KOPĪGOT | DRUKĀT | SŪTĪT E-PASTU
The Eiropas Komisija ir ES likumdošanas iestāde ar regulatīvām pilnvarām digitālo tehnoloģiju jomā. EK ierosinātā eIDAS 45. panta regula apzināti vājinātu interneta drošības jomas, kuras nozare ir rūpīgi attīstījusi un nostiprinājusi vairāk nekā 25 gadus. Šis pants faktiski piešķirtu 27 ES valdībām ievērojami paplašinātas uzraudzības pilnvaras attiecībā uz interneta lietošanu.
Noteikums paredzētu, ka visām interneta pārlūkprogrammām jāuzticas papildu saknes sertifikātam no aģentūras (vai regulētas struktūras) no katras ES dalībvalsts valdības. Lasītājiem bez tehniskām zināšanām es paskaidrošu, kas ir saknes sertifikāts, kā ir attīstījusies uzticēšanās internetam un ko 45. pants dara ar to. Un pēc tam es izcelšu dažus tehnoloģiju kopienas komentārus par šo jautājumu.
Šī raksta nākamajā sadaļā tiks paskaidrots, kā darbojas interneta uzticēšanās infrastruktūra. Šī pamatinformācija ir nepieciešama, lai saprastu, cik radikāls ir ierosinātais pants. Paskaidrojums ir paredzēts tā, lai tas būtu saprotams lasītājam bez tehniskām zināšanām.
Attiecīgā regula attiecas uz interneta drošību. Šeit ar “internets” lielākoties tiek saprastas pārlūkprogrammas, kas apmeklē tīmekļa vietnes. Interneta drošība sastāv no daudziem atšķirīgiem aspektiem. 45. panta mērķis ir grozīt publiskās atslēgas infrastruktūra (PKI), kas ir daļa no interneta drošības kopš 90. gadu vidus. PKI sākotnēji tika ieviesta un pēc tam uzlabota 25 gadu laikā, lai lietotājiem un izdevējiem sniegtu šādas garantijas:
- Sarunas starp pārlūkprogrammu un vietni konfidencialitātePārlūkprogrammas un tīmekļa vietnes sazinās internetā — tīklu tīklā, ko pārvalda Interneta pakalpojumu sniedzēji, un 1. līmeņa pārvadātājiVai šūnu nesēji ja ierīce ir mobila. Pats tīkls pēc savas būtības nav ne drošs, ne uzticams. Jūsu ziņkārīgs mājas interneta pakalpojumu sniedzējs, ceļotājs lidostas atpūtas telpā kur jūs gaidāt savu lidojumu, vai datu pārdevējs, kas vēlas pārdot potenciālos klientus reklāmdevējiem varētu vēlēties jūs izspiegot. Bez jebkādas aizsardzības ļaunprātīgs lietotājs varētu piekļūt konfidenciāliem datiem, piemēram, parolei, kredītkartes atlikumam vai veselības informācijai.
- Garantējam, ka lapu redzat tieši tā, kā vietne to jums nosūtījaVai tīmekļa lapu, skatot, ir iespējams, ka izdevējs un jūsu pārlūkprogramma ir mainījuši tās saturu? Cenzors varētu vēlēties noņemt saturu, ko nevēlas, lai jūs redzētu. Covid histērijas laikā saturs, kas apzīmēts kā “dezinformācija”, tika plaši apspiests. Hakeris, kurš bija nozadzis jūsu kredītkarti, varētu vēlēties noņemt pierādījumus par savām krāpnieciskajām apsūdzībām.
- Pārliecinieties, ka redzamā vietne patiešām ir tā pati, kas atrodas pārlūkprogrammas atrašanās vietas joslā.Kā, pieslēdzoties bankai, jūs zināt, ka redzat šīs bankas tīmekļa vietni, nevis viltotu versiju, kas izskatās identiska? Jūs pārbaudāt atrašanās vietas joslu savā pārlūkprogrammā. Vai jūsu pārlūkprogramma varētu tikt apmānīta, parādot jums viltotu tīmekļa vietni, kas izskatās identiska īstajai? Kā jūsu pārlūkprogramma droši zina, ka tā ir savienota ar pareizo vietni?
Interneta pirmsākumos neviena no šīm garantijām nepastāvēja. 2010. gadā pārlūkprogrammas spraudnis, kas pieejams pievienojumprogrammu veikalā ļāva lietotājam piedalīties kāda cita Facebook grupas tērzēšanā kafejnīcas populārākajā vietā. Tagad, pateicoties PKI, jūs varat būt diezgan pārliecināti par šīm lietām.
Šīs drošības funkcijas ir aizsargātas ar sistēmu, kuras pamatā ir digitālie sertifikātiDigitālie sertifikāti ir identifikācijas veids — autovadītāja apliecības interneta versija. Kad pārlūkprogramma izveido savienojumu ar vietni, vietne tai iesniedz sertifikātu. Sertifikātā ir ietverta kriptogrāfiska atslēga. Pārlūkprogramma un tīmekļa vietne darbojas kopā, veicot virkni kriptogrāfisku aprēķinu, lai izveidotu drošu saziņu.
Kopā pārlūkprogramma un tīmekļa vietne nodrošina trīs drošības garantijas:
- privātums: šifrējot sarunu.
- kriptogrāfiskie digitālie paraksti: lai to nodrošinātu saturs lidojuma laikā netiek mainīts.
- izdevēja verifikācijacaur PKI nodrošināto uzticības ķēdi, ko es sīkāk paskaidrošu turpmāk.
Labai identitātei vajadzētu būt grūti viltojamai. Senajā pasaulē zīmoga vaska atlējums kalpoja šim mērķim. Cilvēku identitātes ir biometriskās. Jūsu seja ir viena no vecākajām formām. Nedigitālajā pasaulē, kad jums ir jāpiekļūst vecuma ierobežojumam, piemēram, pasūtot alkoholisko dzērienu, jums tiks lūgts uzrādīt personu apliecinošu dokumentu ar fotoattēlu.
Vēl viena biometrijas metode, kas pastāvēja pirms digitālā laikmeta, bija jūsu jaunā paraksta salīdzināšana ar oriģinālo parakstu personas apliecības aizmugurē. Tā kā šos vecākus biometrijas veidus kļūst vieglāk viltot, cilvēka identitātes verifikācija ir pielāgojusies. Tagad banka bieži nosūta jums validācijas kodu uz jūsu mobilo tālruni. Lietotne pieprasa, lai jūs veiktu biometriskās identitātes pārbaudi savā mobilajā tālrunī, lai apskatītu kodu, piemēram, sejas atpazīšanas vai pirkstu nospieduma kodu.
Papildus biometrijai, otrais faktors, kas padara personas apliecību uzticamu, ir tās izdevējs. Plaši atzītas personas apliecības ir atkarīgas no izdevēja spējas pārliecināties, ka persona, kas pieprasa apliecību, ir tā, par kuru tā sevi uzdod. Lielāko daļu plašāk atzīto personas apliecību izsniedz valdības iestādes, piemēram, Autotransporta departaments. Ja izdevējai iestādei ir uzticami līdzekļi, lai izsekotu, kas un kur atrodas tās subjekti, piemēram, nodokļu maksājumi, nodarbinātības reģistri vai ūdensapgādes pakalpojumu izmantošana, pastāv liela iespēja, ka iestāde var pārliecināties, ka personas apliecībā norādītā persona ir šī persona.
Tiešsaistes pasaulē valdības lielākoties nav iesaistījušās identitātes verifikācijā. Sertifikātus izsniedz privātā sektora uzņēmumi, kas pazīstami kā sertifikācijas iestādes (CA). Lai gan sertifikāti agrāk bija diezgan dārgi, maksas ir ievērojami samazinājušās līdz līmenim, kad daži ir bezmaksasVispazīstamākie sertifikācijas pakalpojumu sniedzēji ir Verisign, DigiCert un GoDaddy. Raiena Hērsta šovi Septiņas galvenās sertifikācijas iestādes (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft un IdenTrust) izsniedz 99 % no visiem sertifikātiem.
Pārlūkprogramma pieņems sertifikātu kā identitātes apliecinājumu tikai tad, ja sertifikāta vārda lauks atbilst domēna nosaukumam, ko pārlūkprogramma rāda atrašanās vietas joslā. Pat ja vārdi sakrīt, vai tas pierāda, ka sertifikāts, kurā teikts “apple.com"pieder plaša patēriņa elektronikas uzņēmumam, kas pazīstams kā Apple, Inc."? Nē. Identitātes sistēmas nav ložu necaurlaidīgas. Nepilngadīgi dzērāji var iegūt viltotus personas apliecībasTāpat kā cilvēku identifikācijas dokumenti, arī digitālie sertifikāti var būt viltoti vai nederīgi citu iemeslu dēļ. Programmatūras inženieris, izmantojot bezmaksas atvērtā pirmkoda rīkus, var izveidot digitālo sertifikātu ar nosaukumu “apple.com” ar dažas Linux komandas.
PKI sistēma paļaujas uz sertifikācijas iestādēm, kas izsniedz jebkuru sertifikātu tikai tīmekļa vietnes īpašniekam. Sertifikāta iegūšanas darbplūsma ir šāda:
- Tīmekļa vietnes izdevējs iesniedz savam izvēlētajam sertifikācijas iestādei (CA) pieteikumu sertifikāta saņemšanai domēnam.
- Sertifikācijas iestāde (SI) pārbauda, vai sertifikāta pieprasījumu iesniedz šīs vietnes faktiskais īpašnieks. Kā sertifikācijas iestāde to noskaidro? SI pieprasa, lai pieprasījumu iesniedzošā vienība publicētu konkrētu satura daļu noteiktā URL adresē. Spēja to izdarīt pierāda, ka vienībai ir kontrole pār vietni.
- Kad tīmekļa vietne ir pierādījusi domēna īpašumtiesības, sertifikācijas iestāde pievieno kriptogrāfiskais digitālais paraksts sertifikātam, izmantojot savu privāto kriptogrāfisko atslēgu. Paraksts identificē sertificēšanas iestādi (CA) kā izdevēju.
- Parakstītais sertifikāts tiek nodots personai vai juridiskajai personai, kas iesniegusi pieprasījumu.
- Izdevējs instalē savu sertifikātu savā tīmekļa vietnē, lai to varētu parādīt pārlūkprogrammām.
Kriptogrāfiskie digitālie paraksti ir “matemātiska shēma digitālo ziņojumu vai dokumentu autentiskuma pārbaudei”. Tās nav tas pats, kas tiešsaistes dokumentu parakstīšana, ko nodrošina DocuSign un līdzīgi pārdevēji. Ja parakstu varētu viltot, tad sertifikāti nebūtu uzticami. Laika gaitā kriptogrāfisko atslēgu lielums ir palielinājies, lai apgrūtinātu viltošanu. Kriptogrāfijas pētnieki uzskata, ka pašreizējos parakstus praktiski nav iespējams viltot. Vēl viena ievainojamība ir tad, ja CA slepenās atslēgas tiek nozagtas. Zaglis pēc tam varētu izveidot derīgus šīs CA parakstus.
Kad sertifikāts ir instalēts, tas tiek izmantots tīmekļa sarunas iestatīšanas laikā. The Reģistrēties skaidro kā tas notiek:
Ja sertifikātu ir izdevusi zināma, uzticama sertifikācijas iestāde (CA) un visa informācija ir pareiza, vietne ir uzticama, un pārlūkprogramma mēģinās izveidot drošu, šifrētu savienojumu ar vietni, lai jūsu darbības vietnē nebūtu redzamas nevienam noklausītājam tīklā. Ja sertifikātu ir izdevusi neuzticama sertifikācijas iestāde, sertifikāts neatbilst vietnes adresei vai kāda informācija ir nepareiza, pārlūkprogramma noraidīs vietni, baidoties, ka tā neizveido savienojumu ar faktisko vietni, ko lietotājs vēlas, un, iespējams, sazinās ar personas datu izmantotāju.
Mēs varam uzticēties pārlūkprogrammai, jo pārlūkprogramma uzticas tīmekļa vietnei. Pārlūkprogramma uzticas tīmekļa vietnei, jo sertifikātu ir izdevusi “zināma laba” sertifikācijas iestāde. Bet kas ir “zināma laba sertifikācijas iestāde”? Lielākā daļa pārlūkprogrammu paļaujas uz operētājsistēmas nodrošinātajām sertifikācijas iestādēm. Uzticamo sertifikācijas iestāžu sarakstu nosaka ierīču un programmatūras pārdevēji. Galvenie datoru un ierīču pārdevēji — Microsoft, Apple, Android tālruņu ražotāji un atvērtā pirmkoda Linux izplatītāji — savās ierīcēs iepriekš ielādē operētājsistēmu ar saknes sertifikātu kopu.
Šie sertifikāti identificē sertificēšanas iestādes, kuras tās ir pārbaudījušas un uzskata par uzticamām. Šo saknes sertifikātu kolekciju sauc par “uzticamo krātuvi”. Lai minētu man tuvu piemēru, Windows datoram, kuru izmantoju šī raksta rakstīšanai, tā uzticamo saknes sertifikātu krātuvē ir 70 saknes sertifikāti. Apple atbalsta vietne. uzskaita visas saknes, kurām uzticas MacOS Sierra versija.
Kā datoru un tālruņu pārdevēji izlemj, kuras sertifikācijas iestādes ir uzticamas? Viņiem ir audita un atbilstības programmas, lai novērtētu sertifikācijas iestāžu kvalitāti. Tiek iekļautas tikai tās, kas iztur pārbaudi. Sk., piemēram, pārlūkprogramma Chrome (kas nodrošina savu uzticamības krātuvi, nevis izmanto ierīcē esošo). EFF (kas sevi raksturo kā “vadošo bezpeļņas organizāciju, kas aizstāv pilsoniskās brīvības digitālajā pasaulē”) skaidro:
Pārlūkprogrammas izmanto “saknes programmas”, lai uzraudzītu uzticamo sertifikācijas iestāžu drošību un uzticamību. Šīs saknes programmas izvirza vairākas prasības, sākot no “kā jāaizsargā atslēgas materiāls” līdz “kā jāveic domēna vārda kontroles validācija” un “kādi algoritmi jāizmanto sertifikātu parakstīšanai”.
Pēc tam, kad piegādātājs ir pieņēmis sertifikācijas iestādi (CA), tas turpina to uzraudzīt. Pārdevēji noņems sertifikācijas iestādes no uzticamības krātuves, ja sertifikācijas iestāde neievēros nepieciešamos drošības standartus. Sertifikācijas iestādes var rīkoties negodīgi vai neizdoties citu iemeslu dēļ, un tā arī notiek. The Reģistrēties ziņojumi:
Sertifikāti un tos izsniedzošās sertifikācijas iestādes (CA) ne vienmēr ir uzticami, un pārlūkprogrammu ražotāji gadu gaitā ir noņēmuši sertifikācijas iestāžu (CA) saknes sertifikātus no sertifikācijas iestādēm Turcijā, Francijā, Ķīnā, Kazahstānā un citur, ja ir konstatēts, ka izdevēja iestāde vai ar to saistītā puse pārtver tīmekļa datplūsmu.
2022. gadā pētnieks Ians Kerols ziņoja Drošības problēmas saistībā ar e-Tugra sertifikātu iestādiKerols “atrada vairākas satraucošas problēmas saistībā ar drošības praksi viņu uzņēmumā, kas mani satrauc”, piemēram, vājas akreditācijas. Kerola ziņojumus pārbaudīja lielākie programmatūras pārdevēji. Tā rezultātā e-Tugra bija noņemts no uzticamo sertifikātu krātuvēm.
The Sertifikātu iestādes kļūmju laika skala stāsta par citiem līdzīgiem gadījumiem.
PKI pašreizējā formā joprojām ir zināmi daži trūkumi. Tā kā viens konkrēts jautājums ir svarīgs eIDAS 45. panta izpratnei, es to paskaidrošu tālāk. CA uzticība neattiecas tikai uz tām tīmekļa vietnēm, kas veic savu darbību ar šo CA. Pārlūkprogramma pieņems sertifikātu no jebkuras uzticamas CA jebkurai tīmekļa vietnei. Nekas neliedz CA izsniegt tīmekļa vietni ļaunprātīgam dalībniekam, ko nav pieprasījis vietnes īpašnieks. Šāds sertifikāts juridiskā nozīmē būtu krāpniecisks tā izsniegšanas iemesla dēļ. Taču sertifikāta saturs no pārlūkprogrammas viedokļa būtu tehniski derīgs.
Ja būtu veids, kā katru vietni saistīt ar tās vēlamo sertifikācijas iestādi (CA), tad jebkurš sertifikāts šai vietnei no jebkuras citas sertifikācijas iestādes tiktu nekavējoties atpazīts kā krāpniecisks. Sertifikāta piespraušana ir vēl viens standarts, kas sper soli šajā virzienā. Bet kā šī saistība tiktu publicēta un kā šim izdevējam varētu uzticēties?
Katrā šī procesa līmenī tehniskais risinājums balstās uz ārēju uzticības avotu. Bet kā šī uzticēšanās tiek nodibināta? Paļaujoties uz vēl uzticamāku avotu nākamajā augstākā līmenī? Šis jautājums ilustrē “bruņurupuči, līdz pat lejai"Problēmas būtība. PKI apakšā ir bruņurupucis: drošības nozares un tās klientu reputācija, atpazīstamība un pārredzamība. Uzticība šajā līmenī tiek veidota, izmantojot pastāvīgu uzraudzību, atvērtos standartus, programmatūras izstrādātājus un sertifikācijas iestādes."
Ir izsniegtas krāpnieciskas apliecības. 2013. gadā ArsTechnica ziņoja Francijas aģentūra pieķerta SSL sertifikātu izveidē, uzdodoties par Google:
2011. gadā…drošības pētnieki pamanīja viltotu sertifikātu vietnei Google.com kas deva uzbrucējiem iespēju atdarināt vietnes pasta pakalpojumu un citus piedāvājumus. Viltotais sertifikāts tika izgatavots pēc tam, kad uzbrucēji uzlauza Nīderlandē bāzētās DigiNotar drošības sistēmas un ieguva kontroli pār tās sertifikātu izsniegšanas sistēmām.
Drošligzdu slāņa (SSL) akreditācijas datus digitāli parakstīja derīga sertifikātu izdevēja iestāde… Patiesībā sertifikāti bija neatļauti dublikāti, kas tika izsniegti, pārkāpjot pārlūkprogrammu ražotāju un sertifikātu izdevēju pakalpojumu noteiktos noteikumus.
Krāpnieciska sertifikātu izsniegšana ir iespējama. Negodīga sertifikācijas iestāde var izsniegt sertifikātu, bet tālu netiks. Sliktais sertifikāts tiks atklāts. Sliktā sertifikācijas iestāde neizturēs atbilstības programmas un tiks izņemta no uzticamības krātuvēm. Bez pieņemšanas sertifikācijas iestāde pārtrauks darbību. Sertifikāta caurspīdīgums, jaunāks standarts, ļauj ātrāk atklāt viltotus sertifikātus.
Kāpēc sertifikācijas iestāde (CA) varētu rīkoties negodīgi? Kādas priekšrocības ļaundaris var gūt no neatļauta sertifikāta? Ar sertifikātu vien nekas daudz nav iespējams, pat ja to parakstījusi uzticama sertifikācijas iestāde. Taču, ja ļaundaris var sadarboties ar interneta pakalpojumu sniedzēju vai citādi piekļūt tīklam, ko izmanto pārlūkprogramma, sertifikāts dod ļaundarim iespēju pārkāpt visas PKI drošības garantijas.
Hakeris varētu uzstādīt vidusmēra uzbrukums (MITM) sarunā. Uzbrucējs varētu ievietoties starp pārlūkprogrammu un īsto vietni. Šādā scenārijā lietotājs runātu tieši ar uzbrucēju, un uzbrucējs apmainītos ar saturu ar īsto vietni. Uzbrucējs pārlūkprogrammai parādītu viltotu sertifikātu. Tā kā to būtu parakstījusi uzticama sertifikācijas iestāde, pārlūkprogramma to pieņemtu. Uzbrucējs varētu skatīt un pat modificēt to, ko jebkura puse nosūtīja, pirms otra puse to saņemtu.
Tagad nonākam pie ES draudīgā eIDAS, 45. panta. Šī ierosinātā regula pieprasa, lai visas pārlūkprogrammas uzticētos sertifikātu grozam no ES noteiktām sertifikācijas iestādēm. Precīzāk, divdesmit septiņi: pa vienam katrai dalībvalstij. Šie sertifikāti tiks saukti par Kvalificēti tīmekļa vietņu autentifikācijas sertifikātiAkronīmam “QWAC” ir neveiksmīgs homofons. pērtiķiem – vai varbūt EK mūs trolē.
QWAC izsniegtu vai nu valdības aģentūras, vai arī, kā to sauc Maikls Rektenvalds valdības“korporācijas, uzņēmumi un citi valsts palīgstruktūras, ko citādi sauc par “privātām”, bet patiesībā darbojas kā valsts aparāti, jo tie uzspiež valsts naratīvus un diktātus.”
Šī shēma ES dalībvalstu valdības pietuvinātu brīdim, kad tās varētu veikt starpnieka uzbrukumu saviem pilsoņiem. Tām arī būtu nepieciešama piekļuve tīkliem. Valdības to var izdarīt. Ja interneta pakalpojumu sniedzējs tiek pārvaldīts kā valsts uzņēmums, tad tām šī piekļuve jau būtu. Ja interneta pakalpojumu sniedzēji ir privāti uzņēmumi, tad vietējie... iestādes varētu izmantot policijas pilnvaras, lai iegūtu piekļuvi.
Viens aspekts, kas publiskajā diskusijā nav ticis uzsvērts, ir tas, ka pārlūkprogrammai jebkurā no 27 ES dalībvalstīm būtu jāpieņem katrs QWAC, pa vienam no katras valsts. ES dalībvalstsTas nozīmē, ka pārlūkprogrammai, piemēram, Spānijā, būtu jāuzticas QWAC no struktūrām Horvātijā, Somijā un Austrijā. Spānijas lietotājam, kas apmeklē Austrijas tīmekļa vietni, būtu jāizmanto Austrijas interneta daļas. Iepriekš minētās problēmas attiektos uz visām ES valstīm.
The Register, rakstā ar nosaukumu Slikts eIDAS: Eiropa ir gatava pārtvert un izspiegot jūsu šifrētos HTTPS savienojumus skaidro vienu no veidiem, kā tas varētu darboties:
[Šī] valdība var lūgt savai draudzīgajai sertifikācijas iestādei [QWAC] sertifikāta kopiju, lai valdība varētu personificēt vietni, vai arī pieprasīt kādu citu sertifikātu, kuram pārlūkprogrammas uzticēsies un pieņems šo vietni. Tādējādi, izmantojot starpnieka uzbrukumu, šī valdība var pārtvert un atšifrēt šifrēto HTTPS datplūsmu starp vietni un tās lietotājiem, ļaujot režīmam jebkurā laikā precīzi uzraudzīt, ko cilvēki dara šajā vietnē.
Pēc šifrēšanas vairoga pārvarēšanas uzraudzība varētu ietvert lietotāju paroļu saglabāšanu un pēc tam to izmantošanu citā laikā, lai piekļūtu pilsoņu e-pasta kontiem. Papildus uzraudzībai valdības varētu modificēt saturu tieši tajā. Piemēram, tās varētu noņemt naratīvus, ko tās vēlas cenzēt. Tās varētu pievienot kaitinošus... faktiskās pārbaudes auklīšu valstī un satura brīdinājumi pretējiem viedokļiem.
Pašreizējā situācijā sertificēšanas iestādēm ir jāuztur pārlūkprogrammu kopienas uzticība. Pārlūkprogrammas pašlaik brīdina lietotāju, ja vietne uzrāda sertifikātu, kas ir beidzies derīguma termiņš vai citādi neuzticams. Saskaņā ar 45. pantu brīdinājumi vai uzticības ļaunprātīgas izmantošanas gadījumu izslēgšana būtu aizliegta. Pārlūkprogrammām ne tikai ir jāuzticas QWAC, bet 45. pants aizliedz pārlūkprogrammām rādīt brīdinājumu, ka sertifikāts, ko parakstījusi QWAC, ir nepareizs.
Pēdējā iespēja eIDAS ieviešanai (tīmekļa vietne, kurā redzams Mozilla logotips) iestājas pret 45. pantu:
Jebkurai ES dalībvalstij ir iespēja noteikt kriptogrāfiskās atslēgas izplatīšanai tīmekļa pārlūkprogrammās, un pārlūkprogrammām ir aizliegts atsaukt uzticību šīm atslēgām bez valdības atļaujas.
...Nav neatkarīgas kontroles vai līdzsvara pār dalībvalstu lēmumiem attiecībā uz atslēgām, ko tās autorizē, un to izmantošanu. Tas ir īpaši satraucoši, ņemot vērā, ka tiesiskuma ievērošana ir... nav bijis vienveidīgs visās dalībvalstīs ar dokumentētiem gadījumiem slepenpolicijas piespiešana politiskiem mērķiem.
In atklāta vēstule, ko parakstījuši vairāki simti drošības pētnieku un datorzinātnieku:
45. pants arī aizliedz drošības pārbaudes ES tīmekļa sertifikātiem, ja vien tas nav skaidri atļauts ar noteikumiem, veidojot šifrētus tīmekļa datplūsmas savienojumus. Tā vietā, lai noteiktu minimālo drošības pasākumu kopumu, kas jāievēro kā pamatprasība, tas faktiski nosaka drošības pasākumu augšējo robežu, kuru nevar uzlabot bez ETSI atļaujas. Tas ir pretrunā ar labi iedibinātām globālām normām, kurās jaunas kiberdrošības tehnoloģijas tiek izstrādātas un ieviestas, reaģējot uz straujo tehnoloģiju attīstību.
Lielākā daļa no mums paļaujas uz saviem pārdevējiem, lai tie veidotu uzticamo sertifikācijas iestāžu sarakstu. Tomēr kā lietotājs jūs varat pievienot vai noņemt sertifikātus savās ierīcēs pēc saviem ieskatiem. Microsoft Windows ir rīks, lai to izdarītuLinux sistēmā saknes sertifikāti ir faili, kas atrodas vienā direktorijā. Sertifikātu var neuzticēt, vienkārši izdzēšot failu. Vai arī tas būs aizliegts? Stīvs Gibsons, ievērojams drošības eksperts, komentētājs, un saimnieks Ilgstošais Security Now podkāsts jautā:
Taču ES norāda, ka pārlūkprogrammām būs jāievēro šīs jaunās, nepierādītās un neeksperimentētās sertifikātu iestādes un līdz ar to visi to izsniegtie sertifikāti bez izņēmumiem un bez jebkādas citas tiesiskās aizsardzības. Vai tas nozīmē, ka manai Firefox instancei būs juridisks pienākums atteikt manu mēģinājumu noņemt šos sertifikātus?
Gibsons norāda, ka daži uzņēmumi īsteno līdzīgu savu darbinieku uzraudzību savā privātajā tīklā. Lai kāds arī būtu jūsu viedoklis par šiem darba apstākļiem, dažām nozarēm ir likumīgi audita un atbilstības iemesli, lai izsekotu un reģistrētu, ko viņu darbinieki dara ar uzņēmuma resursiem. Taču, kā norāda Gibsons turpinās,
Problēma ir tā, ka ES un tās dalībvalstis ļoti atšķiras no privātas organizācijas darbiniekiem. Jebkurā laikā, kad darbinieks nevēlas tikt izspiegots, viņš var izmantot savu viedtālruni, lai apietu sava darba devēja tīklu. Un, protams, darba devēja privātais tīkls ir tieši tas – privāts tīkls. ES vēlas to darīt visā publiskajā internetā, no kura nebūtu iespējas izbēgt.
Tagad esam noskaidrojuši šī priekšlikuma radikālo raksturu. Ir pienācis laiks pajautāt, kādus argumentus EK min, lai motivētu šīs izmaiņas? EK apgalvo, ka identitātes verifikācija, izmantojot PKI, nav pietiekama. Un ka šīs izmaiņas ir nepieciešamas, lai to uzlabotu.
Vai EK apgalvojumiem ir kaut mazākā patiesība? Pašreizējā PKI vairumā gadījumu pieprasa tikai pierādīt tīmekļa vietnes kontroli. Lai gan tas ir kaut kas, tas negarantē, piemēram, ka tīmekļa īpašums “apple.com” pieder plaša patēriņa elektronikas uzņēmumam Apple Inc, kura galvenā mītne atrodas Kupertino, Kalifornijā. Ļaunprātīgs lietotājs varētu iegūt derīgu sertifikātu domēnam, kura nosaukums ir līdzīgs labi pazīstama uzņēmuma nosaukumam. Derīgo sertifikātu varētu izmantot uzbrukumā, kas balstītos uz to, ka daži lietotāji nepietiekami rūpīgi pamana, ka nosaukums īsti nesakrīt. Tas notika ar maksājumu apstrādātājs Stripe.
Izdevējiem, kuri vēlas pierādīt pasaulei, ka viņi patiesi ir viena un tā pati korporatīvā vienība, dažas sertifikācijas iestādes ir piedāvājušas Pagarinātās validācijas (EV) sertifikāti“Paplašinātā” daļa sastāv no papildu validācijām attiecībā uz pašu uzņēmumu, piemēram, uzņēmuma adresi, darba tālruņa numuru, uzņēmējdarbības licenci vai dibināšanas dokumentu un citiem atribūtiem, kas raksturīgi darbojošamies uzņēmumam. Elektrotransportlīdzekļi tiek piedāvāti par augstāku cenu, jo tiem nepieciešams vairāk darba no sertifikācijas iestādes puses.
Pārlūkprogrammas agrāk rādīja izceltu vizuālo atgriezenisko saiti elektrotransportlīdzekļiem, piemēram, atšķirīgu krāsu vai izturīgāku slēdzenes ikonu. Pēdējos gados elektrotransportlīdzekļi tirgū nav bijuši īpaši populāri. Tie lielākoties ir izzuduši. Daudzas pārlūkprogrammas vairs nerāda atšķirīgo atgriezenisko saiti.
Neskatoties uz joprojām pastāvošajiem trūkumiem, PKI laika gaitā ir ievērojami uzlabojusies. Trūkumiem kļūstot saprotamiem, tie ir novērsti. Ir stiprināti kriptogrāfiskie algoritmi, uzlabota pārvaldība un bloķētas ievainojamības. Pārvaldība, kas balstīta uz nozares dalībnieku vienprātību, ir darbojusies diezgan labi. Sistēma turpinās attīstīties gan tehnoloģiski, gan institucionāli. Izņemot regulatoru iejaukšanos, nav pamata gaidīt ko citu.
No elektrotransportlīdzekļu blāvās vēstures esam iemācījušies, ka tirgum tik ļoti nerūp korporatīvās identitātes verifikācija. Tomēr, ja interneta lietotāji to vēlētos, nebūtu nepieciešams uzlauzt esošo PKI, lai to viņiem nodrošinātu. Pietiktu ar nelielām izmaiņām esošajās darbplūsmās. Daži komentētāji ir ierosinājuši mainīt TLS rokasspiediens; tīmekļa vietnē tiktu parādīts viens papildu sertifikāts. Primārais sertifikāts darbotos tāpat kā pašlaik. Sekundārais sertifikāts, ko parakstījusi QWAC, ieviestu papildu identitātes standartus, ko EK apgalvo, ka tā vēlas.
EK apgalvotie eIDAS iemesli vienkārši nav ticami. Ne tikai sniegtie iemesli ir neticami, bet EK pat neapgrūtina sevi ar ierasto svētulīgo žēlošanos par to, kā mums drošības vārdā jāupurē svarīgas brīvības, jo mēs saskaramies ar nopietniem draudiem, ko rada [izvēlieties vienu] cilvēku tirdzniecība, bērnu drošība, nelikumīgi iegūtu līdzekļu legalizācija, izvairīšanās no nodokļu maksāšanas vai (mans personīgais favorīts) klimata pārmaiņasNav noliedzams, ka ES mūs maldina.
Ja EK nav godīga par saviem patiesajiem motīviem, ko tad viņi vēlas? Gibsons redz. ļaunprātīgs nodoms:
Un ir tikai viens iespējamais iemesls, kāpēc viņi vēlas [piespiest pārlūkprogrammas uzticēties QWAC], proti, lai nodrošinātu interneta datplūsmas pārtveršanu reāllaikā, tieši tāpat kā tas notiek korporācijās. Un tas ir atzīts.
(Ar “tīmekļa datplūsmas pārtveršanu” Gibsons domā iepriekš aprakstīto MITM uzbrukumu.) Citos komentāros ir uzsvērtas draudīgās sekas vārda brīvībai un politiskajiem protestiem. garā esejā izvirza slidenas nogāzes argumentu:
Kad liberāla demokrātija ievieš šāda veida kontroli pār tehnoloģijām tīmeklī, neskatoties uz tās sekām, tā liek pamatus autoritārākām valdībām, kas var nesodīti sekot šim piemēram.
Mozilla citēts techdirt (bez saites uz oriģinālu) saka vairāk vai mazāk to pašu:
Pārlūkprogrammu piespiešana automātiski uzticēties valdības atbalstītām sertifikātu izdevējām iestādēm ir galvenā autoritāru režīmu izmantotā taktika, un šos dalībniekus iedrošinātu ES darbību leģitimējošā ietekme…
Gibsons ražo līdzīgu novērošana:
Un tad vēl ir ļoti reāls rēgs par to, kādas citas durvis tas pavērs: ja ES parādīs pārējai pasaulei, ka tā var veiksmīgi diktēt uzticības nosacījumus neatkarīgajām tīmekļa pārlūkprogrammām, ko izmanto tās pilsoņi, kādas citas valstis sekos šim piemēram ar līdzīgiem likumiem? Tagad ikviens var vienkārši pieprasīt, lai tiktu pievienoti viņa paša valsts sertifikāti. Tas mūs ved pilnīgi nepareizā virzienā.
Šis ierosinātais 45. pants ir uzbrukums lietotāju privātumam ES valstīs. Ja tas tiktu pieņemts, tas būtu milzīgs trieciens ne tikai interneta drošībai, bet arī attīstītajai pārvaldības sistēmai. Es piekrītu Stīvam Gibsonam, ka:
Pilnīgi neskaidrs ir skaidrojums par pilnvarām, ar kurām ES iedomājas, ka tā spēj diktēt citu organizāciju programmatūras dizainu. Jo tieši uz to viss arī nonāk.
Reakcija uz ierosināto 45. pantu ir bijusi ārkārtīgi negatīva. EZF 45. pants par 12 gadiem atcels tīmekļa drošību raksta: “Šī ir katastrofa ikviena interneta lietotāja privātumam, bet jo īpaši to cilvēku privātumam, kuri internetu lieto ES.”
eIDAS iniciatīva ir četru trauksmes signālu ugunsgrēks drošības kopienai. Mozilla – atvērtā pirmkoda tīmekļa pārlūkprogrammas Firefox izstrādātāja – publicēja Nozares kopīgais paziņojums iebilst pret to. Paziņojumu ir parakstījuši daudzi zvaigžņu interneta infrastruktūras uzņēmumi, tostarp pati Mozilla, Cloudflare, Fastly un Linux Foundation.
No Atklāta vēstule pieminēts virs:
Pēc gandrīz galīgās teksta versijas izlasīšanas mūs dziļi satrauc ierosinātais 45. panta teksts. Pašreizējais priekšlikums radikāli paplašina valdību iespējas uzraudzīt gan savus pilsoņus, gan iedzīvotājus visā ES, nodrošinot tām tehniskos līdzekļus šifrētas tīmekļa datplūsmas pārtveršanai, kā arī apdraud esošos uzraudzības mehānismus, uz kuriem paļaujas Eiropas pilsoņi.
Kurp tas vedīs? Regula ir ierosināta jau kādu laiku. Galīgais lēmums bija paredzēts 2023. gada novembrī. Kopš tā laika tīmekļa meklējumos nav atrasta jauna informācija par šo tēmu.
Pēdējo gadu laikā ir pastiprinājusies klaja cenzūra visās tās formās. Covid-19 pandēmijas laikā valdība un nozare sadarbojās, lai izveidotu cenzūras-industriālais komplekss lai efektīvāk veicinātu nepatiesus naratīvus un apspiestu disidentus. Pēdējo gadu laikā skeptiķi un neatkarīgās balsis ir pretojušās, tiesāsun radot viedokļa neitrāls platformas.
Lai gan runas cenzūra joprojām rada lielas briesmas, rakstnieku un žurnālistu tiesības ir labāk aizsargātas nekā daudzas citas tiesības. ASV Pirmais grozījums ir skaidri noteikta vārda brīvības aizsardzība un brīvība kritizēt valdību. Tiesas var uzskatīt, ka jebkuras tiesības vai brīvības, ko neaizsargā ļoti specifiska likumā noteikta valoda, ir godīga spēle. Tas varētu būt iemesls, kāpēc pretošanās kustībai ir bijuši lielāki panākumi vārda brīvības jomā nekā citiem centieniem apturēt citus varas ļaunprātīgas izmantošanas gadījumus, piemēram, karantīnas un iedzīvotāju slēgšana.
Tā vietā, lai uzbrūktu labi aizsargātam pretiniekam, valdības savus uzbrukumus pārceļ uz citiem interneta infrastruktūras slāņiem. Šie pakalpojumi, piemēram, domēna reģistrācija, DNS, sertifikāti, maksājumu apstrādātāji, mitināšana un lietotņu veikali, lielākoties sastāv no privāta tirgus darījumiem. Šie pakalpojumi ir daudz mazāk aizsargāti nekā runas brīvība, jo lielākoties nevienam nav tiesību iegādāties konkrētu pakalpojumu no konkrēta uzņēmuma. Un tehniskāki pakalpojumi, piemēram, DNS un PKI, sabiedrībā ir mazāk saprotami nekā tīmekļa publicēšana.
PKI sistēma ir īpaši neaizsargāta pret uzbrukumiem, jo tā darbojas, pamatojoties uz reputāciju un vienprātību. Nav vienas iestādes, kas pārvaldītu visu sistēmu. Dalībniekiem ir jāiegūst reputācija, pateicoties pārredzamībai, atbilstībai un godīgai ziņošanai par kļūmēm. Un tas padara to neaizsargātu pret šāda veida graujošiem uzbrukumiem. Ja ES PKI nonāks regulatoru rokās, es sagaidu, ka citas valstis sekos. PKI ir apdraudēta ne tikai. Tiklīdz tiks pierādīts, ka regulatori var uzbrukt arī citiem sistēmas slāņiem, arī tie tiks pakļauti uzbrukumu mērķim.
-
Roberts Blūmens ir programmatūras inženieris un podkāstu vadītājs, kurš laiku pa laikam raksta par politiskiem un ekonomiskiem jautājumiem.
Skatīt visas ziņas
