EU chce špehovat používání internetu Evropany

Projekt Evropská komise je legislativní orgán EU s regulační pravomocí v oblasti digitálních technologií. Článek 45 eIDAS Evropské komise, navrhované nařízení, by záměrně oslabil oblasti internetové bezpečnosti, které toto odvětví pečlivě vyvíjelo a posilovalo více než 25 let. Tento článek by fakticky udělil vládám 27 EU značně rozšířené pravomoci dohledu nad používáním internetu. 

Pravidlo by vyžadovalo, aby všechny internetové prohlížeče důvěřovaly dalšímu kořenovému certifikátu od agentury (nebo regulovaného subjektu) každé z národních vlád každého z členských států EU. Pro netechnické čtenáře vysvětlím, co je kořenový certifikát, jak se vyvíjela internetová důvěra a co s tím dělá článek 45. A pak zvýrazním některé komentáře technické komunity k této záležitosti. 

Další část tohoto článku vysvětlí, jak funguje důvěryhodná infrastruktura internetu. Toto pozadí je nezbytné k tomu, abychom pochopili, jak radikální je navrhovaný článek. Vysvětlení má být přístupné i netechnickému čtenáři.

Předmětné nařízení řeší internetovou bezpečnost. Zde „internet“ znamená z velké části prohlížeče navštěvující webové stránky. Internetová bezpečnost se skládá z mnoha odlišných aspektů. Článek 45 má v úmyslu změnit infrastruktura veřejného klíče (PKI), součást internetové bezpečnosti od poloviny 90. let. PKI byla nejprve přijata a poté během 25 let vylepšována, aby uživatelům a vydavatelům poskytla následující záruky: 

• Ochrana osobních údajů konverzace mezi prohlížečem a webem: Prohlížeče a webové stránky konverzují přes internet, síť sítí provozovaných společností Poskytovatelé internetových služeb, a Dopravci úrovně 1Nebo buněčné nosiče pokud je zařízení mobilní. Síť sama o sobě není bezpečná ani důvěryhodná. Vaše zvědavý domácí ISP, cestovatel v letištní hale kde čekáte na svůj let, popř prodejce dat, který chce prodat potenciální zákazníky inzerentům možná tě bude chtít špehovat. Bez jakékoli ochrany by špatný herec mohl zobrazit důvěrná data, jako je heslo, zůstatek na kreditní kartě nebo zdravotní informace. 
• Zaručte, že si stránku prohlížíte přesně tak, jak vám ji web poslal: Když si prohlížíte webovou stránku, mohlo dojít k neoprávněné manipulaci mezi vydavatelem a vaším prohlížečem? Cenzor může chtít odstranit obsah, který nechce, abyste viděli. Obsah označený jako „dezinformace“ byl během covid hysterie široce potlačován. Hacker, který vám ukradl kreditní kartu, může chtít odstranit důkazy o svých podvodných poplatcích. 
• Zaručte, že webová stránka, kterou vidíte, je skutečně ta v liště umístění prohlížeče: Když se připojíte k bance, jak poznáte, že vidíte web této banky, nikoli falešnou verzi, která vypadá stejně? Zkontrolujete panel umístění v prohlížeči. Mohl by být váš prohlížeč oklamán, aby vám ukázal falešnou webovou stránku, která se jeví jako identická s tou skutečnou? Jak váš prohlížeč s jistotou ví, že je připojen ke správnému webu? 

V počátcích internetu žádná z těchto záruk neexistovala. V roce 2010, plugin prohlížeče dostupný v obchodě s doplňky umožnil uživateli účastnit se skupinového chatu na Facebooku někoho jiného v kavárně hotspot. Nyní – díky PKI si můžete být těmito věcmi docela jisti. 

Tyto bezpečnostní prvky jsou chráněny systémem založeným na digitální certifikáty. Digitální certifikáty jsou formou ID – internetovou verzí řidičského průkazu. Když se prohlížeč připojí k webu, web předloží prohlížeči certifikát. Certifikát obsahuje kryptografický klíč. Prohlížeč a webová stránka spolupracují se sérií kryptografických výpočtů pro nastavení zabezpečené komunikace.

Prohlížeč a web společně poskytují tři záruky zabezpečení:

• soukromí: zašifrováním konverzace.
• kryptografické digitální podpisy: to zajistit obsah se za letu nemění. 
• ověření vydavatele: prostřednictvím řetězce důvěry poskytovaného PKI, který podrobněji vysvětlím níže. 

Dobrá identita by se měla obtížně padělat. Ve starověkém světě, voskový odlitek pečeti sloužil tomuto účelu. Identity pro lidi se spoléhaly na biometrii. Vaše tvář je jednou z nejstarších forem. Když v nedigitálním světě potřebujete získat přístup k nastavení s věkovým omezením, jako je objednávka alkoholického nápoje, budete požádáni o průkaz totožnosti s fotografií.

Další biometrií z doby před digitální érou bylo porovnání vašeho čerstvého podpisu perem a inkoustem s vaším původním podpisem na zadní straně vašeho průkazu totožnosti. Vzhledem k tomu, že tyto starší typy biometrických údajů se stávají snadněji padělatelné, přizpůsobilo se ověřování lidské identity. Nyní je běžné, že vám banka pošle ověřovací kód na váš mobil. Aplikace vyžaduje, abyste na svém mobilním telefonu prošli biometrickou kontrolou identity, abyste viděli kód, jako je rozpoznání obličeje nebo otisk prstu. 

Kromě biometrických údajů je druhým faktorem, který činí ID důvěryhodným, vydavatel. Identifikátory, které jsou široce akceptovány, závisí na schopnosti vydavatele ověřit, že osoba žádající o ID je tím, za koho se vydává. Většinu široce přijímaných forem ID vydávají vládní agentury, jako je ministerstvo motorových vozidel. Pokud má vydávající agentura spolehlivé prostředky ke sledování toho, kdo a kde jsou její subjekty, jako jsou platby daní, záznamy o zaměstnání nebo využívání vodohospodářských služeb, pak je velká šance, že agentura může ověřit, že osoba uvedená na průkazu totožnosti je ta osoba.

V online světě se vlády z velké části nezapojují do ověřování identity. Certifikáty vydávají firmy ze soukromého sektoru známé jako certifikační autority (CA). Zatímco certifikáty byly dříve poměrně drahé, poplatky výrazně klesly do bodu, kdy některé jsou zdarma. Nejznámější CA jsou Verisign, DigiCert a GoDaddy. Ryan Hurst ukazuje sedm hlavních CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft a IdenTrust) vydává 99 % všech certifikátů.

Prohlížeč přijme certifikát jako doklad totožnosti pouze v případě, že pole názvu na certifikátu odpovídá názvu domény, který prohlížeč zobrazuje v adresním řádku. I když se jména shodují, dokazuje to, že certifikát říká „apple.com” patří do oblasti spotřební elektroniky známé jako Apple, Inc.? Ne. Systémy identity nejsou neprůstřelné. Nezletilí pijáci může získat falešné ID. Stejně jako lidská ID mohou být digitální certifikáty také falešné nebo neplatné z jiných důvodů. Softwarový inženýr pomocí bezplatných nástrojů s otevřeným zdrojovým kódem může vytvořit digitální certifikát s názvem „apple.com“. několik linuxových příkazů. 

Systém PKI spoléhá na to, že certifikační autority vydávají jakýkoli certifikát pouze vlastníkovi webu. Pracovní postup pro získání certifikátu vypadá takto:

1. Vydavatel webových stránek požádá svou preferovanou CA o certifikát, pro doménu. 
2. CA ověří, že žádost o certifikát pochází od skutečného vlastníka tohoto webu. Jak to CA zjistí? CA požaduje, aby subjekt, který žádost podává, zveřejnil konkrétní část obsahu na konkrétní adrese URL. Schopnost tak učinit prokazuje, že subjekt má kontrolu nad webem.
3. Jakmile web prokáže vlastnictví domény, CA připojí a kryptografický digitální podpis k certifikátu pomocí vlastního soukromého kryptografického klíče. Podpis identifikuje CA jako vydavatele. 
4. Podepsaný certifikát je předán osobě nebo subjektu, který žádá. 
5. Vydavatel nainstaluje svůj certifikát na své webové stránky, takže může být předložen prohlížečům. 

Kryptografické digitální podpisy jsou „matematickým schématem pro ověřování pravosti digitálních zpráv nebo dokumentů“. Nejsou to samé jako online podepisování dokumentů poskytované společností DocuSign a podobnými dodavateli. Pokud by bylo možné podpis zfalšovat, pak by certifikáty nebyly důvěryhodné. Postupem času se velikost kryptografických klíčů zvětšila s cílem ztížit padělání. Výzkumníci v oblasti kryptografie se domnívají, že současné podpisy v praxi nelze zfalšovat. Další zranitelnost je, když jsou CA odcizeny její tajné klíče. Zloděj by pak mohl vytvořit platné podpisy této CA. 

Jakmile je certifikát nainstalován, je použit během nastavení webové konverzace. Projekt Registrace vysvětluje jak to jde:

Pokud byl certifikát vydán známou dobrou CA a všechny podrobnosti jsou správné, pak je stránka důvěryhodná a prohlížeč se pokusí navázat zabezpečené, šifrované spojení s webem, aby vaše aktivita na webu nebyla vidět. k odposlechu v síti. Pokud byl certifikát vydán nedůvěryhodnou CA nebo certifikát neodpovídá adrese webové stránky nebo jsou některé podrobnosti nesprávné, prohlížeč web odmítne z obavy, že se nepřipojuje ke skutečnému webu, který uživatel chce. a možná mluví s napodobitelem.

Prohlížeči můžeme důvěřovat, protože prohlížeč důvěřuje webu. Prohlížeč důvěřuje webu, protože certifikát byl vydán „známou dobrou“ CA. Ale co je to „známý dobrý CA“? Většina prohlížečů se spoléhá na certifikační autority poskytované operačním systémem. O seznamu důvěryhodných CA rozhodují dodavatelé zařízení a softwaru. Hlavní prodejci počítačů a zařízení – Microsoft, Apple, výrobci telefonů Android a distributoři open source Linuxu – předem nainstalují operační systém do svých zařízení pomocí sady kořenových certifikátů.

Tyto certifikáty identifikují CA, které prověřily a považují je za spolehlivé. Tato kolekce kořenových certifikátů se nazývá „trust store“. Abych si vzal příklad, který je mi blízký, počítač s Windows, který používám k psaní tohoto dílu, má ve svém důvěryhodném úložišti kořenových certifikátů 70 kořenových certifikátů. stránky podpory společnosti Apple uvádí všechny kořeny, kterým důvěřuje Sierra verze MacOS. 

Jak se prodejci počítačů a telefonů rozhodují, které CA jsou důvěryhodné? Mají programy auditu a dodržování předpisů pro hodnocení kvality CA. Jsou zahrnuty pouze ty, které projdou. Viz např. prohlížeč Chrome (který poskytuje svůj vlastní důvěryhodný obchod namísto použití úložiště v zařízení). EFF (která se popisuje jako „přední nezisková organizace bránící občanské svobody v digitálním světě“) vysvětluje:

Prohlížeče používají „kořenové programy“ ke sledování zabezpečení a důvěryhodnosti certifikačních autorit, kterým důvěřují. Tyto kořenové programy ukládají řadu požadavků, které se liší od „jak musí být zabezpečen klíčový materiál“ přes „jak se musí provádět ověření kontroly názvu domény“ až po „jaké algoritmy musí být použity pro podepisování certifikátů“.

Poté, co byla CA přijata dodavatelem, dodavatel ji nadále sleduje. Dodavatelé odeberou CA z důvěryhodného úložiště, pokud CA nedodrží potřebné bezpečnostní standardy. Certifikační autority se mohou, a také to dělají, zkazit nebo selhat z jiných důvodů. Projekt Registrace Zprávy:

Certifikáty a CA, které je vydávají, nejsou vždy důvěryhodné a tvůrci prohlížečů v průběhu let odebrali kořenové certifikáty CA z CA se sídlem v Turecku, Francii, Číně, Kazachstánu a jinde, když bylo zjištěno, že vydávající subjekt nebo přidružená strana zachycuje web. provoz. 

V roce 2022 o tom informoval výzkumník Ian Carroll Bezpečnostní problémy s certifikační autoritou e-Tugra. Carroll „našel řadu alarmujících problémů, které mě znepokojují, pokud jde o bezpečnostní praktiky uvnitř jejich společnosti“, jako jsou slabé přihlašovací údaje. Carrollovy zprávy byly ověřeny hlavními dodavateli softwaru. V důsledku toho byla e-Tugra odstraněny z jejich důvěryhodných úložišť certifikátů. 

Projekt Časová osa selhání certifikační autority vypráví o dalších podobných událostech. 

V současné době existuje několik známých děr v PKI. Protože pro pochopení článku 45 eIDAS je důležitá jedna konkrétní otázka, vysvětlím to dále. Důvěra certifikační autority se nevztahuje na webové stránky, které s touto certifikační autoritou obchodují. Prohlížeč přijme certifikát od jakékoli důvěryhodné CA pro jakýkoli web. Nic nebrání CA vydat webovou stránku špatnému herci, o kterou nepožádal vlastník webu. Takové osvědčení by bylo v právním smyslu podvodné kvůli tomu, komu bylo vydáno. Ale obsah certifikátu by byl z pohledu prohlížeče technicky platný. 

Pokud by existoval způsob, jak přiřadit každý web k jeho preferované CA, pak by jakýkoli certifikát pro tento web od jakékoli jiné CA byl okamžitě rozpoznán jako podvodný. Připnutí certifikátu je dalším standardem, který dělá krok tímto směrem. Ale jak by bylo toto sdružení publikováno a jak by bylo tomuto vydavateli důvěřováno? 

Na každé vrstvě tohoto procesu se technické řešení opírá o externí zdroj důvěry. Ale jak se tato důvěra vytváří? Spoléháním se na ještě důvěryhodnější zdroj na další vyšší úrovni? Tato otázka ilustruje „želvy, až dolů“ povaha problému. PKI má na dně želvu: pověst, viditelnost a transparentnost bezpečnostního průmyslu a jeho zákazníků. Důvěra je na této úrovni budována neustálým monitorováním, otevřenými standardy, vývojáři softwaru a CA. 

Byly vydány podvodné certifikáty. V roce 2013 o tom informovala společnost ArsTechnica Francouzská agentura přistihla ražbu SSL certifikátů vydávajících se za Google:

V roce 2011… výzkumní pracovníci v oblasti bezpečnosti objevil falešný certifikát pro Google.com které útočníkům umožnilo vydávat se za poštovní službu webu a další nabídky. Padělaný certifikát byl vyražen poté, co útočníci pronikli do zabezpečení nizozemského DigiNotaru a získali kontrolu nad jeho systémy pro vydávání certifikátů.

Pověření SSL (Secure Socket Layer) byla digitálně podepsána platnou certifikační autoritou… Ve skutečnosti šlo o neautorizované duplikáty, které byly vydány v rozporu s pravidly stanovenými výrobci prohlížečů a službami certifikačních autorit.

Může dojít k podvodnému vydání certifikátu. Nepoctivá CA ji může vydat, ale daleko se nedostane. Špatný certifikát bude detekován. Špatná certifikační autorita selže v programech dodržování předpisů a bude odebrána z důvěryhodných úložišť. Bez přijetí CA zanikne. Průhlednost certifikátu, novější standard, umožňuje rychlejší detekci podvodných certifikátů. 

Proč by měl být CA nepoctivý? Jakou výhodu může padouch získat z neautorizovaného certifikátu? Se samotným certifikátem nic moc, i když je podepsán důvěryhodnou CA. Pokud se však padouch dokáže spojit s ISP nebo jinak přistupovat k síti, kterou prohlížeč používá, certifikát dává špatnému aktérovi možnost prolomit všechny záruky zabezpečení PKI. 

Hacker mohl připojit a útok muže ve středu (MITM) na konverzaci. Útočník by se mohl vložit mezi prohlížeč a skutečný web. V tomto scénáři by uživatel mluvil přímo s útočníkem a útočník by předával obsah tam a zpět skutečnému webu. Útočník by předložil podvodný certifikát prohlížeči. Protože byla podepsána důvěryhodnou certifikační autoritou, prohlížeč ji přijal. Útočník mohl zobrazit a dokonce upravit to, co kterákoli strana poslala, než to druhá strana přijala.

Nyní se dostáváme ke zlověstnému eIDAS EU, článku 45. Toto navrhované nařízení vyžaduje, aby všechny prohlížeče důvěřovaly koši certifikátů od CA určených EU. Přesněji dvacet sedm: jeden pro každý členský stát. Tyto certifikáty se mají nazývat Kvalifikované certifikáty pro ověření webových stránek. Zkratka „QWAC“ má nešťastný homofon šarlatánství – nebo nás snad ES trolluje.

QWAC by vydávaly buď vládní agentury, nebo to, co nazývá Michael Rectenwald vlády: „korporace a společnosti a další příslušníci státu, které se jinak nazývají ‚soukromé‘, ale ve skutečnosti fungují jako státní aparáty v tom, že prosazují státní narativy a diktáty. 

Toto schéma by přivedlo členské vlády EU o krok blíže k bodu, kdy by mohly zaútočit na vlastní občany. Potřebovali by také přístup k sítím. Vlády jsou schopny to udělat. Pokud je ISP veden jako státní podnik, tak by ho už měli. Pokud jsou ISP soukromé firmy, pak místní orgány mohli využít policejní pravomoci k získání přístupu. 

Jedním bodem, který nebyl ve veřejné konverzaci zdůrazněn, je, že prohlížeč v kterékoli z 27 členských zemí EU by musel přijímat každý jednotlivý QWAC, jeden z každého člen EU. To znamená, že prohlížeč například ve Španělsku by musel důvěřovat QWAC od subjektů v Chorvatsku, Finsku a Rakousku. Španělský uživatel navštěvující rakouské webové stránky by musel přecházet přes rakouské části internetu. Všechny výše uvedené problémy by se týkaly všech zemí v rámci EU. 

The Register, v části s názvem Špatný eIDAS: Evropa je připravena zachytit a špehovat vaše šifrovaná připojení HTTPS vysvětluje jeden způsob, jak by to mohlo fungovat:

[T] tato vláda může požádat svou spřátelenou CA o kopii certifikátu [QWAC], aby se vláda mohla vydávat za webovou stránku – nebo požádat o nějaký jiný certifikát, kterému budou prohlížeče důvěřovat a budou pro web akceptovat. Pomocí útoku typu man-in-the-middle může tato vláda zachytit a dešifrovat šifrovaný provoz HTTPS mezi webem a jeho uživateli, což režimu umožňuje kdykoli přesně sledovat, co lidé s daným webem dělají.

Po proniknutí do štítu šifrování by monitorování mohlo zahrnovat ukládání hesel uživatelů a jejich následné použití v jiném čase pro přístup k e-mailovým účtům občanů. Kromě monitorování mohou vlády upravovat obsah přímo. Mohli by například odstranit narativy, které chtějí cenzurovat. Mohly by se připojit nepříjemné chůva státní kontroly faktů a upozornění na obsah k odlišným názorům.

V současné době si CA musí udržovat důvěru komunity prohlížečů. Prohlížeče aktuálně varují uživatele, pokud web předloží prošlý nebo jinak nedůvěryhodný certifikát. Podle článku 45 by bylo zakázáno varování nebo vyloučení osob zneužívajících důvěru. Nejen, že prohlížeče mají povinnost důvěřovat QWAC, ale článek 45 zakazuje prohlížečům zobrazovat varování, že certifikát podepsaný QWAC. 

Poslední šance pro eIDAS (webová stránka s logem Mozilly) se staví proti článku 45: 

Každý členský stát EU má možnost určit kryptografické klíče pro distribuci ve webových prohlížečích a prohlížečům je zakázáno zrušit důvěru v tyto klíče bez vládního povolení. 

…Neexistuje žádná nezávislá kontrola nebo rovnováha rozhodnutí přijatých členskými státy s ohledem na klíče, které autorizují, a na jejich použití. To je obzvláště znepokojivé vzhledem k tomu, že dodržování zásad právního státu existuje nebyl jednotný ve všech členských státech se zdokumentovanými případy donucení tajnou policií pro politické účely.

V otevřený dopis podepsaný několika stovkami bezpečnostních výzkumníků a počítačových vědců:

Článek 45 rovněž zakazuje bezpečnostní kontroly webových certifikátů EU, pokud to není výslovně povoleno nařízením při navazování šifrovaných spojení s webovým provozem. Namísto specifikace souboru minimálních bezpečnostních opatření, která musí být vynucována jako základní linie, účinně specifikuje horní hranici bezpečnostních opatření, která nelze zlepšit bez povolení ETSI. To je v rozporu s dobře zavedenými globálními normami, kde jsou nové technologie kybernetické bezpečnosti vyvíjeny a zaváděny v reakci na rychle se měnící vývoj technologií. 

Většina z nás spoléhá na to, že seznam důvěryhodných certifikačních autorit spravují naši dodavatelé. Jako uživatel však můžete certifikáty libovolně přidávat nebo odebírat na svých vlastních zařízeních. Microsoft Windows má a nástroj k tomu. V systému Linux jsou kořenové certifikáty soubory umístěné v jednom adresáři. CA může být nedůvěryhodná jednoduše odstraněním souboru. Bude i toto zakázáno? Steve Gibson, známý bezpečnostní expert, sloupkařa hostitelem dlouhotrvající podcast Security Now ptá se:

EU však prohlašuje, že prohlížeče budou muset bez výjimky a bez postihu ctít tyto nové, neprověřené a netestované certifikační autority, a tím i jakékoli certifikáty, které vydají. Znamená to, že moje instance Firefoxu bude právně povinna odmítnout můj pokus o odstranění těchto certifikátů?

Gibson poznamenává, že některé korporace implementují podobný dohled nad svými zaměstnanci v rámci své vlastní soukromé sítě. Ať už je váš názor na tyto pracovní podmínky jakýkoli, některá odvětví mají legitimní důvody pro audit a dodržování předpisů, aby mohli sledovat a zaznamenávat, co jejich zaměstnanci dělají se zdroji společnosti. Ale jako Gibson pokračuje,

Problém je v tom, že EU a její členské státy se velmi liší od zaměstnanců soukromé organizace. Kdykoli si zaměstnanec nepřeje být špehován, může použít svůj vlastní chytrý telefon k obcházení sítě svého zaměstnavatele. A samozřejmě soukromá síť zaměstnavatele je právě to, soukromá síť. EU to chce udělat pro celý veřejný internet, ze kterého by nebylo úniku.

Nyní jsme stanovili radikální povahu tohoto návrhu. Je na čase se ptát, jaké důvody nabízí EK k motivaci této změny? EK říká, že ověření identity podle PKI není dostatečné. A že tyto změny jsou potřeba k jeho zlepšení. 

Je na tvrzeních EK něco pravdy? Současné PKI ve většině případů vyžaduje pouze požadavek na prokázání kontroly nad webem. I když to je něco, nezaručuje to například, že webovou službu „apple.com“ vlastní společnost zabývající se spotřební elektronikou známá jako Apple Inc, se sídlem v Cupertinu v Kalifornii. Uživatel se zlými úmysly může získat platný certifikát pro doménu, která je podobná názvu známé firmy. Platný certifikát by mohl být použit v útoku, který se spoléhal na to, že někteří uživatelé nehledali dostatečně pečlivě, aby si všimli, že název tak úplně neodpovídá. Tohle se stalo platební procesor Stripe.

Pro vydavatele, kteří by chtěli světu dokázat, že jsou skutečně stejnou právnickou osobou, některé CA nabídly Certifikáty rozšířené platnosti (EV).. „Rozšířená“ část se skládá z dodatečných validací vůči podniku samotnému, jako je obchodní adresa, funkční telefonní číslo, obchodní licence nebo zápis do obchodního rejstříku a další atributy typické pro nepřetržitý podnik. Elektromobily jsou uvedeny za vyšší cenu, protože vyžadují více práce ze strany CA. 

Prohlížeče se používaly k zobrazení zvýrazněné vizuální zpětné vazby pro EV, jako je jiná barva nebo robustnější ikona zámku. V posledních letech nejsou elektrická vozidla na trhu příliš populární. Většinou vymřeli. Mnoho prohlížečů již nezobrazuje rozdílovou zpětnou vazbu. 

Navzdory nedostatkům, které stále existují, se PKI v průběhu času výrazně zlepšila. Když byly nedostatky pochopeny, byly vyřešeny. Kryptografické algoritmy byly posíleny, správa se zlepšila a zranitelná místa byla zablokována. Řízení na základě konsensu hráčů v oboru fungovalo docela dobře. Systém se bude nadále vyvíjet, technologicky i institucionálně. Kromě vměšování regulátorů není důvod očekávat opak.

Z nevýrazné historie EV jsme se naučili, že tržiště se tolik nestará o ověřování firemní identity. Pokud by to však uživatelé internetu chtěli, nebylo by nutné prolomit stávající PKI, aby jim to bylo poskytnuto. Stačily by nějaké drobné úpravy stávajících pracovních postupů. Někteří diskutující navrhli úpravu TLS handshake; webová stránka by představovala jeden dodatečný certifikát. Primární certifikát by fungoval jako nyní. Sekundární certifikát, podepsaný QWAC, by implementoval další standardy identity, které podle EK chce.

Údajné důvody EK pro eIDAS prostě nejsou věrohodné. Nejen, že jsou uváděné důvody nepravděpodobné, EK se ani neobtěžuje obvyklým posvátným fňukáním o tom, jak musíme obětovat důležité svobody ve jménu bezpečnosti, protože čelíme vážné hrozbě obchodování s lidmi, bezpečnosti dětí a praní špinavých peněz. , daňové úniky nebo (můj osobní favorit) změna klimatu. Nelze popřít, že nám EU plyne.

Pokud ES není upřímné ohledně jejich skutečných motivů, o co jim tedy jde? Gibson vidí hanebný úmysl:

A existuje pouze jeden možný důvod, proč chtějí [vynutit, aby prohlížeče důvěřovaly QWAC], a to umožnit zachycování internetového provozu za běhu, přesně tak, jak se to děje uvnitř korporací. A to se uznává. 

(To, co Gibson myslí „zachycováním webového provozu“, je výše popsaný útok MITM.) Další komentář zdůraznil zlověstné důsledky pro svobodu projevu a politický protest. Hurst v dlouhém eseji argumentuje kluzkým svahem:

Když liberální demokracie zavede tento druh kontroly nad technologiemi na webu, navzdory jeho důsledkům, položí to základy pro autoritárnější vlády, aby jej beztrestně následovaly.

Mozilla citováno v techdirt (bez odkazu na originál) říká víceméně totéž:

Nutit prohlížeče, aby automaticky důvěřovaly státem podporovaným certifikačním autoritám, je klíčovou taktikou, kterou používají autoritářské režimy, a tito aktéři by byli povzbuzeni legitimizačním účinkem akcí EU…

Gibson dělá něco podobného pozorování:

A pak je tu velmi reálné strašidlo toho, jaké další dveře to otevírá: Pokud EU ukáže zbytku světa, že může úspěšně diktovat podmínky důvěry pro nezávislé webové prohlížeče používané jejími občany, jaké další země budou následovat podobné zákony ? Nyní může každý jednoduše vyžadovat, aby byly přidány certifikáty své vlastní země. To nás vede úplně špatným směrem.

Tento navrhovaný článek 45 je útokem na soukromí uživatelů v zemích EU. Pokud by bylo přijato, znamenalo by to masivní neúspěch nejen v internetové bezpečnosti, ale i v rozvinutém systému vládnutí. Souhlasím se Stevem Gibsonem, že:

Co je zcela nejasné a s čím jsem se nikde nesetkal, je vysvětlení autority, kterou si EU představuje, že je schopna diktovat design softwaru jiných organizací. Protože to je to, o co jde.

Reakce na navrhovaný článek 45 byla značně negativní. EFF v Článek 45 vrátí zabezpečení webu o 12 let píše: „Je to katastrofa pro soukromí každého, kdo používá internet, ale zejména pro ty, kteří používají internet v EU.“ 

Snaha eIDAS je pro bezpečnostní komunitu požárem se čtyřmi poplachy. Mozilla – výrobce open source webového prohlížeče Firefox – zveřejnila zprávu Společné prohlášení průmyslu oponovat tomu. Prohlášení je podepsáno hvězdným seznamem společností zabývajících se internetovou infrastrukturou, včetně samotné Mozilly, Cloudflare, Fastly a Linux Foundation. 

Z otevřený dopis zmíněno výše: 

Po přečtení téměř konečného znění jsme hluboce znepokojeni navrhovaným textem článku 45. Současný návrh radikálně rozšiřuje schopnost vlád sledovat jak své vlastní občany, tak obyvatele v celé EU tím, že jim poskytuje technické prostředky k zachycení zašifrovaných webový provoz a také podkopávání stávajících mechanismů dohledu, na které se evropští občané spoléhají. 

kam to jde? Nařízení bylo navrženo již nějakou dobu. Konečné rozhodnutí bylo naplánováno na listopad 2023. Vyhledávání na webu od té doby neukazuje žádné nové informace na toto téma. 

V posledních několika letech vzrostla přímá cenzura ve všech jejích podobách. Během šílenství Covid se vláda a průmysl spojily, aby vytvořily a cenzurně-průmyslový komplex účinněji propagovat falešné narativy a potlačovat disidenty. V posledních několika letech se skeptici a nezávislé hlasy bránili, u soudůa vytvářením hledisko neutrální plošiny. 

Zatímco cenzura projevu je i nadále velkým nebezpečím, práva spisovatelů a novinářů jsou chráněna lépe než mnoho jiných práv. V USA, První změna má výslovnou ochranu projevu a svobodu kritizovat vládu. Soudy mohou být toho názoru, že jakákoli práva nebo svobody, které nejsou chráněny vysoce specifickým zákonným jazykem, jsou fair game. To může být důvodem, že odboj měl v řeči větší úspěch než jiné snahy zastavit jiné zneužívání moci, jako např karantény a populační uzamčení. 

Spíše než na dobře bráněného nepřítele přesouvají vlády své útoky do jiných vrstev internetové infrastruktury. Tyto služby, jako je registrace domény, DNS, certifikáty, zpracovatelé plateb, hosting a obchody s aplikacemi, se skládají převážně z transakcí na soukromém trhu. Tyto služby jsou mnohem méně chráněny než řeč, protože z velké části nemá kdokoli právo zakoupit konkrétní službu od konkrétního podniku. A techničtější služby, jako je DNS a PKI, jsou veřejností méně dobře srozumitelné než publikování na webu.

Systém PKI je obzvláště zranitelný vůči útokům, protože funguje na základě reputace a konsensu. Neexistuje jediný orgán, který by vládl celému systému. Hráči si musí získat reputaci prostřednictvím transparentnosti, dodržování předpisů a poctivého hlášení neúspěchů. A to ho činí zranitelným vůči tomuto typu rušivého útoku. Pokud EU PKI připadne regulátorům, očekávám, že další země budou následovat. Nejen PKI je ohrožena. Jakmile se prokáže, že regulátory mohou napadnout další vrstvy zásobníku, budou také zaměřeny.