- Euroopan komissio on EU:n lainsäädäntöelin, jolla on sääntelyvalta digitaalisen teknologian alalla. Euroopan komission ehdottama eIDAS-asetus (artikla 45) heikentäisi tarkoituksella internetin turvallisuuden osa-alueita, joita toimiala on huolellisesti kehittänyt ja vahvistanut yli 25 vuoden ajan. Artikla antaisi käytännössä 27 EU:n hallitukselle huomattavasti laajemmat valvontavaltuudet internetin käytön suhteen.
Sääntö edellyttäisi, että kaikki internet-selaimet luottavat jokaisen EU-jäsenvaltion kansallisen hallituksen viraston (tai säännellyn tahon) myöntämään lisäjuurivarmenteeseen. Niille lukijoille, jotka eivät ole tekniikan alan ammattilaisia, selitän, mitä juurivarmenne on, miten internetin luottamus on kehittynyt ja mitä artikla 45 tekee tälle. Sitten nostan esiin joitakin teknologiayhteisön kommentteja tästä asiasta.
Tämän artikkelin seuraavassa osiossa selitetään, miten internetin luottamusinfrastruktuuri toimii. Tämä taustatieto on välttämätöntä, jotta ymmärrettäisiin, kuinka radikaali ehdotettu artikkeli on. Selityksen on tarkoitus olla ymmärrettävä myös ei-tekniselle lukijalle.
Kyseinen asetus käsittelee internet-turvallisuutta. Tässä "internet" tarkoittaa pääasiassa verkkosivustoilla vierailevia selaimia. Internet-turvallisuus koostuu monista erillisistä näkökohdista. Artikla 45 pyrkii muuttamaan julkisen avaimen infrastruktuuri (PKI), osa internet-turvallisuutta 90-luvun puolivälistä lähtien. PKI:tä on aluksi otettu käyttöön ja sitten parannettu 25 vuoden aikana, jotta käyttäjille ja julkaisijoille olisi seuraavat takeet:
- Selaimen ja verkkosivuston välisen keskustelun yksityisyysSelaimet ja verkkosivustot keskustelevat internetin välityksellä, joka on verkkojen verkosto, jota ylläpitävät Internet-palveluntarjoajatja Tier 1 -operaattorit; tai solun kantajat jos laite on mobiili. Verkko itsessään ei ole luonnostaan turvallinen eikä luotettava. Sinun utelias koti-internet-palveluntarjoaja, matkustaja lentokentän odotustilassa missä odotat lentoasi, tai datatoimittaja, joka haluaa myydä liidejä mainostajille saattaa haluta vakoilla sinua. Ilman minkäänlaista suojausta pahantahtoinen toimija voi tarkastella luottamuksellisia tietoja, kuten salasanaa, luottokortin saldoa tai terveystietoja.
- Takaamme, että näet sivun täsmälleen samalla tavalla kuin verkkosivusto lähetti sen sinulleKun katselet verkkosivua, onko sitä voitu peukaloida julkaisijan ja selaimesi välillä? Sensuuri saattaa haluta poistaa sisältöä, jota he eivät halua sinun näkevän. "Vääräksi tiedoksi" merkittyä sisältöä tukahdutettiin laajalti covid-hysterian aikana. Hakkeri, joka oli varastanut luottokorttisi, saattaa haluta poistaa todisteet vilpillisistä syytöksistään.
- Varmista, että näkemäsi verkkosivusto on todella se, joka näkyy selaimen sijaintipalkissa.Kun muodostat yhteyden pankkiin, mistä tiedät, että näet kyseisen pankin verkkosivuston, etkä väärennettyä, identtisen näköistä versiota? Tarkistat selaimesi sijaintipalkin. Voisiko selain joutua huijatuksi näyttämään väärennetyn verkkosivuston, joka näyttää identtisen oikean verkkosivuston kanssa? Mistä selaimesi tietää varmasti, että se on yhteydessä oikeaan sivustoon?
Internetin alkuaikoina mitään näistä vakuutteluista ei ollut olemassa. Vuonna 2010 lisäosakaupasta saatavilla oleva selainlaajennus mahdollisti käyttäjän osallistumisen jonkun toisen Facebook-ryhmän keskusteluun kahvilan liikekeskuksessa. Nyt – PKI:n ansiosta – voit olla melko varma näistä asioista.
Nämä turvaominaisuudet on suojattu järjestelmällä, joka perustuu digitaaliset sertifikaatitDigitaaliset varmenteet ovat eräänlainen henkilöllisyystodistus – ajokortin internet-versio. Kun selain muodostaa yhteyden sivustoon, sivusto esittää selaimelle varmenteen. Varmenne sisältää kryptografisen avaimen. Selain ja verkkosivusto toimivat yhdessä sarjan kryptografisten laskelmien avulla turvallisen tiedonsiirron muodostamiseksi.
Yhdessä selain ja verkkosivusto tarjoavat kolme turvallisuustakuuta:
- yksityisyyssalaamalla keskustelun.
- kryptografiset digitaaliset allekirjoitukset: varmistaakseen sisältöä ei muuteta lennon aikana.
- julkaisijan vahvistusPKI:n tarjoaman luottamusketjun kautta, jota selitän tarkemmin jäljempänä.
Hyvän identiteetin pitäisi olla vaikeasti väärennettävä. Muinaisessa maailmassa vahasta valmistettu sinetti palveli tätä tarkoitusta. Ihmisten identiteetit ovat perustuneet biometriaan. Kasvosi ovat yksi vanhimmista muodoista. Ei-digitaalisessa maailmassa, kun sinun on käytettävä ikärajoitettua tilaa, kuten tilattava alkoholijuoma, sinulta pyydetään valokuvallinen henkilöllisyystodistus.
Toinen biometrinen menetelmä ennen digitaalista aikakautta oli uuden kynällä ja musteella tehdyn allekirjoituksen vertaaminen henkilöllisyystodistuksen kääntöpuolella olevaan alkuperäiseen allekirjoitukseen. Koska näitä vanhempia biometrisiä tunnisteita on helpompi väärentää, ihmisen henkilöllisyyden varmennus on sopeutunut. Nykyään on yleistä, että pankki lähettää sinulle vahvistuskoodin matkapuhelimeesi. Sovellus vaatii sinua läpäisemään biometrisen henkilöllisyystarkastuksen matkapuhelimellasi koodin, kuten kasvojentunnistuksen tai sormenjälkesi, näkemiseksi.
Biometriikan lisäksi toinen henkilöllisyystodistuksen luotettavaksi tekevä tekijä on sen myöntäjä. Laajalti hyväksytyt henkilöllisyystodistukset riippuvat myöntäjän kyvystä varmistaa, että henkilöllisyystodistusta hakeva henkilö on se, joka hän väittää olevansa. Useimmat laajemmin hyväksytyistä henkilöllisyystodistuksista myöntävät valtion virastot, kuten ajoneuvohallinto. Jos myöntävällä virastolla on luotettavat keinot seurata, keitä ja missä sen hakemuksen kohteena olevat henkilöt ovat, kuten verojen maksaminen, työsuhteen rekisteröinnit tai vesilaitosten käyttö, on hyvät mahdollisuudet, että virasto voi varmistaa, että henkilöllisyystodistuksessa nimetty henkilö on kyseinen henkilö.
Verkossa hallitukset eivät ole suurimmaksi osaksi osallistuneet henkilöllisyyden varmentamiseen. Sertifikaatteja myöntävät yksityisen sektorin yritykset, jotka tunnetaan nimellä todistusviranomaiset (CA:t). Vaikka sertifikaatit olivat aiemmin melko kalliita, maksut ovat laskeneet huomattavasti siihen pisteeseen, että jotkut ovat ilmaisiaTunnetuimmat varmentajat ovat Verisign, DigiCert ja GoDaddy. Ryan Hurst esittelee Seitsemän suurinta varmennetta (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft ja IdenTrust) myöntävät 99 % kaikista varmenteista.
Selain hyväksyy varmenteen henkilöllisyyden todisteeksi vain, jos varmenteen nimikenttä vastaa verkkotunnusta, jonka selain näyttää sijaintipalkissa. Vaikka nimet täsmäisivätkin, todistaako se, että varmenne, jossa lukee "apple.com”kuuluu Apple Inc:n kaltaiselle kulutuselektroniikkayritykselle?” Ei. Henkilöllisyystodistukset eivät ole luodinkestävät. Alaikäiset juojat voi saada väärennettyjä henkilöllisyystodistuksiaKuten ihmisten henkilöllisyystodistukset, myös digitaaliset varmenteet voivat olla väärennettyjä tai muista syistä virheellisiä. Ohjelmistoinsinööri voi ilmaisia avoimen lähdekoodin työkaluja käyttäen luoda digitaalisen varmenteen nimeltä "apple.com" muutama Linux-komento.
PKI-järjestelmä luottaa siihen, että varmenteet myöntävät varmenteet vain verkkosivuston omistajalle. Varmenteen hankkimisen työnkulku menee seuraavasti:
- Verkkosivuston julkaisija hakee varmennetta haluamaltaan varmenteiden myöntäjältä verkkotunnukselle.
- Varmenneviranomainen varmistaa, että varmennepyyntö tulee sivuston todelliselta omistajalta. Miten varmenneviranomainen varmistaa tämän? Varmenneviranomainen vaatii pyynnön esittävää tahoa julkaisemaan tietyn sisällön tietyssä URL-osoitteessa. Tämän mahdollistaminen todistaa, että taho hallitsee verkkosivustoa.
- Kun verkkosivusto on todistanut verkkotunnuksen omistajuuden, varmentaja lisää kryptografinen digitaalinen allekirjoitus varmenteeseen käyttämällä omaa yksityistä kryptografista avaintaan. Allekirjoitus tunnistaa varmentajan varmentajan myöntäjäksi.
- Allekirjoitettu todistus toimitetaan pyynnön tehneelle henkilölle tai yhteisölle.
- Julkaisija asentaa varmenteensa verkkosivustolleen, jotta se voidaan esittää selaimille.
Kryptografiset digitaaliset allekirjoitukset ovat "matemaattinen menetelmä digitaalisten viestien tai asiakirjojen aitouden varmentamiseksi". Ne eivät ole sama asia kuin DocuSignin ja vastaavien toimittajien tarjoama online-asiakirjojen allekirjoitus. Jos allekirjoitus voitaisiin väärentää, varmenteet eivät olisi luotettavia. Ajan myötä kryptografisten avainten kokoa on kasvatettu väärentämisen vaikeuttamiseksi. Kryptografian tutkijat uskovat, että nykyisiä allekirjoituksia on käytännössä mahdotonta väärentää. Toinen haavoittuvuus on, kun varmentajan salaiset avaimet varastetaan. Varas voisi sitten tuottaa kyseisen varmentajan voimassa olevia allekirjoituksia.
Kun varmenne on asennettu, sitä käytetään verkkokeskustelun määrittämisessä. - Rekisteröidy selittää miten se menee:
Jos varmenteen on myöntänyt tunnettu ja luotettava varmenteiden myöntäjä ja kaikki tiedot ovat oikein, sivustoon luotetaan ja selain yrittää muodostaa suojatun ja salatun yhteyden verkkosivustoon, jotta toimintasi sivustolla ei näy verkossa oleville salakuuntelijoille. Jos varmenteen on myöntänyt ei-luotettava varmenteiden myöntäjä, varmenne ei vastaa verkkosivuston osoitetta tai jotkin tiedot ovat virheellisiä, selain hylkää verkkosivuston, koska se epäilee, ettei se muodosta yhteyttä käyttäjän haluamaan verkkosivustoon, vaan saattaa olla yhteydessä henkilöön, joka tekee henkilöllisyyden.
Voimme luottaa selaimeen, koska selain luottaa verkkosivustoon. Selain luottaa verkkosivustoon, koska varmenteen on myöntänyt "tunnettu hyvä" varmenteen myöntäjä. Mutta mikä on "tunnettu hyvä varmenteen myöntäjä"? Useimmat selaimet luottavat käyttöjärjestelmän tarjoamiin varmentajiin. Luotettavien varmenteiden luettelon päättävät laite- ja ohjelmistotoimittajat. Suurimmat tietokone- ja laitetoimittajat – Microsoft, Apple, Android-puhelinten valmistajat ja avoimen lähdekoodin Linux-jakelijat – esiasentavat käyttöjärjestelmän laitteisiinsa joukon juurivarmenteita.
Nämä varmenteet tunnistavat varmenteiden myöntäjät, jotka ne ovat tarkistaneet ja pitäneet luotettavina. Tätä juurivarmenteiden kokoelmaa kutsutaan "luotettavaksi varmenteiden säilöksi". Esimerkkinä läheltäni: Windows-tietokoneella, jota käytän tätä kirjoitettaessa, on 70 juurivarmennetta luotettujen juurivarmenteiden säilössä. Applen tukisivusto listaa kaikki MacOS:n Sierra-version luottamat juuret.
Miten tietokone- ja puhelinmyyjät päättävät, mitkä varmentajien sertifikaattien myöntäjät ovat luotettavia? Heillä on auditointi- ja vaatimustenmukaisuusohjelmia varmentajien laadun arvioimiseksi. Vain läpäisevät sertifikaatit otetaan mukaan. Katso esimerkiksi Chrome-selaimessa (joka tarjoaa oman luottamusvarastonsa laitteen oman sijaan). EFF (joka kuvailee itseään "johtavaksi voittoa tavoittelemattomaksi järjestöksi, joka puolustaa kansalaisoikeuksia digitaalisessa maailmassa") selittää:
Selaimet käyttävät "juuriohjelmia" valvoakseen luotettavien varmentajien turvallisuutta ja luotettavuutta. Nämä juuriohjelmat asettavat useita vaatimuksia, jotka vaihtelevat avainmateriaalin suojauksesta verkkotunnusnimien hallinnan validointiin ja varmenteiden allekirjoittamiseen käytettäviin algoritmeihin.
Kun toimittaja on hyväksynyt varmentajan, toimittaja jatkaa sen valvontaa. Toimittajat poistavat varmentajat luotettujen varmentajien säilöstä, jos varmentaja ei noudata tarvittavia tietoturvastandardeja. Varmentajat voivat toimia epärehellisesti tai epäonnistua muista syistä. - Rekisteröidy raportit:
Varmenteet ja niitä myöntävät varmentajat eivät ole aina luotettavia, ja selainvalmistajat ovat vuosien varrella poistaneet varmenteiden juurivarmenteita Turkissa, Ranskassa, Kiinassa, Kazakstanissa ja muualla sijaitsevilta varmentajilta, kun myöntävän tahon tai siihen liittyvän osapuolen on havaittu sieppaavan verkkoliikennettä.
Vuonna 2022 tutkija Ian Carroll raportoi e-Tugra-varmentajaan liittyvät turvallisuusongelmatCarroll "löysi useita hälyttäviä ongelmia, jotka huolestuttavat minua yrityksensä sisäisissä turvallisuuskäytännöissä", kuten heikot tunnistetiedot. Suurimmat ohjelmistotoimittajat vahvistivat Carrollin raportit. Tämän seurauksena e-Tugra oli... poistettu luotettavista varmennevarastoistaan.
- Varmentajien epäonnistumisten aikajana kertoo muista vastaavista tapahtumista.
PKI:ssä on edelleen joitakin tunnettuja aukkoja nykyisessä muodossaan. Koska yksi tietty seikka on tärkeä eIDAS-asetuksen artiklan 45 ymmärtämisen kannalta, selitän sen seuraavaksi. Varmentajan luottamus ei rajoitu niihin verkkosivustoihin, jotka harjoittavat liiketoimintaa kyseisen varmentajan kanssa. Selain hyväksyy varmenteen miltä tahansa luotettavalta varmentajalta mille tahansa verkkosivustolle. Mikään ei estä varmentajaa myöntämästä verkkosivustoa luvattomalle toimijalle, jota sivuston omistaja ei ole pyytänyt. Tällainen varmenne olisi oikeudellisessa mielessä vilpillinen sen myöntäjän vuoksi. Mutta varmenteen sisältö olisi teknisesti pätevä selaimen näkökulmasta.
Jos olisi mahdollista yhdistää jokainen verkkosivusto sen ensisijaiseen varmentajaan, kaikki kyseisen sivuston varmenteet miltä tahansa muulta varmentajalta tunnistettaisiin välittömästi vilpillisiksi. Varmenteen kiinnitys on toinen standardi, joka ottaa askeleen tähän suuntaan. Mutta miten tämä yhteys julkaistaisiin ja miten julkaisijaan voitaisiin luottaa?
Tämän prosessin jokaisella tasolla tekninen ratkaisu nojaa ulkoiseen luottamuksen lähteeseen. Mutta miten tämä luottamus rakennetaan? Nojaamalla vielä luotettavampaan lähteeseen seuraavaksi korkeammalla tasolla? Tämä kysymys havainnollistaa "kilpikonnia, aivan alas”ongelman luonne. PKI:llä on pohjalla kilpikonna: tietoturva-alan ja sen asiakkaiden maine, näkyvyys ja läpinäkyvyys. Luottamus rakennetaan tällä tasolla jatkuvan valvonnan, avointen standardien, ohjelmistokehittäjien ja varmentajien avulla.
Vilpillisiä sertifikaatteja on myönnetty. Vuonna 2013 ArsTechnica raportoi Ranskalainen virasto jäi kiinni SSL-varmenteiden luomisesta Googlen henkilöllisyyden alaisena:
Vuonna 2011…turvallisuustutkijat havaitsi väärennetyn varmenteen Google.comille joka antoi hyökkääjille mahdollisuuden matkia verkkosivuston sähköpostipalvelua ja muita tarjouksia. Väärennetty varmenne lyötiin sen jälkeen, kun hyökkääjät murtautuivat alankomaalaisen DigiNotarin tietoturvaan ja saivat haltuunsa sen varmenteiden myöntämisjärjestelmät.
Secure Sockets Layer (SSL) -tunnistetiedot allekirjoitti digitaalisesti kelvollinen varmentaja... Itse asiassa varmenteet olivat luvattomia kopioita, jotka oli myönnetty selainvalmistajien ja varmentajapalveluiden asettamien sääntöjen vastaisesti.
Vilpillisiä varmenteita voi myöntää. Vilpillinen varmenteiden myöntäjä voi myöntää sellaisen, mutta he eivät pääse pitkälle. Huono varmenne havaitaan. Huono varmentaja ei läpäise vaatimustenmukaisuusohjelmia ja se poistetaan luotettujen varmenteiden tallennuspaikoista. Ilman hyväksyntää varmentaja lopettaa toimintansa. Sertifikaatin läpinäkyvyys, uudempi standardi, mahdollistaa väärennettyjen varmenteiden nopeamman havaitsemisen.
Miksi varmenteen myöntäjä toimisi luvattomasti? Mitä etua pahis voi saada luvattomasta varmenteesta? Pelkkä varmenne ei tuo paljonkaan etua, vaikka sen olisi allekirjoittanut luotettava varmenteen myöntäjä. Mutta jos pahis voi tehdä yhteistyötä internet-palveluntarjoajan kanssa tai muuten käyttää selaimen käyttämää verkkoa, varmenne antaa pahikselle mahdollisuuden murtaa kaikki PKI:n tietoturvatakuut.
Hakkeri voisi asentaa välimieshyökkäys (MITM) keskustelussa. Hyökkääjä voisi asettua selaimen ja oikean verkkosivuston väliin. Tässä skenaariossa käyttäjä keskustelisi suoraan hyökkääjän kanssa, ja hyökkääjä välittäisi sisällön edestakaisin oikean verkkosivuston kanssa. Hyökkääjä näyttäisi selaimelle väärennetyn varmenteen. Koska luotettava varmentaja olisi allekirjoittanut sen, selain hyväksyisi sen. Hyökkääjä voisi tarkastella ja jopa muokata kummankin osapuolen lähettämää viestiä ennen kuin toinen osapuoli saisi sen.
Nyt tulemme EU:n synkkään eIDAS-asetukseen, artiklaan 45. Tämä ehdotettu asetus edellyttää, että kaikki selaimet luottavat EU:n nimeämien varmentajien varmennekoriin. Tarkalleen ottaen XNUMX varmennetta: yksi kutakin jäsenvaltiota kohden. Näitä varmenteita kutsutaan Hyväksytyt verkkosivustojen todennussertifikaatitLyhenteellä ”QWAC” on valitettava homonyymi sanalle puoskarointi – tai ehkä EK trollaa meitä.
QWAC-todistukset myöntäisivät joko valtion virastot tai Michael Rectenwaldin nimityksellä hallitusten”Yrityksiä, yhtiöitä ja muita valtion apuelimiä, joita muuten kutsutaan ’yksityisiksi’, mutta jotka todellisuudessa toimivat valtiokoneistoina siinä mielessä, että ne panevat täytäntöön valtion narratiiveja ja määräyksiä.”
Tämä järjestelmä toisi EU-maiden hallituksia askeleen lähemmäksi pistettä, jossa ne voisivat hyökätä välikäsien avulla omia kansalaisiaan vastaan. Niiden tarvitsisi myös käyttää verkkoja. Hallituksilla on siihen mahdollisuus. Jos internet-palveluntarjoajaa johdetaan valtion omistamana yrityksenä, heillä olisi se jo käytössään. Jos internet-palveluntarjoajat ovat yksityisiä yrityksiä, paikalliset... viranomaiset voisi käyttää poliisin valtuuksia päästäkseen käsiksi.
Yksi julkisessa keskustelussa ei ole korostettu seikkaa, että selaimen missä tahansa EU:n 27 jäsenvaltiosta olisi hyväksyttävä jokainen QWAC, yksi kustakin EU:n jäsenTämä tarkoittaa, että esimerkiksi Espanjassa olevan selaimen olisi luotettava Kroatiassa, Suomessa ja Itävallassa sijaitsevien tahojen QWAC-palveluun. Itävaltalaisella verkkosivustolla vierailevan espanjalaisen käyttäjän olisi käytettävä internetin itävaltalaisia osia. Edellä mainitut ongelmat koskisivat kaikkia EU-maita.
The Register, artikkelissa nimeltä Huono eIDAS: Eurooppa on valmis sieppaamaan ja vakoilemaan salattuja HTTPS-yhteyksiäsi selittää yhden tavan, jolla tämä voisi toimia:
Hallitus voi pyytää ystävällistä varmenneviranomaiseltaan kopion [QWAC]-varmenteesta, jotta hallitus voi tekeytyä verkkosivustoksi – tai pyytää jotakin muuta varmennetta, johon selaimet luottavat ja jonka ne hyväksyvät kyseiselle sivustolle. Näin ollen käyttämällä välimieshyökkäystä hallitus voi siepata ja purkaa salatun HTTPS-liikenteen verkkosivuston ja sen käyttäjien välillä, jolloin hallinto voi seurata tarkasti, mitä ihmiset tekevät kyseisellä sivustolla milloin tahansa.
Kun salaus on murtautunut, valvontaan voisi sisältyä käyttäjien salasanojen tallentaminen ja niiden käyttäminen myöhemmin kansalaisten sähköpostitileille pääsyyn. Valvonnan lisäksi hallitukset voisivat muokata sisältöä tekstissä. Ne voisivat esimerkiksi poistaa sensuroitavat narratiivit. Ne voisivat liittää ärsyttäviä... lastenhoitajavaltion faktantarkistukset ja sisältövaroitukset eriäviin mielipiteisiin.
Nykytilanteessa varmenteiden myöntäjien on ylläpidettävä selainyhteisön luottamusta. Selaimet varoittavat käyttäjää tällä hetkellä, jos sivusto esittää vanhentuneen tai muuten epäluotettavan varmenteen. Artiklan 45 nojalla varoitukset tai luottamuksen väärinkäyttäjien poistaminen olisi kiellettyä. Selaimia ei ainoastaan vaadita luottamaan QWAC-varmenteisiin, vaan artikla 45 kieltää selaimia näyttämästä varoitusta, että QWAC-varmenteen allekirjoittama varmenne...
Viimeinen tilaisuus eIDAS-järjestelmään (verkkosivusto, jolla on Mozilla-logo) vastustaa artiklaa 45:
Millä tahansa EU-jäsenvaltiolla on oikeus nimetä kryptografisia avaimia jaettavaksi verkkoselaimissa, ja selaimilla on kiellettyä peruuttaa luottamusta näihin avaimiin ilman hallituksen lupaa.
...Jäsenvaltioiden tekemille päätöksille niiden valtuuttamien avainten ja niiden käytön osalta ei ole riippumatonta valvontaa tai tasapainoa. Tämä on erityisen huolestuttavaa, kun otetaan huomioon, että oikeusvaltioperiaatteen noudattaminen on... ei ole ollut yhtenäinen kaikissa jäsenvaltioissa, ja dokumentoituja tapauksia on salaisen poliisin pakottaminen poliittisiin tarkoituksiin.
Vuonna useiden satojen tietoturvatutkijoiden ja tietojenkäsittelytieteilijöiden allekirjoittama avoin kirje:
Artikla 45 kieltää myös EU:n verkkovarmenteiden turvatarkastukset salattuja verkkoliikenneyhteyksiä muodostettaessa, ellei asetus sitä nimenomaisesti salli. Sen sijaan, että määriteltäisiin joukko vähimmäisturvatoimenpiteitä, joita on noudatettava lähtökohtana, se käytännössä määrittelee turvatoimenpiteille ylärajan, jota ei voida parantaa ilman ETSIn lupaa. Tämä on ristiriidassa vakiintuneiden maailmanlaajuisten normien kanssa, joissa uusia kyberturvallisuusteknologioita kehitetään ja otetaan käyttöön vastauksena teknologian nopeaan kehitykseen.
Useimmat meistä luottavat toimittajiimme luotettavien varmenteiden myöntäjien luettelon laatimisessa. Käyttäjänä voit kuitenkin lisätä tai poistaa varmenteita haluamallasi tavalla omilla laitteillasi. Microsoft Windowsilla on työkalu tämän tekemiseenLinuxissa juurisertifikaatit ovat tiedostoja, jotka sijaitsevat yhdessä hakemistossa. Varmenteen myöntäjä voidaan poistaa luottamatta yksinkertaisesti poistamalla tiedosto. Kielletäänkö tämäkin? Steve Gibson, tunnettu tietoturva-asiantuntija, kolumnisti, ja isäntä pitkäaikainen Security Now -podcast kysyy:
Mutta EU toteaa, että selainten on kunnioitettava näitä uusia, todistamattomia ja testaamattomia varmentajien myöntämiä varmenteita ja siten kaikkia niiden myöntämiä varmenteita poikkeuksetta ja ilman oikeussuojakeinoja. Tarkoittaako tämä, että Firefox-esiintymäni on laillisesti velvollinen kieltäytymään yrityksestäni poistaa kyseiset varmenteet?
Gibson huomauttaa, että jotkut yritykset toteuttavat samanlaista työntekijöidensä valvontaa omassa yksityisessä verkossaan. Olipa mielipiteesi näistä työoloista mikä tahansa, joillakin toimialoilla on oikeutetut tarkastus- ja vaatimustenmukaisuussyyt seurata ja tallentaa, mitä heidän työntekijänsä tekevät yrityksen resursseilla. Mutta kuten Gibson... jatkuu,
Ongelmana on, että EU ja sen jäsenvaltiot ovat hyvin erilaisia kuin yksityisen organisaation työntekijät. Aina kun työntekijä ei halua tulla vakoilluksi, hän voi käyttää omaa älypuhelintaan työnantajansa verkon ohittamiseen. Ja työnantajan yksityinen verkko on tietenkin juuri sitä, yksityinen verkko. EU haluaa tehdä tämän koko julkiselle internetille, jolta ei olisi pakoa.
Nyt kun olemme todenneet tämän ehdotuksen radikaalin luonteen, on aika kysyä, mitä syitä komissio esittää tämän muutoksen tueksi? Komission mukaan henkilöllisyyden varmentaminen julkisen avaimen (PKI) avulla ei ole riittävää. Ja että näitä muutoksia tarvitaan sen parantamiseksi.
Pitävätkö EY:n väitteet paikkansa? Nykyinen PKI-järjestelmä vaatii useimmissa tapauksissa vain verkkosivuston hallinnan todistamista koskevan pyynnön. Vaikka se onkin jotain, se ei esimerkiksi takaa, että verkkosivuston "apple.com" omistaa kulutuselektroniikkayritys Apple Inc., jonka pääkonttori sijaitsee Cupertinossa Kaliforniassa. Haitallinen käyttäjä saattaa saada kelvollisen varmenteen verkkotunnukselle, jonka nimi on samankaltaista kuin tunnetun yrityksen verkkotunnuksella. Kelvollista varmennetta voitaisiin käyttää hyökkäyksessä, joka perustuisi siihen, että jotkut käyttäjät eivät katsoisi tarpeeksi tarkasti huomatakseen, että nimi ei aivan täsmää. Näin kävi... maksuprosessori Stripe.
Julkaisijoille, jotka haluavat todistaa maailmalle olevansa todella sama yritys, jotkut varmentajat ovat tarjonneet Extended Validation (EV) -sertifikaatit”Laajennettu” osa koostuu lisävahvistuksista, jotka koskevat itse yritystä, kuten yrityksen osoitetta, toimivaa puhelinnumeroa, toimilupaa tai yhtiömuotoa ja muita toimivalle yritykselle tyypillisiä ominaisuuksia. Sähköautot ovat korkeammassa hintaluokassa, koska ne vaativat enemmän työtä toimivaltaiselta viranomaiselta.
Selaimet näyttivät aiemmin sähköautoille korostettua visuaalista palautetta, kuten eri värin tai tukevamman lukkokuvakkeen. Viime vuosina sähköautot eivät ole olleet erityisen suosittuja markkinoilla. Ne ovat enimmäkseen kuolleet pois. Monet selaimet eivät enää näytä eroteltua palautetta.
Huolimatta edelleen olemassa olevista heikkouksista, PKI on parantunut huomattavasti ajan myötä. Puutteiden ymmärrettyä ne on korjattu. Kryptografisia algoritmeja on vahvistettu, hallintoa on parannettu ja haavoittuvuuksia on estetty. Alan toimijoiden yhteisymmärrykseen perustuva hallinto on toiminut varsin hyvin. Järjestelmä kehittyy edelleen sekä teknologisesti että institutionaalisesti. Sääntelyviranomaisten puuttumista asiaan lukuun ottamatta ei ole mitään syytä odottaa toisin.
Sähköautojen vaatimattomasta historiasta olemme oppineet, että markkinat eivät välitä niinkään yritysten identiteetin varmentamisesta. Jos internetin käyttäjät kuitenkin haluaisivat sitä, se ei vaatisi olemassa olevan PKI:n murtamista. Pienet muutokset nykyisiin työnkulkuihin riittäisivät. Jotkut kommentoijat ovat ehdottaneet muutoksia TLS kädenpuristus; verkkosivusto esittelisi yhden lisävarmenteen. Ensisijainen varmenne toimisi kuten nytkin. QWAC:n allekirjoittama toissijainen varmenne toteuttaisi EC:n haluamat lisäidentiteettistandardit.
Euroopan komission väitetyt eIDAS-asetuksen perustelut eivät yksinkertaisesti ole uskottavia. Annetut perustelut ovat epäuskottavia, eikä komissio edes vaivaudu tavanomaiseen tekopyhään valittamaan siitä, kuinka meidän on uhrattava tärkeitä vapauksia turvallisuuden nimissä, koska kohtaamme vakavan uhan [valitse yksi] ihmiskaupasta, lasten turvallisuudesta, rahanpesusta, veropetoksesta tai (henkilökohtainen suosikkini) ilmastonmuutosOn kiistatonta, että EU valehtelee meille.
Jos EY ei ole rehellinen todellisista motiiveistaan, niin mitä he ajavat takaa? Gibson näkee ilkeämielinen tarkoitus:
Ja on vain yksi mahdollinen syy, miksi he haluavat [pakottaa selaimet luottamaan QWAC-järjestelmiin], eli salliakseen internet-verkkoliikenteen sieppaamisen lennossa, aivan kuten yritysten sisällä tapahtuu. Ja se on tunnustettua.
(Gibson tarkoittaa ”verkkoliikenteen sieppauksella” edellä kuvattua MITM-hyökkäystä.) Muut kommentit ovat korostaneet sen synkkiä seurauksia sananvapaudelle ja poliittiselle protestille. pitkässä esseessä esittää liukkaan rinteen argumentin:
Kun liberaali demokratia ottaa käyttöön tällaisen kontrollin verkkoteknologiaan, sen seurauksista huolimatta, se luo pohjan autoritaarisempien hallitusten seuraamiselle rankaisematta.
mozilla lainattu techdirtissä (ilman linkkiä alkuperäiseen tekstiin) sanoo suurin piirtein samaa:
Selainten pakottaminen automaattisesti luottamaan hallituksen tukemiin varmenneviranomaisiin on autoritaaristen hallintojen käyttämä keskeinen taktiikka, ja EU:n toimien oikeuttava vaikutus rohkaisisi näitä toimijoita…
Gibson tekee samanlaista havainto:
Ja sitten on vielä todellinen uhka siitä, mitä muita ovia tämä avaa: Jos EU osoittaa muulle maailmalle, että se pystyy menestyksekkäästi sanelemaan luottamusehdot kansalaistensa käyttämille itsenäisille verkkoselaimille, mitkä muut maat seuraavat perässä vastaavilla laeilla? Nyt kaikki voivat yksinkertaisesti vaatia, että heidän oman maansa varmenteet lisätään. Tämä vie meidät täysin väärään suuntaan.
Tämä ehdotettu artikla 45 on hyökkäys käyttäjien yksityisyyttä vastaan EU-maissa. Jos se hyväksytään, se olisi valtava takaisku paitsi internet-turvallisuudelle, myös kehittyneelle hallintojärjestelmälle. Olen samaa mieltä Steve Gibsonin kanssa siitä, että:
Täysin epäselvää, enkä ole törmännyt missään, on selitys sille valtuudelle, jolla EU kuvittelee voivansa sanella muiden organisaatioiden ohjelmistojen suunnittelua. Koska siihen tässä kaiketi on kyse.
Ehdotettuun artiklaan 45 on suhtauduttu erittäin kielteisesti. EKTR:ää Artikla 45 heikentää verkkoturvallisuutta 12 vuodella kirjoittaa: ”Tämä on katastrofi kaikkien internetin käyttäjien yksityisyydelle, mutta erityisesti niiden, jotka käyttävät internetiä EU:ssa.”
eIDAS-hanke on neljän hälytyskellon tulipalo tietoturvayhteisölle. Mozilla – avoimen lähdekoodin Firefox-selaimen valmistaja – julkaisi… Alan yhteinen lausunto vastustaa sitä. Lausunnon on allekirjoittanut joukko internet-infrastruktuuriyrityksiä, mukaan lukien Mozilla itse, Cloudflare, Fastly ja Linux Foundation.
Alkaen avoin kirje mainittu yllä:
Luettuamme lähes lopullisen tekstin olemme syvästi huolissamme ehdotetusta 45 artiklan tekstistä. Nykyinen ehdotus laajentaa radikaalisti hallitusten kykyä valvoa sekä omia kansalaisiaan että asukkaita kaikkialla EU:ssa tarjoamalla niille tekniset keinot salatun verkkoliikenteen sieppaamiseen ja samalla heikentämällä olemassa olevia valvontamekanismeja, joihin Euroopan kansalaiset luottavat.
Minne tämä johtaa? Asetusta on ehdotettu jo jonkin aikaa. Lopullinen päätös oli määrä tehdä marraskuussa 2023. Verkkohaut eivät ole tuon ajankohdan jälkeen löytäneet uutta tietoa tästä aiheesta.
Viime vuosina suoranainen sensuuri kaikissa muodoissaan on lisääntynyt. Covid-hulluuden aikana hallitus ja teollisuus tekivät yhteistyötä luodakseen sensuuri-teollinen kompleksi tehokkaammin edistääkseen vääriä narratiiveja ja tukahduttaakseen toisinajattelijoita. Viime vuosina skeptikot ja riippumattomat äänet ovat taistelleet vastaan, tuomioistuimissaja luomalla näkökulmaneutraali alustoille.
Vaikka sanasensuuri on edelleen suuri vaara, kirjoittajien ja toimittajien oikeudet ovat paremmin suojattuja kuin monet muut oikeudet. Yhdysvalloissa Ensimmäinen tarkistus on nimenomainen sananvapauden ja vapauden arvostella hallitusta suoja. Tuomioistuimet voivat olla sitä mieltä, että kaikki oikeudet tai vapaudet, joita ei suojata erittäin täsmällisellä lakisääteisellä kielellä, ovat reilua peliä. Tämä voi olla syy siihen, miksi vastarinta on onnistunut paremmin sananvapauden osalta kuin muut pyrkimykset pysäyttää muita vallan väärinkäytöksiä, kuten Karanteeneja ja väestön sulkutoimia.
Hallitukset eivät ole enää hyvin puolustuskykyisiä vastustajia, vaan siirtävät hyökkäyksensä internet-infrastruktuurin muihin tasoihin. Nämä palvelut, kuten verkkotunnusten rekisteröinti, DNS, varmenteet, maksupalvelut, hosting ja sovelluskaupat, koostuvat pääosin yksityisten markkinapaikkojen tapahtumista. Nämä palvelut ovat paljon heikommin suojattuja kuin puhe, koska kenelläkään ei ole useimmiten oikeutta ostaa tiettyä palvelua tietyltä yritykseltä. Ja teknisemmät palvelut, kuten DNS ja PKI, ovat yleisön keskuudessa vähemmän ymmärrettyjä kuin verkkojulkaisut.
PKI-järjestelmä on erityisen altis hyökkäyksille, koska se toimii maineen ja konsensuksen perusteella. Ei ole olemassa yhtä auktoriteettia, joka hallitsisi koko järjestelmää. Toimijoiden on ansaittava maine läpinäkyvyydellä, vaatimustenmukaisuudella ja rehellisellä epäonnistumisten raportoinnilla. Ja tämä tekee siitä alttiin tämän tyyppisille häiritseville hyökkäyksille. Jos EU:n PKI joutuu sääntelyviranomaisten käsiin, odotan muiden maiden seuraavan perässä. PKI ei ole vaarassa ainoastaan. Kun on osoitettu, että sääntelyviranomaiset voivat hyökätä myös muihin järjestelmäkerroksiin, nekin joutuvat iskujen kohteeksi.
Tulla mukaan keskusteluun:
Julkaistu nimellä Creative Commons Attribution 4.0 - kansainvälinen lisenssi
Uusintapainoksia varten aseta kanoninen linkki takaisin alkuperäiseen. Brownstonen instituutti Artikkeli ja kirjoittaja.
