουν αποκλειστεί. Η διακυβέρνηση με συναίνεση των φορέων του κλάδου έχει λειτουργήσει αρκετά καλά. Το σύστημα θα συνεχίσει να εξελίσσεται, τόσο τεχνολογικά όσο και θεσμικά. Εκτός από την παρέμβαση των ρυθμιστικών αρχών, δεν υπάρχει λόγος να περιμένουμε κάτι διαφορετικό.
Από την άτονη ιστορία των ηλεκτρικών οχημάτων μάθαμε ότι η αγορά δεν ενδιαφέρεται τόσο πολύ για την επαλήθευση της εταιρικής ταυτότητας. Ωστόσο, αν οι χρήστες του διαδικτύου το ήθελαν αυτό, δεν θα χρειαζόταν να σπάσουν το υπάρχον PKI για να τους το δώσουν. Κάποιες μικρές τροποποιήσεις στις υπάρχουσες ροές εργασίας θα αρκούσαν. Ορισμένοι σχολιαστές έχουν προτείνει την τροποποίηση του Χειραψία TLSΟ ιστότοπος θα παρουσίαζε ένα επιπλέον πιστοποιητικό. Το κύριο πιστοποιητικό θα λειτουργούσε όπως λειτουργεί τώρα. Το δευτερεύον πιστοποιητικό, υπογεγραμμένο από ένα QWAC, θα εφάρμοζε τα πρόσθετα πρότυπα ταυτότητας που η EC λέει ότι επιθυμεί.
Οι υποτιθέμενοι λόγοι της ΕΚ για το eIDAS απλώς δεν είναι αξιόπιστοι. Όχι μόνο οι λόγοι που δίνονται είναι απίθανοι, αλλά η ΕΚ δεν ασχολείται καν με το συνηθισμένο υποκριτικό γκρίνια για το πώς πρέπει να θυσιάσουμε σημαντικές ελευθερίες στο όνομα της ασφάλειας επειδή αντιμετωπίζουμε τη σοβαρή απειλή της [διαλέξτε ένα] εμπορίας ανθρώπων, της ασφάλειας των παιδιών, του ξεπλύματος χρήματος, της φοροδιαφυγής ή (του προσωπικού μου αγαπημένου) της κλιματικής αλλαγήςΔεν υπάρχει αμφιβολία ότι η ΕΕ μας εκμεταλλεύεται με gaslighting.
Αν η Επιτροπή δεν είναι ειλικρινής σχετικά με τα πραγματικά της κίνητρα, τότε τι επιδιώκει; Βλέπει ο Γκίμπσον. μια κακόβουλη πρόθεση:
Και υπάρχει μόνο ένας πιθανός λόγος για τον οποίο θέλουν [να επιβάλουν στα προγράμματα περιήγησης να εμπιστεύονται τα QWAC], ο οποίος είναι να επιτρέπουν την άμεση υποκλοπή της διαδικτυακής κίνησης, ακριβώς όπως συμβαίνει στο εσωτερικό των εταιρειών. Και αυτό είναι αναγνωρισμένο.
(Αυτό που εννοεί ο Gibson με τον όρο «υποκλοπή διαδικτυακής κίνησης» είναι η επίθεση MITM που περιγράφεται παραπάνω.) Άλλα σχόλια έχουν επισημάνει τις δυσοίωνες επιπτώσεις για την ελευθερία του λόγου και την πολιτική διαμαρτυρία. Hurst σε ένα μακροσκελές δοκίμιο διατυπώνει ένα επιχείρημα που υπονομεύει την κατηφόρα:
Όταν μια φιλελεύθερη δημοκρατία καθιερώνει αυτό το είδος ελέγχου στην τεχνολογία στο διαδίκτυο, παρά τις συνέπειές του, θέτει τις βάσεις για να ακολουθήσουν το παράδειγμά της και πιο αυταρχικές κυβερνήσεις ατιμώρητες.
Mozilla αναφέρεται στο techdirt (χωρίς σύνδεσμο προς το πρωτότυπο) λέει λίγο πολύ τα ίδια:
[]Ο εξαναγκασμός των προγραμμάτων περιήγησης να εμπιστεύονται αυτόματα τις αρχές έκδοσης πιστοποιητικών που υποστηρίζονται από την κυβέρνηση είναι μια βασική τακτική που χρησιμοποιείται από τα αυταρχικά καθεστώτα και αυτοί οι παράγοντες θα ενθαρρυνθούν από το νομιμοποιητικό αποτέλεσμα των ενεργειών της ΕΕ...
Ο Γκίμπσον φτιάχνει κάτι παρόμοιο παρατήρηση:
Και μετά υπάρχει το πολύ πραγματικό φάσμα του τι άλλες πόρτες ανοίγει αυτό: Αν η ΕΕ δείξει στον υπόλοιπο κόσμο ότι μπορεί να υπαγορεύσει με επιτυχία τους όρους εμπιστοσύνης για τα ανεξάρτητα προγράμματα περιήγησης ιστού που χρησιμοποιούν οι πολίτες της, ποιες άλλες χώρες θα ακολουθήσουν με παρόμοιους νόμους; Τώρα ο καθένας μπορεί απλώς να απαιτήσει την προσθήκη των πιστοποιητικών της χώρας του. Αυτό μας οδηγεί ακριβώς σε λάθος κατεύθυνση.
Αυτό το προτεινόμενο Άρθρο 45 αποτελεί επίθεση στην ιδιωτικότητα των χρηστών στα κράτη μέλη της ΕΕ. Εάν υιοθετηθεί, θα αποτελέσει ένα τεράστιο πλήγμα όχι μόνο στην ασφάλεια του διαδικτύου, αλλά και στο εξελιγμένο σύστημα διακυβέρνησης. Συμφωνώ με τον Steve Gibson ότι:
Αυτό που είναι εντελώς ασαφές, και που δεν έχω συναντήσει πουθενά, είναι μια εξήγηση της εξουσίας με την οποία η ΕΕ φαντάζεται ότι είναι σε θέση να υπαγορεύσει τον σχεδιασμό του λογισμικού άλλων οργανισμών. Διότι σε αυτό καταλήγει το θέμα.
Η αντίδραση στο προτεινόμενο Άρθρο 45 ήταν εξαιρετικά αρνητική. Το ΕΤΑ στο Το Άρθρο 45 θα καταργήσει την ασφάλεια του Διαδικτύου κατά 12 χρόνια γράφει: «Αυτή είναι μια καταστροφή για την ιδιωτικότητα όλων όσων χρησιμοποιούν το διαδίκτυο, αλλά ιδιαίτερα για όσους το χρησιμοποιούν στην ΕΕ».
Η προσπάθεια eIDAS αποτελεί μια πυρκαγιά τεσσάρων συναγερμών για την κοινότητα ασφαλείας. Η Mozilla - κατασκευαστής του προγράμματος περιήγησης ιστού ανοιχτού κώδικα Firefox - δημοσίευσε ένα Κοινή Δήλωση Βιομηχανίας που αντιτίθενται σε αυτό. Η δήλωση υπογράφεται από μια σειρά κορυφαίων εταιρειών υποδομής διαδικτύου, συμπεριλαμβανομένης της ίδιας της Mozilla, της Cloudflare, της Fastly και του Linux Foundation.
Από το ανοιχτή επιστολή αναφέρθηκε παραπάνω:
Αφού διαβάσαμε το σχεδόν τελικό κείμενο, ανησυχούμε βαθιά για το προτεινόμενο κείμενο για το Άρθρο 45. Η τρέχουσα πρόταση διευρύνει ριζικά την ικανότητα των κυβερνήσεων να επιτηρούν τόσο τους πολίτες τους όσο και τους κατοίκους σε ολόκληρη την ΕΕ, παρέχοντάς τους τα τεχνικά μέσα για την παρακολούθηση της κρυπτογραφημένης διαδικτυακής κίνησης, ενώ παράλληλα υπονομεύει τους υφιστάμενους μηχανισμούς εποπτείας στους οποίους βασίζονται οι Ευρωπαίοι πολίτες.
Πού θα καταλήξει αυτό; Ο κανονισμός έχει προταθεί εδώ και αρκετό καιρό. Η τελική απόφαση έχει προγραμματιστεί για τον Νοέμβριο του 2023. Οι αναζητήσεις στο διαδίκτυο δεν δείχνουν νέες πληροφορίες σχετικά με αυτό το θέμα από τότε.
Τα τελευταία χρόνια, η άμεση λογοκρισία σε όλες τις μορφές της έχει αυξηθεί. Κατά τη διάρκεια της πανδημίας του Covid, η κυβέρνηση και η βιομηχανία συνεργάστηκαν για να δημιουργήσουν ένα λογοκρισία-βιομηχανικό σύμπλεγμα για την πιο αποτελεσματική προώθηση ψευδών αφηγήσεων και την καταστολή των αντιφρονούντων. Τα τελευταία χρόνια, οι σκεπτικιστές και οι ανεξάρτητες φωνές έχουν αντεπιτεθεί, σε δικαστήρια, και δημιουργώντας ουδέτερη άποψη πλατφόρμες.
Ενώ η λογοκρισία του λόγου εξακολουθεί να αποτελεί μεγάλο κίνδυνο, τα δικαιώματα των συγγραφέων και των δημοσιογράφων προστατεύονται καλύτερα από πολλά άλλα δικαιώματα. Στις ΗΠΑ, το Πρώτη τροποποίηση έχει ρητή προστασία του λόγου και την ελευθερία κριτικής της κυβέρνησης. Τα δικαστήρια μπορεί να έχουν την άποψη ότι οποιαδήποτε δικαιώματα ή ελευθερίες δεν προστατεύονται από πολύ συγκεκριμένη νομοθετική διατύπωση είναι θεμιτά. Αυτός μπορεί να είναι ο λόγος για τον οποίο η αντίσταση είχε μεγαλύτερη επιτυχία στον λόγο από άλλες προσπάθειες για τον τερματισμό άλλων καταχρήσεων εξουσίας, όπως καραντίνα και πληθυσμιακά lockdown.
Αντί για έναν καλά προστατευμένο εχθρό, οι κυβερνήσεις μετατοπίζουν τις επιθέσεις τους σε άλλα επίπεδα της υποδομής του διαδικτύου. Αυτές οι υπηρεσίες, όπως η καταχώριση domain, το DNS, τα πιστοποιητικά, οι επεξεργαστές πληρωμών, η φιλοξενία και τα καταστήματα εφαρμογών, αποτελούνται σε μεγάλο βαθμό από συναλλαγές ιδιωτικής αγοράς. Αυτές οι υπηρεσίες προστατεύονται πολύ λιγότερο από την ομιλία, επειδή, ως επί το πλείστον, δεν υπάρχει δικαίωμα σε κανέναν να αγοράσει μια συγκεκριμένη υπηρεσία από μια συγκεκριμένη επιχείρηση. Και οι πιο τεχνικές υπηρεσίες, όπως το DNS και το PKI, είναι λιγότερο κατανοητές από το κοινό από τη δημοσίευση στο διαδίκτυο.
Το σύστημα PKI είναι ιδιαίτερα ευάλωτο σε επιθέσεις επειδή λειτουργεί με βάση τη φήμη και τη συναίνεση. Δεν υπάρχει μία μόνο αρχή που να κυβερνά ολόκληρο το σύστημα. Οι παίκτες πρέπει να κερδίσουν φήμη μέσω της διαφάνειας, της συμμόρφωσης και της ειλικρινούς αναφοράς αποτυχιών. Και αυτό το καθιστά ευάλωτο σε αυτό το είδος ανατρεπτικής επίθεσης. Εάν το PKI της ΕΕ περιέλθει στην αρμοδιότητα των ρυθμιστικών αρχών, περιμένω να ακολουθήσουν και άλλες χώρες. Το PKI δεν κινδυνεύει μόνο. Μόλις αποδειχθεί ότι και άλλα επίπεδα του συστήματος μπορούν να δεχθούν επίθεση από τις ρυθμιστικές αρχές, θα στοχοποιηθούν και αυτά.
-
Ο Robert Blumen είναι μηχανικός λογισμικού και παρουσιαστής podcast που γράφει περιστασιακά για πολιτικά και οικονομικά ζητήματα.
Προβολή όλων των μηνυμάτων
