Uredba bi od svih internetskih preglednika zahtijevala da vjeruju dodatnom korijenskom certifikatu autoriteta (ili reguliranog tijela) svake nacionalne vlade država članica EU-a. Za čitatelje koji nisu tehnički upoznati, objasnit ću što je korijenski certifikat, kako se razvilo povjerenje u Internet i kakve veze s njim ima članak 45. Zatim ću istaknuti neke komentare tehnološke zajednice na ovu temu.

U sljedećem odjeljku ovog članka objasnit ću kako funkcionira internetska infrastruktura povjerenja. Ova je pozadina neophodna da bismo razumjeli koliko je radikalan predloženi članak. Objašnjenje bi trebalo biti razumljivo čak i informatički nepismenom čitatelju.

Uredba o kojoj je riječ govori o sigurnosti na internetu. “Internet” se ovdje prvenstveno odnosi na preglednike koji posjećuju web stranice. Internetska sigurnost sastoji se od mnogo različitih aspekata. Članak 45 ima za cilj promijeniti infrastrukturu javnih ključeva (PKI), koja je dio internetske sigurnosti od sredine 90-ih. PKI je prvotno uveden, a zatim poboljšan tijekom razdoblja od 25 godina kako bi korisnicima i izdavačima pružio sljedeća jamstva:

• Privatnost u komunikaciji između preglednika i web-mjesta : Preglednici i web-mjesta komuniciraju putem interneta i mreža kojom upravljaju davatelji internetskih usluga i Tier 1 operateri ili davatelji mobilnih telefona ako je uređaj mobilni. Sama mreža nije sama po sebi sigurna niti pouzdana. Vaš radoznali ISP kod kuće, putnik u čekaonici u zračnoj luci čekajući vaš let ili posrednik podataka koji želi prodati kontakte oglašivačima možda bi vas htjeli špijunirati. Bez ikakve zaštite, zlonamjerni bi akter mogao vidjeti osjetljive podatke kao što su lozinka, stanje vaše kreditne kartice ili zdravstveni podaci.
• Provjerite vidite li stranicu točno onako kako vam ju je web-mjesto poslalo: kada pregledavate web-stranicu, je li možda došlo do diranja između izdavača i vašeg preglednika? Cenzor će možda htjeti ukloniti sadržaj koji ne želite da vidite. Sadržaj označen kao “dezinformacija” bio je uglavnom potisnut tijekom histerije s Covidom. Haker koji je ukrao vašu kreditnu karticu možda želi ukloniti dokaze o svojim lažnim terećenjima.
• Provjerite je li web stranica koju vidite zapravo ona prikazana na traci lokacije preglednika : Kada se povežete s bankom, kako znate da vidite web stranicu te banke, a ne lažnu verziju koja izgleda identično? Provjerite lokacijsku traku u pregledniku. Može li se vaš preglednik prevariti da vam prikaže lažnu web stranicu koja izgleda identično stvarnoj? Kako vaš preglednik sa sigurnošću zna da je povezan na pravo web mjesto?

U ranim danima Interneta nijedno od ovih jamstava nije postojalo. U 2010. dodatak za preglednik dostupan u trgovini dodataka omogućio je pridruživanje Facebook grupnom chatu drugog korisnika u vrućoj točki kafića. Danas, zahvaljujući PKI-ju, možete biti prilično sigurni u te stvari.

Ove sigurnosne značajke zaštićene su sustavom koji se temelji na digitalnim certifikatima. Digitalni certifikati su vrsta ID-a – internetska verzija vozačke dozvole. Kada se preglednik poveže s web-mjestom, web-mjesto pregledniku predstavlja certifikat. Certifikat sadrži kriptografski ključ. Preglednik i web stranica rade zajedno koristeći niz kriptografskih izračuna za uspostavljanje sigurne komunikacije.

Zajedno, preglednik i web stranica pružaju tri sigurnosna jamstva:

• Zaštita podataka : šifriranjem razgovora.
• Kriptografski digitalni potpisi : kako bi se osiguralo da se sadržaj ne mijenja tijekom prijenosa.
• Provjera izdavača : kroz lanac povjerenja koji pruža PKI, o čemu ću detaljnije govoriti u nastavku.

Dobar identitet trebalo bi biti teško lažirati. U davna vremena u tu svrhu služio je voštani otisak pečata. Identitet ljudi temelji se na biometrijskim karakteristikama. Vaše lice je jedan od najstarijih oblika. U nedigitalnom svijetu od vas će se tražiti identifikacijska isprava s fotografijom ako trebate pristup području s dobnim ograničenjem, npr. B. kada naručite alkoholno piće.

Još jedna biometrijska značajka prije digitalizacije bila je usporedba vašeg svježeg potpisa s originalnim potpisom na poleđini vaše osobne iskaznice. Kako ove starije oblike biometrije postaje lakše krivotvoriti, provjera ljudskog identiteta se prilagodila. Danas je uobičajeno da vam banka pošalje validacijski kod na vaš mobilni telefon. Aplikacija zahtijeva da dovršite biometrijsku provjeru identiteta na svom mobilnom telefonu kako biste vidjeli kod, npr. B. prepoznavanje lica ili vaš otisak prsta.

Osim biometrijskih značajki, drugi čimbenik koji identifikaciju čini pouzdanom je izdavatelj identifikacijske iskaznice. Općeprihvaćene osobne iskaznice ovise o sposobnosti izdavatelja da potvrdi da je osoba koja se prijavljuje za osobnu iskaznicu ona za koju se predstavlja. Većinu najprihvaćenijih osobnih iskaznica izdaju državna tijela, kao što su: B. sa Zavoda za motorna vozila. Ako tijelo izdavanje ima pouzdane načine praćenja tko su i gdje su dotične osobe, kao što su: Primjerice, uplaćeni porez, dokaz o zaposlenju ili korištenju usluga vodoopskrbe, tada postoji velika vjerojatnost da će tijelo moći provjeriti je li osoba navedena na osobnoj iskaznici ta osoba.

U online svijetu, u većini slučajeva, vlade nisu sudjelovale u provjeri identiteta. Certifikate izdaju tvrtke iz privatnog sektora poznate kao certifikacijska tijela (CA). Dok su certifikati prije bili prilično skupi, sada su naknade toliko pale da su neki od njih besplatni. Najpoznatiji CA-ovi su Verisign, DigiCert i GoDaddy. Ryan Hurst pokazuje da sedam glavnih CA-ova (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft i IdenTrust) izdaju 99% svih certifikata.

Preglednik će prihvatiti certifikat kao dokaz identiteta samo ako polje imena certifikata odgovara nazivu domene koji preglednik prikazuje u adresnoj traci. Čak i ako se imena podudaraju, osigurava li to da certifikat koji kaže “apple.com” pripada tvrtki za potrošačku elektroniku Apple, Inc.? Sustavi identiteta nisu otporni na metke. Maloljetnici mogu dobiti lažne osobne iskaznice. Poput ljudskih ID-ova, digitalni certifikati mogu biti krivotvoreni ili na drugi način nevažeći. Programer softvera koji koristi besplatne alate otvorenog koda može stvoriti digitalni certifikat pod nazivom “apple.com” s nekoliko Linux naredbi.

PKI sustav oslanja se na tijela za izdavanje certifikata koja izdaju svaki certifikat samo vlasniku web stranice. Tijek rada za dobivanje certifikata je sljedeći:

1. Izdavač web stranice traži certifikat za domenu od svog željenog tijela za izdavanje certifikata.
2. CA provjerava dolazi li zahtjev za certifikatom od stvarnog vlasnika web stranice. Kako CA to utvrđuje? CA zahtijeva da podnositelj zahtjeva objavi određeni sadržaj na određenom URL-u. Mogućnost da se to učini dokazuje da institucija ima kontrolu nad web stranicom.
3. Nakon što web-mjesto dokaže vlasništvo nad domenom, CA dodaje kriptografski digitalni potpis certifikatu pomoću vlastitog privatnog kriptografskog ključa. Potpis identificira CA kao izdavatelja.
4. Potpisani certifikat šalje se osobi ili instituciji koja podnosi zahtjev.
5. Izdavač instalira svoj certifikat na svoje web mjesto kako bi ga preglednici mogli vidjeti.

Kriptografski digitalni potpisi su “matematički postupak za provjeru autentičnosti digitalnih poruka ili dokumenata.” Nisu isto što i online potpisivanje dokumenata koje pružaju DocuSign i slični pružatelji usluga. Kad bi se potpis mogao krivotvoriti, potvrde ne bi bile vjerodostojne. S vremenom je veličina kriptografskih ključeva povećana kako bi se otežalo krivotvorenje. Istraživači kriptografije vjeruju da je trenutne potpise nemoguće krivotvoriti u praksi. Još jedna ranjivost je ta što su tajni ključevi CA-a ukradeni. Lopov je tada mogao stvoriti valjane potpise iz tog autoriteta za izdavanje certifikata.

Nakon što je certifikat instaliran, koristi se prilikom postavljanja web razgovora. Registar objašnjava kako:

Ako je certifikat izdalo poznato dobro tijelo za izdavanje certifikata i svi podaci su točni, web mjesto je pouzdano i preglednik pokušava uspostaviti sigurnu, šifriranu vezu s web mjestom tako da vaša aktivnost na web mjestu nije vidljiva prisluškivaču na mreži . Ako je certifikat izdao nepouzdani autoritet za izdavanje certifikata, certifikat ne odgovara adresi web stranice ili su neki detalji netočni, preglednik će odbiti web mjesto jer se boji da se neće povezati sa stvarnim web mjestom koje korisnik želi posjetiti.

Možemo vjerovati pregledniku jer preglednik vjeruje web stranici. Preglednik vjeruje web stranici jer je certifikat izdao “poznati dobar” CA. Ali što je “poznato dobar CA”? Većina preglednika oslanja se na CA-ove koje pruža operativni sustav. Popis pouzdanih CA-ova određuju proizvođači uređaja i softvera. Glavni proizvođači računala i uređaja—Microsoft, Apple, proizvođači Android telefona i distributeri Linuxa otvorenog koda—daju operativnim sustavima svojih uređaja skup korijenskih certifikata.

Ovi certifikati identificiraju certifikacijska tijela koja su provjerili i koja smatraju pouzdanima. Ova zbirka korijenskih certifikata naziva se “skladište povjerenja”. Windows računalo na kojem pišem ovaj članak ima 70 korijenskih certifikata u svojoj Trusted Root Certificate Store, da dam primjer blizak meni. Appleovo web mjesto za podršku navodi sve korijenske certifikate kojima Sierra verzija macOS-a vjeruje.

Kako proizvođači računala i telefona odlučuju koja su tijela za izdavanje certifikata pouzdana? Imaju programe revizije i usklađenosti za procjenu kvalitete certifikacijskih tijela. Samo oni koji prođu bit će primljeni. Vidi npr. B. preglednik Chrome (koji pruža vlastitu pohranu povjerenja i ne koristi onu prisutnu na uređaju). EFF (koji sebe opisuje kao “vodeću neprofitnu organizaciju koja brani građanske slobode u digitalnom svijetu”) objašnjava ovo:

Preglednici koriste “korijenske programe” za nadzor sigurnosti i pouzdanosti tijela za izdavanje certifikata kojima vjeruju. Ovi korijenski programi nameću brojne zahtjeve u rasponu od načina na koji ključni materijal mora biti osiguran, do toga kako se kontrola naziva domene mora potvrditi, do toga koji će se algoritmi koristiti za potpisivanje certifikata koji moraju biti dovoljni.

Nakon što pružatelj prihvati tijelo za izdavanje certifikata, pružatelj ga nastavlja nadzirati. Pružatelji će ukloniti CA-ove iz povjerljive trgovine ako CA ne ispunjava potrebne sigurnosne standarde. Tijela za izdavanje certifikata mogu pogriješiti ili propasti iz drugih razloga, što god se dogodilo. Registar izvještava:

Certifikati i CA-ovi koji ih izdaju nisu uvijek pouzdani, a proizvođači preglednika su tijekom godina uklonili CA korijenske certifikate iz CA-ova sa sjedištem u Turskoj, Francuskoj, Kini, Kazahstanu i drugim zemljama kada se utvrdi da je tijelo ili strana koja ih je izdala s njom povezan presreo je web promet.

Godine 2022. istraživač Ian Carroll izvijestio je o sigurnosnim problemima s certifikacijskim tijelom e-Tugra. Carroll je “našao niz alarmantnih problema koji me zabrinjavaju u vezi sa sigurnosnim praksama unutar tvrtke”, kao što su slabe vjerodajnice. Carrollova izvješća potvrdili su glavni proizvođači softvera. Kao rezultat toga, e-Tugra je uklonjena iz njihovih pouzdanih spremišta certifikata.

Timeline of Certificate Authority Failures izvještava o drugim takvim incidentima.

Još uvijek postoje neke poznate rupe u PKI-ju kakav trenutno postoji. Budući da je određeno pitanje važno za razumijevanje članka 45. eIDAS-a, objasnit ću ga u nastavku. Povjerenje u CA nije ograničeno na web stranice koje posluju s tim CA. Preglednik prihvaća certifikat bilo kojeg pouzdanog tijela za izdavanje certifikata za bilo koje web mjesto. Ništa ne sprječava CA da lošem akteru izda web stranicu koju nije zatražio vlasnik web stranice. Takva bi potvrda bila lažna u pravnom smislu jer je izdana osobi kojoj pripada. Međutim, sadržaj certifikata bio bi tehnički valjan iz perspektive preglednika.

Kad bi postojao način povezivanja svake web stranice s željenim tijelom za izdavanje certifikata, onda bi svaki certifikat za to web mjesto od drugog tijela za izdavanje certifikata odmah bio prepoznat kao lažan. Pričvršćivanje certifikata još je jedan standard koji čini korak u tom smjeru. Ali kako se ovo pripisivanje objavljuje i kako se tom izdavaču može vjerovati?

Na svakoj razini ovog procesa tehničko rješenje oslanja se na vanjski izvor povjerenja. Ali kako se to povjerenje uspostavlja? Oslanjajući se na još pouzdaniji izvor na sljedećoj razini? Ovo pitanje ilustrira prirodu problema. PKI ima jednu kornjaču na dnu: ugled, vidljivost i transparentnost sigurnosne industrije i njezinih kupaca. Povjerenje se na ovoj razini stvara stalnim nadzorom, otvorenim standardima, programerima i certifikacijskim tijelima.

Lažni certifikati su već izdani. Godine 2013. ArsTechnica je izvijestila da je jedna francuska agencija uhvaćena u kovanju SSL certifikata lažno predstavljajući se kao Google:

U 2011. sigurnosni istraživači otkrili su lažni certifikat za Google.com koji je napadačima omogućio da oponašaju uslugu e-pošte i druge ponude stranice. Lažni certifikat nastao je nakon što su napadači probili sigurnost nizozemske tvrtke DigiNotar i preuzeli kontrolu nad njezinim sustavima za izdavanje certifikata.

Certifikate Secure Sockets Layer (SSL) digitalno je potpisao važeći autoritet za izdavanje certifikata… Zapravo, certifikati su bili neovlašteni duplikati izdani u suprotnosti s pravilima koje su postavili proizvođači preglednika i autoriteti za izdavanje certifikata.

Može doći do lažnog izdavanja certifikata. Lažni CA može ga izdati, ali neće daleko stići. Loš certifikat je otkriven. Lažni CA se neće pridržavati programa usklađenosti i bit će uklonjen iz pouzdanih repozitorija. Bez prihvaćanja, certifikacijsko tijelo će morati prestati s radom. Certificate Transparency, noviji standard, omogućuje brže otkrivanje lažnih certifikata.

Zašto bi CA postao skitnica? Kakvu prednost negativac može dobiti od neovlaštenog certifikata? Nema puno posla sa samim certifikatom, čak i ako ga je potpisalo pouzdano tijelo za izdavanje certifikata. Međutim, ako se negativac može udružiti s ISP-om ili na neki drugi način pristupiti mreži koju koristi preglednik, certifikat mu daje mogućnost zaobići sva sigurnosna jamstva PKI-ja.

Haker bi mogao izvesti napad čovjeka u sredini (MITM) na razgovor. Napadač bi se mogao infiltrirati između preglednika i stvarne web stranice. U ovom scenariju, korisnik bi razgovarao izravno s napadačem, a napadač bi proslijedio sadržaj naprijed-natrag pravoj web stranici. Napadač bi lažni certifikat prikazao pregledniku. Budući da ga je potpisao pouzdani autoritet za izdavanje certifikata, preglednik bi ga prihvatio. Napadač je mogao vidjeti i čak promijeniti podatke koje je poslala bilo koja strana prije nego što ih je druga strana primila.

Sada dolazimo do zlokobnog EU-ovog eIDAS-a, Članak 45. Ova predložena uredba zahtijeva od svih preglednika da vjeruju košarici certifikata od certifikacijskih tijela koje je imenovala EU. Dvadeset sedam, da budemo precizni: po jedan za svaku zemlju članicu. Ove bi se potvrde trebale zvati Kvalificirani certifikati za provjeru autentičnosti web stranice . Akronim “QWAC” ima nesretnu konotaciju nadriliječništva – ili nas možda EU samo pokušava prevariti.

QWAC-ove bi izdale ili vladine agencije ili ono što Michael Rectenwald naziva “vladinim tijelima”: “korporacije i tvrtke i drugi pomoćni organi države koji se inače opisuju kao ‘privatni’, ali u stvarnosti funkcioniraju kao državni aparati jer su vladini. Provedba narativa i diktira.”

Ovaj bi sustav doveo vlade država članica EU korak bliže točki u kojoj bi mogle izvoditi napade čovjeka u sredini protiv vlastitih građana. Također bi im se morao omogućiti pristup mrežama. Vlade imaju mogućnost to učiniti. Ako je ISP državna tvrtka, onda ga već imaju. Ako su pružatelji internetskih usluga privatne tvrtke, lokalne vlasti mogu koristiti policijske ovlasti za dobivanje pristupa.

Jedna točka koja nije istaknuta u javnoj raspravi je da će preglednik u jednoj od 27 država članica EU morati prihvatiti svaki pojedini QWAC, po jedan iz svake članice EU. To znači da bi preglednik u Španjolskoj, na primjer, morao vjerovati QWAC-u iz objekata u Hrvatskoj, Finskoj i Austriji. Španjolski korisnik koji posjećuje austrijsku web stranicu morao bi proći kroz austrijske dijelove Interneta. Gore navedena pitanja odnosila bi se na sve zemlje unutar EU-a.

Registar objašnjava jedan od mogućih postupaka u članku pod naslovom Bad eIDAS: Europa je spremna presresti i špijunirati vaše šifrirane HTTPS veze:

Vlada može zatražiti od svog prijateljskog tijela za izdavanje certifikata kopiju [QWAC] certifikata kako bi mogla lažno predstavljati web mjesto – ili može zatražiti drugi certifikat kojem preglednici vjeruju i prihvaćaju ga za web mjesto. To vladi omogućuje korištenje napada čovjeka u sredini za presretanje i dešifriranje šifriranog HTTPS prometa između web stranice i njegovih korisnika, dopuštajući režimu da pomno prati što korisnici rade na toj web stranici u svakom trenutku.

Nakon što se probije enkripcijski štit, nadzor bi se mogao sastojati od pohranjivanja korisničkih lozinki i njihovog korištenja u neko drugo vrijeme za pristup računima e-pošte građana. Osim nadzora, vlade bi također mogle same mijenjati sadržaj. Na primjer, mogli bi ukloniti sadržaj koji žele cenzurirati. Mogli bi označiti različita mišljenja teškim državnim provjerama činjenica i upozorenjima o sadržaju.

Kako stvari trenutno stoje, tijela za izdavanje certifikata moraju zadržati povjerenje zajednice preglednika. Trenutačno preglednici upozoravaju korisnike kada web-mjesto prikazuje certifikat koji je istekao ili je na drugi način nepouzdan. Prema članku 45. zabranjeno bi bilo upozoravanje ili isključenje zlouporabe povjerenja. Ne samo da preglednici moraju vjerovati QWAC-ovima, već članak 45 zabranjuje preglednicima prikazivanje upozorenja da postoji certifikat potpisan od strane QWAC-a.

Last Chance for eIDAS (web stranica s logotipom Mozilla) zagovara članak 45:

Svaka država članica EU-a ima mogućnost odrediti kriptografske ključeve za distribuciju u web preglednicima, a preglednicima je zabranjeno opozivati ​​povjerenje u te ključeve bez odobrenja vlade.

… Ne postoji neovisna provjera ili ravnoteža odluka koje donose države članice u vezi s ključevima koje odobravaju i njihovom upotrebom. Ovo je posebno zabrinjavajuće s obzirom na to da poštivanje vladavine prava nije ujednačeno u svim državama članicama i da postoje dokumentirani slučajevi prisile tajne policije u političke svrhe.

U otvorenom pismu koje je potpisalo nekoliko stotina sigurnosnih istraživača i informatičara:

Članak 45. također zabranjuje sigurnosne provjere EU web certifikata, osim ako to nije izričito dopušteno uredbom, prilikom uspostavljanja kriptiranih internetskih veza. Umjesto postavljanja skupa minimalnih sigurnosnih mjera koje će se provoditi kao osnove, on zapravo postavlja ograničenje sigurnosnih mjera koje se ne mogu poboljšati bez odobrenja ETSI-ja. To je u suprotnosti s utvrđenim globalnim normama prema kojima se nove tehnologije kibernetičke sigurnosti razvijaju i postavljaju kao odgovor na brzi tehnološki razvoj.

Većina nas oslanja se na naše pružatelje usluga da sastave naš popis pouzdanih certifikacijskih tijela. Međutim, kao korisnik, možete dodati ili ukloniti certifikate po želji na svojim uređajima. Microsoft Windows ima alat koji to omogućuje. U Linuxu su korijenski certifikati datoteke smještene u jednom direktoriju. CA se može učiniti nepouzdanim jednostavnim brisanjem datoteke. Hoće li i ovo biti zabranjeno? Steve Gibson, poznati sigurnosni stručnjak, kolumnist i voditelj dugogodišnjeg podcasta Security Now, postavlja ovo pitanje:

Međutim, EU navodi da su preglednici obavezni prepoznati ta nova, neprovjerena i neprovjerena tijela za izdavanje certifikata, a time i sve certifikate koje su izdali, bez iznimke i bez prava. Znači li to da moj Firefox ima zakonsku obvezu odbiti moj pokušaj uklanjanja ovih certifikata?

Gibson napominje da neke tvrtke provode sličan nadzor svojih zaposlenika unutar vlastite privatne mreže. Bez obzira što netko mislio o ovim radnim uvjetima, u nekim industrijama postoje legitimni razlozi za revizije i usklađenost kako bi se pratilo i bilježilo što zaposlenici rade s resursima tvrtke. Ali, nastavlja Gibson,

Problem je u tome što se EU i njezine članice jako razlikuju od zaposlenika privatne tvrtke. Ako zaposlenik ne želi da ga se špijunira, može upotrijebiti vlastiti pametni telefon kako bi zaobišao mrežu svog poslodavca. I naravno, privatna mreža poslodavca je upravo to: privatna mreža. EU to želi učiniti za cijeli javni internet, od kojeg nema bijega.

Sada smo utvrdili radikalnu prirodu ovog prijedloga. Vrijeme je da se zapitamo koje razloge Europska komisija daje za ovu promjenu. EK kaže da provjera identiteta kao dio PKI nije dovoljna. I da su te promjene nužne za njihovo poboljšanje.

Ima li istine u tvrdnjama Komisije? Trenutačni PKI, u većini slučajeva, samo zahtijeva od podnositelja zahtjeva da dokaže kontrolu nad web stranicom. Iako to nije loša stvar, to ne jamči da web adresa “apple.com”, na primjer, pripada tvrtki za potrošačku elektroniku Apple Inc., sa sjedištem u Cupertinu, Kalifornija. Zlonamjerni korisnik mogao bi dobiti valjani certifikat za domenu koja podsjeća na naziv poznate tvrtke. Valjani certifikat mogao bi se koristiti u napadu koji se oslanja na to da neki korisnici ne gledaju dovoljno pažljivo da bi primijetili da se ime ne podudara. To se dogodilo pružatelju usluga plaćanja Stripe.

Za izdavače koji žele dokazati svijetu da su doista ista tvrtka, neka certifikacijska tijela ponudila su certifikate proširene valjanosti (EV). “Poboljšani” dio sastoji se od dodatnih provjera same tvrtke, kao što su: B. poslovnu adresu, radni telefonski broj, poslovnu dozvolu ili osnivanje i druge atribute tipične za postojeću tvrtku. Električna vozila navedena su po višoj cijeni jer zahtijevaju više posla za certifikacijsko tijelo.

Prije su preglednici prikazivali istaknute vizualne povratne informacije za EV, kao što su: B. drugu boju ili robusniji simbol brave. Posljednjih godina električna vozila nisu posebno popularna na tržištu. Uglavnom su nestali. Mnogi preglednici više ne prikazuju različite povratne informacije.

Unatoč ranjivostima koje još uvijek postoje, PKI se značajno poboljšao tijekom vremena. Nakon što se saznalo za ranjivosti, one su popravljene. Kriptografski algoritmi su ojačani, upravljanje je poboljšano, a ranjivosti su eliminirane. Upravljanje kroz konsenzus sudionika u industriji funkcioniralo je prilično dobro. Sustav će se i dalje razvijati, kako tehnološki tako i institucionalno. Izuzev regulatornog uplitanja, nema razloga očekivati ​​drugačije.

Naučili smo iz blijede povijesti električnih vozila da tržište nije toliko zainteresirano za provjeru korporativnog identiteta. Međutim, ako korisnici Interneta to žele, ne bi morali uništavati postojeći PKI da bi im ga dali. Nekoliko malih promjena postojećih radnih procesa bilo bi dovoljno. Neki komentatori su predložili promjenu TLS rukovanja; web stranica bi pružila dodatnu potvrdu. Primarni certifikat bi radio kao i prije. Sekundarni certifikat, potpisan od strane QWAC-a, implementirao bi dodatne standarde identiteta koje traži Europska komisija.

Navodni razlozi Europske komisije za eIDAS jednostavno nisu vjerodostojni. Ne samo da su navedeni razlozi neuvjerljivi, Europska komisija se ne zamara uobičajenim licemjernim kukanjem o tome kako moramo žrtvovati važne slobode u ime sigurnosti jer imamo posla s ozbiljnom prijetnjom [odaberite jedan] Trgovine ljudima, sigurnost djeteta, pranje novca, utaja poreza ili (moj osobni favorit) klimatske promjene. Ne može se poreći da nas EU obmanjuje.

Ako EU ne otkrije svoje prave motive, što želi? Gibson vidi podlu namjeru:

I postoji samo jedan mogući razlog zašto [prisiljavaju preglednike da vjeruju QWAC-ovima], a to je prisluškivanje internetskog prometa dok radi, baš kao što se događa u tvrtkama. I to se zna.

(Ono što Gibson misli pod “prisluškivanjem internetskog prometa” je MITM napad opisan gore.) Drugi komentari su istaknuli zlokoban utjecaj na slobodu govora i političke prosvjede. Hurst u dugom eseju raspravlja o opasnosti od klizanja:

Kada liberalna demokracija usvoji ovu vrstu kontrole nad tehnologijom na Internetu, bez obzira na njezine posljedice, postavlja temelje da autoritarnije vlade nekažnjeno slijede taj primjer.

Mozilla citirana u Techdirt-u (bez veze na original) kaže manje-više istu stvar:

Prisiljavanje preglednika da automatski vjeruju certifikacijskim tijelima koja podupiru država ključna je taktika autoritarnih režima, a te bi aktere ohrabrio legitimirajući učinak mjera EU-a…

Gibson iznosi slično opažanje:

A tu je i vrlo stvarna sablast koja će još vrata otvoriti: ako EU pokaže ostatku svijeta da može uspješno diktirati uvjete povjerenja za neovisne web preglednike koje koriste njezini građani, koje će druge zemlje slijediti taj primjer Slijediti zakone? Sada svatko može jednostavno zatražiti dodavanje certifikata svoje zemlje. Ovo nas vodi u potpuno pogrešnom smjeru.

Predloženi članak 45. predstavlja napad na privatnost korisnika u zemljama EU. Ako se usvoji, to bi predstavljalo veliki korak nazad ne samo za internetsku sigurnost, već i za uspostavljeni sustav upravljanja. Slažem se sa Steveom Gibsonom:

Ono što je potpuno nejasno, a što nigdje nisam našao, jest objašnjenje ovlasti s kojom EU vjeruje da može diktirati dizajn softvera drugih organizacija. Jer upravo se na to svodi.

Reakcija na predloženi članak 45. bila je izrazito negativna. EFF piše da će članak 45. unazaditi sigurnost weba za 12 godina: “Ovo je katastrofa za privatnost svih korisnika interneta, ali posebno za one koji koriste internet u EU.”

eIDAS napor je četverostruka crvena zastavica za sigurnosnu zajednicu. Mozilla – proizvođač web preglednika otvorenog koda Firefox – objavila je zajedničku izjavu industrije u kojoj se protivi tom potezu. Izjavu potpisuju brojne tvrtke za internetsku infrastrukturu, uključujući samu Mozillu, Cloudflare, Fastly i Linux Foundation.

Iz gore navedenog otvorenog pisma:

Nakon čitanja gotovo konačnog teksta, vrlo smo zabrinuti zbog predloženog teksta za članak 45. Trenutačni prijedlog radikalno proširuje mogućnost vlada da nadziru svoje građane i stanovnike diljem EU-a dajući im tehnička sredstva za presretanje kriptiranog internetskog prometa te potkopava postojeće mehanizme kontrole na koje se europski građani oslanjaju.

Kamo će ovo dovesti? Propis se već neko vrijeme predlaže. Konačna odluka zakazana je za studeni 2023. Web istraživanja pokazuju da od tada nije bilo novih informacija o ovoj temi.

Posljednjih godina pojačana je totalna cenzura u svim oblicima. Tijekom ludila Covida, vlada i industrija udružili su snage kako bi stvorili cenzurno-industrijski kompleks koji bi mogao učinkovitije širiti krivo predstavljanje i suzbijati neslaganje. Posljednjih su godina skeptici i neovisni glasovi uzvratili udarac, na sudu i stvaranjem platformi neutralnih prema stajalištima.

Iako cenzura izražavanja ostaje velika prijetnja, prava pisaca i novinara bolje su zaštićena od mnogih drugih prava. U Sjedinjenim Državama Prvi amandman izričito štiti slobodu govora i slobodu kritiziranja vlade. Sudovi mogu smatrati da su sva prava ili slobode koja nisu zaštićena vrlo određenim zakonskim jezikom poštena igra. To je možda razlog zašto je otpor imao više uspjeha kada je riječ o slobodi govora nego drugi pokušaji da se zaustave druge zlouporabe moći, poput karantene i zatvaranja stanovništva.

Umjesto dobro branjenog protivnika, vlade premještaju svoje napade na druge razine internetske infrastrukture. Ove usluge, kao npr Neke usluge, poput registracije domena, DNS-a, certifikata, procesora plaćanja, hostinga i trgovina aplikacijama, uglavnom se sastoje od privatnih tržišnih transakcija. Te su usluge daleko manje zaštićene od govora jer u većini slučajeva nitko nema pravo kupiti određenu uslugu od određene tvrtke. Javnost manje razumije tehničke usluge poput DNS-a i PKI-ja od objavljivanja na internetu.

PKI sustav posebno je osjetljiv na napade jer radi na temelju reputacije i konsenzusa. Ne postoji jedinstvena vlast koja kontrolira cijeli sustav. Akteri moraju steći svoju reputaciju kroz transparentnost, usklađenost i pošteno izvješćivanje o pogreškama. A to ga čini ranjivim na ove vrste razornih napada. Ako PKI padne na regulatore u EU, očekujem da će i druge zemlje slijediti. Nije samo PKI u opasnosti. Nakon što se dokaže da regulatori mogu ciljati druge slojeve skupa, oni će također biti ciljani.