האיחוד האירופי רוצה לרגל אחר השימוש של האירופים באינטרנט

אל האני הנציבות האירופית הוא גוף מחוקק של האיחוד האירופי עם סמכות רגולטורית על טכנולוגיה דיגיטלית. סעיף 45 של eIDAS של ה-EC, הצעת תקנה, יחליש בכוונה תחומי אבטחת אינטרנט שהתעשייה פיתחה והקשיחה בקפידה במשך יותר מ-25 שנה. המאמר יעניק למעשה ל-27 ממשלות האיחוד האירופי סמכויות מעקב מורחבות מאוד על השימוש באינטרנט. 

הכלל יחייב את כל דפדפני האינטרנט לסמוך על תעודת שורש נוספת מסוכנות (או ישות מפוקחת) מכל אחת מהממשלות הלאומיות של כל אחת מהמדינות החברות באיחוד האירופי. עבור הקוראים הלא טכניים, אסביר מהי תעודת שורש, כיצד אמון באינטרנט התפתח ומה סעיף 45 עושה לכך. ואז אדגיש חלק מהפרשנויות מקהילת הטכנולוגיה בעניין הזה. 

החלק הבא של מאמר זה יסביר כיצד פועלת תשתית האמון של האינטרנט. רקע זה נחוץ על מנת להבין עד כמה קיצוני המאמר המוצע. ההסבר נועד להיות נגיש לקורא שאינו טכני.

הרגולציה המדוברת מתייחסת לאבטחת האינטרנט. כאן, "אינטרנט" פירושו, במידה רבה, דפדפנים המבקרים באתרי אינטרנט. אבטחת אינטרנט מורכבת מהיבטים שונים. סעיף 45 מתכוון לשנות תשתית מפתח ציבורי (PKI), חלק מאבטחת האינטרנט מאז אמצע שנות ה-90. PKI אומץ תחילה, ולאחר מכן שופר במהלך תקופה של 25 שנה, כדי לתת למשתמשים ולבעלי אתרים את ההבטחות הבאות: 

• פרטיות השיחה בין הדפדפן לאתר: דפדפנים ואתרי אינטרנט משוחחים דרך האינטרנט, רשת של רשתות המופעלות על ידי ספקי שירותי אינטרנט, ו מובילים ברמה 1, או ספקי סלולר אם המכשיר נייד. הרשת עצמה אינה בטוחה מטבעה ואינה אמינה. שֶׁלְךָ ספק אינטרנט חטטני בבית, מטייל בטרקלין שדה התעופה איפה אתה מחכה לטיסה שלך, או ספק נתונים שרוצה למכור לידים למפרסמים אולי רוצה לרגל אחריך. ללא כל הגנה, שחקן גרוע יכול לראות נתונים סודיים כגון סיסמה, יתרת כרטיס אשראי או מידע בריאותי. 
• הבטיחו שאתם צופים בעמוד בדיוק כמו שהאתר שלח אותו אליכם: האם כאשר אתה צופה בדף אינטרנט, האם ניתן היה להתעסק בו בין המפרסם לדפדפן שלך? ייתכן שצנזור ירצה להסיר תוכן שהוא לא רוצה שתראה. תוכן שסומן כ"מידע מוטעה" דוכא באופן נרחב במהלך היסטריה של קוביד. האקר שגנב את כרטיס האשראי שלך עשוי לרצות להסיר ראיות לחיובי הונאה שלו. 
• הבטח שהאתר שאתה רואה הוא באמת האתר שבסרגל המיקום של הדפדפן: כשאתה מתחבר לבנק איך אתה יודע שאתה רואה את האתר של אותו בנק, לא גרסה מזויפת שנראית זהה? אתה בודק את סרגל המיקום בדפדפן שלך. האם ניתן להערים על הדפדפן שלך להראות לך אתר מזויף שנראה זהה לאתר האמיתי? איך הדפדפן שלך יודע - בוודאות - שהוא מחובר לאתר הנכון? 

בימיו הראשונים של האינטרנט, אף אחת מההבטחות הללו לא הייתה קיימת. ב -2010, תוסף דפדפן זמין בחנות התוספים אפשרו למשתמש להשתתף בצ'אט קבוצתי של מישהו אחר בפייסבוק בנקודה חמה של בית קפה. עכשיו - הודות ל-PKI, אתה יכול להיות די בטוח בדברים האלה. 

תכונות אבטחה אלו מוגנות באמצעות מערכת המבוססת על תעודות דיגיטליות. תעודות דיגיטליות הן סוג של זיהוי - הגרסה האינטרנטית של רישיון נהיגה. כאשר דפדפן מתחבר לאתר, האתר מציג אישור לדפדפן. האישור מכיל מפתח קריפטוגרפי. הדפדפן והאתר עובדים יחד עם סדרה של חישובים קריפטוגרפיים כדי להגדיר תקשורת מאובטחת.

יחד, הדפדפן והאתר מספקים את שלוש ערבויות האבטחה:

• פְּרָטִיוּת: על ידי הצפנת השיחה.
• חתימות דיגיטליות קריפטוגרפיות: להבטיח ש התוכן לא משתנה במהלך הטיסה. 
• אימות של המפרסם: דרך שרשרת האמון שסופקה על ידי PKI, אותה אסביר ביתר פירוט בהמשך. 

זהות טובה צריכה להיות קשה לזיוף. בעולם העתיק, יציקת שעווה של חותם שירת מטרה זו. זהויות לבני אדם הסתמכו על ביומטריה. הפנים שלך הן אחת הצורות העתיקות ביותר. בעולם הלא דיגיטלי, כאשר תצטרכו לגשת להגדרה מוגבלת גיל, כמו הזמנת משקה אלכוהולי, תתבקשו להציג תעודה מזהה עם תמונה.

ביומטרי נוסף מלפני העידן הדיגיטלי היה להתאים את חתימת העט והדיו הטרייה שלך לחתימה המקורית שלך בגב תעודת הזהות שלך. ככל שהסוגים הישנים יותר של ביומטריה הופכים קלים יותר לזיוף, אימות הזהות האנושית הסתגל. כעת, מקובל שבנק שולח לך קוד אימות בנייד שלך. האפליקציה מחייבת אותך לעבור בדיקת זהות ביומטרית בטלפון הנייד שלך כדי לראות את הקוד כגון זיהוי פנים או טביעת האצבע שלך. 

בנוסף לביומטרי, הגורם השני שהופך תעודת זהות לאמין הוא המנפיק. תעודות זהות מקובלות רבות תלויות ביכולתו של המנפיק לוודא שהאדם שמבקש תעודת זהות הוא מי שהוא אומר שהוא. רוב הצורות המקובלות יותר של תעודות זהות מונפקות על ידי סוכנויות ממשלתיות, כגון המחלקה לכלי רכב. אם לסוכנות המנפיקה יש אמצעים מהימנים לעקוב אחר מי והיכן נמצאים הנושאים שלה, כגון תשלומי מס, רישומי תעסוקה או שימוש בשירותי שירות מים, אז יש סיכוי טוב שהסוכנות תוכל לוודא שהאדם ששמו בתעודת הזהות הוא האדם ההוא.

בעולם המקוון, ממשלות, לרוב, לא היו מעורבות באימות זהות. אישורים מונפקים על ידי חברות במגזר הפרטי הידועים בשם רשויות תעודה (CAs). בעוד שפעם אישורים היו יקרים למדי, העמלות ירדו במידה ניכרת עד לנקודה שבה חלקם בחינם. ה-CAs הידועים ביותר הם Verisign, DigiCert ו-GoDaddy. ראיין הרסט מראה שבעת ה-CAs הגדולות (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft ו-IdenTrust) מנפיקות 99% מכל האישורים.

הדפדפן יקבל תעודה כהוכחת זהות רק אם שדה השם בתעודה תואם לשם הדומיין, אותו מציג הדפדפן בשורת המיקום. גם אם השמות תואמים, האם זה מוכיח שתעודה האומרת "apple.comשייך לעסקי מוצרי האלקטרוניקה המכונה Apple, Inc.? לא. מערכות זהות אינן חסינות כדורים. שתיינים לקטינים יכול לקבל תעודות זהות מזויפות. כמו תעודות זהות אנושיות, גם תעודות דיגיטליות יכולות להיות מזויפות או לא חוקיות מסיבות אחרות. מהנדס תוכנה המשתמש בכלי קוד פתוח בחינם יכול ליצור תעודה דיגיטלית בשם "apple.com" עם כמה פקודות לינוקס. 

מערכת ה-PKI מסתמכת על אישורי הרשות להנפיק כל אישור רק לבעלים של האתר. זרימת העבודה לרכישת אישור הולך כך:

1. המוציא לאור של אתר אינטרנט פונה ל-CA המועדף עליו לקבלת תעודה, עבור דומיין. 
2. ה-CA מאמת שבקשת האישור מגיעה מהבעלים בפועל של אותו אתר. איך ה-CA קובע זאת? ה-CA דורש מהישות המגישה את הבקשה לפרסם קטע תוכן מסוים בכתובת URL ספציפית. היכולת לעשות זאת מוכיחה שלישות יש שליטה באתר.
3. לאחר שהאתר הוכיח את הבעלות על הדומיין, ה-CA מצרף את א חתימה דיגיטלית קריפטוגרפית לאישור באמצעות מפתח קריפטוגרפי פרטי משלו. החתימה מזהה את ה-CA כמנפיק. 
4. האישור החתום מועבר לאדם או לישות המגישים את הבקשה. 
5. המוציא לאור מתקין את האישור שלו באתר האינטרנט שלו, כך שהוא עשוי להיות מוצג לדפדפנים. 

חתימות דיגיטליות קריפטוגרפיות הם "תכנית מתמטית לאימות האותנטיות של הודעות או מסמכים דיגיטליים." הם אינם אותו דבר כמו החתימה המקוונת על מסמכים המסופקים על ידי DocuSign וספקים דומים. אם ניתן היה לזייף את החתימה, אז האישורים לא יהיו אמינים. עם הזמן גודל המפתחות ההצפנה גדל במטרה להקשות על הזיוף. חוקרי קריפטוגרפיה מאמינים שאי אפשר לזייף חתימות נוכחיות, מבחינה מעשית. פגיעות נוספת היא כאשר המפתחות הסודיים שלו נגנבים ל-CA. לאחר מכן הגנב יוכל לייצר חתימות תקפות של אותו CA. 

לאחר התקנת האישור, נעשה בו שימוש במהלך ההגדרה של שיחת אינטרנט. אל האני הירשם מסביר איך זה הולך:

אם האישור הונפק על ידי CA טוב ידוע, וכל הפרטים נכונים, אזי האתר אמין, והדפדפן ינסה ליצור חיבור מאובטח ומוצפן עם האתר כך שהפעילות שלך באתר לא תהיה גלויה לצותת ברשת. אם האישור הונפק על ידי CA שאינו מהימן, או שהאישור אינו תואם לכתובת האתר, או שחלק מהפרטים שגויים, הדפדפן ידחה את האתר מתוך חשש שהוא לא מתחבר לאתר האמיתי שהמשתמש רוצה , וייתכן שהוא מדבר עם מתחזה.

אנחנו יכולים לסמוך על הדפדפן כי הדפדפן סומך על האתר. הדפדפן סומך על האתר מכיוון שהאישור הונפק על ידי CA "ידוע טוב". אבל מה זה "CA טוב ידוע?" רוב הדפדפנים מסתמכים על ה-CAs המסופקים על ידי מערכת ההפעלה. רשימת ה-CAs המהימנים נקבעת על ידי ספקי מכשירים ותוכנה. ספקי המחשבים וההתקנים הגדולים - מיקרוסופט, אפל, יצרניות טלפונים אנדרואיד, ומפיצי לינוקס בקוד פתוח - טוענים מראש את מערכת ההפעלה במכשירים שלהם עם קבוצה של אישורי שורש.

תעודות אלו מזהות את ה-CAs שהם בדקו ורואים שהם אמינים. אוסף זה של תעודות שורש נקרא "חנות האמון". כדי לקחת דוגמה קרובה אליי, למחשב Windows שבו אני משתמש כדי לכתוב את היצירה הזו יש 70 אישורי שורש בחנות תעודות השורש המהימנות שלו. אתר התמיכה של אפל מפרט את כל השורשים המהימנים על ידי גרסת סיירה של MacOS. 

כיצד מחליטים ספקי המחשבים והטלפונים אילו CAs מהימנים? יש להם תוכניות ביקורת ותאימות כדי להעריך את האיכות של CAs. נכללים רק אלה שעוברים. ראה למשל, דפדפן Chrome (אשר מספקת חנות אמון משלה במקום להשתמש בזו שבמכשיר). ה-EFF (אשר מתאר את עצמו כ"ארגון המוביל ללא מטרות רווח המגן על חירויות האזרח בעולם הדיגיטלי") מסביר:

דפדפנים מפעילים "תוכניות שורש" כדי לפקח על האבטחה והאמינות של CAs שהם סומכים עליהם. תוכניות הבסיס הללו מטילות מספר דרישות, החל מ"כיצד יש לאבטח חומר מפתח" ל"כיצד יש לבצע אימות של בקרת שם דומיין" ועד "באיזה אלגוריתמים יש להשתמש לחתימה על אישורים".

לאחר ש-CA התקבל על ידי ספק, הספק ממשיך לעקוב אחריו. הספקים יסירו אישורי אישור מחנות האמון אם ה-CA לא יעמוד בתקני האבטחה הדרושים. רשויות האישורים יכולות, ועושות, להתחרפן או להיכשל מסיבות אחרות. אל האני הירשם דיווחים:

אישורים ואישורי ה-CA המנפיקים אותם אינם תמיד אמינים ויצרני דפדפנים במהלך השנים הסירו אישורי בסיס CA מ-CA המבוססים בטורקיה, צרפת, סין, קזחסטן ובמקומות אחרים כאשר נמצא שהישות המנפיקה או גורם קשור מיירטים את האינטרנט תְנוּעָה. 

בשנת 2022 דיווח החוקר איאן קרול חששות אבטחה עם רשות האישורים של e-Tugra. קרול "מצא מספר בעיות מדאיגות שמדאיגות אותי לגבי נוהלי האבטחה בחברה שלהם", כמו אישורים חלשים. הדוחות של קרול אומתו על ידי ספקי התוכנה הגדולים. כתוצאה מכך, e-Tugra היה הוסרו ממאגרי האישורים המהימנים שלהם. 

אל האני ציר זמן של כשלים של רשות האישורים מספר על מקרים נוספים כאלה. 

ישנם עדיין כמה חורים ידועים ב-PKI כפי שהוא קיים כעת. מכיוון שנושא מסוים אחד חשוב להבנת סעיף 45 של eIDAS, אסביר זאת בהמשך. האמון של CA אינו חל על אותם אתרים שמנהלים את עסקיהם עם אותה CA. דפדפן יקבל אישור מכל CA מהימן עבור כל אתר אינטרנט. אין דבר שמפריע ל-CA להנפיק אתר לשחקן גרוע שלא התבקש על ידי בעל האתר. תעודה כזו תהיה תרמית במובן המשפטי בגלל מי שהונפקה לו. אבל התוכן של האישור יהיה תקף מבחינה טכנית מנקודת המבט של הדפדפן. 

אם הייתה דרך לשייך כל אתר ל-CA המועדף עליו, אזי כל אישור עבור אתר זה מכל CA אחר יוכר מיד כמרמה. הצמדת תעודה הוא תקן נוסף שעושה צעד בכיוון הזה. אבל איך אותה עמותה תתפרסם וכיצד ניתן יהיה לסמוך על המו"ל הזה? 

בכל שכבה של תהליך זה, הפתרון הטכני נשען על מקור אמון חיצוני. אבל איך נוצר אמון זה? על ידי הסתמכות על מקור מהימן אפילו יותר במישור הגבוה הבא? שאלה זו ממחישה את "צבים, כל הדרך למטה"טבע הבעיה. ל-PKI אכן יש צב בתחתית: המוניטין, הנראות והשקיפות של תעשיית האבטחה ולקוחותיה. אמון נבנה ברמה זו באמצעות ניטור מתמיד, סטנדרטים פתוחים, מפתחי התוכנה וה-CAs. 

הונפקו תעודות הונאה. בשנת 2013, דיווחה ArsTechnica סוכנות צרפתית תפסה מטביעה תעודות SSL כשהן מתחזות לגוגל:

בשנת 2011... חוקרי אבטחה זיהה תעודה מזויפת עבור Google.com שנתן לתוקפים את היכולת להתחזות לשירות הדואר של האתר ולהצעות אחרות. התעודה המזויפת הוטבעה לאחר שתוקפים פילחו את האבטחה של DigiNotar ההולנדית והשיגו שליטה על מערכות הנפקת התעודות שלה.

אישורי שכבת השקעים המאובטחים (SSL) נחתמו דיגיטלית על ידי רשות אישורים תקפה... למעשה, האישורים היו כפילויות לא מורשות שהונפקו בניגוד לכללים שנקבעו על ידי יצרני הדפדפנים ושירותי רשות האישורים.

הנפקת תעודה במרמה יכולה לקרות. CA נוכל יכול להנפיק אחד, אבל הם לא יגיעו רחוק. התעודה הפגומה תזוהה. ה-CA הגרוע יכשל בתוכניות תאימות ותוסר מחנויות האמון. ללא קבלה, ה-CA ייצא מהעסק. שקיפות תעודה, תקן עדכני יותר, מאפשר זיהוי מהיר יותר של תעודות הונאה. 

למה ש-CA יהיה נוכל? איזה יתרון יכול להרוויח האיש הרע מתעודה לא מורשית? עם התעודה בלבד, לא הרבה, אפילו כשנחתם על ידי CA מהימן. אבל אם האיש הרע יכול לחבור לספק שירותי אינטרנט, או לגשת בדרך אחרת לרשת שבה משתמש הדפדפן, התעודה מעניקה לשחקן הרע את היכולת לשבור את כל ערבויות האבטחה של PKI. 

ההאקר יכול לעלות א מתקפה של אדם באמצע (MITM) על השיחה. התוקף יכול להכניס את עצמו בין הדפדפן לאתר האמיתי. בתרחיש זה, המשתמש היה מדבר ישירות אל התוקף, והתוקף יעביר את התוכן הלוך ושוב עם האתר האמיתי. התוקף יציג את אישור הונאה לדפדפן. מכיוון שהוא נחתם על ידי CA מהימן, הדפדפן יקבל את זה. התוקף יכול היה לראות ואף לשנות את מה שאחד מהצדדים שלח לפני שהצד השני קיבל את זה.

כעת אנו מגיעים ל-eIDAS המרושע של האיחוד האירופי, סעיף 45. תקנה מוצעת זו מחייבת את כל הדפדפנים לסמוך על סל של אישורים מ-CAs שהוגדרו על ידי האיחוד האירופי. עשרים ושבע ליתר דיוק: אחד לכל עם חבר. יש לקרוא לתעודות אלה אישורי אימות אתר מוסמכים. לראשי התיבות "QWAC" יש הומופון מצער נוֹכְלוּת - או אולי ה-EC טרולינג אותנו.

ה-QWACs יונפקו או על ידי סוכנויות ממשלתיות, או מה שמייקל רקטנוולד מכנה ממשלות: "תאגידים וחברות וספחים אחרים של המדינה המכונים אחרת 'פרטיים', אבל באמת פועלים כמנגנוני מדינה, בכך שהם אוכפים נרטיבים ותכתיבים של המדינה." 

תוכנית זו תקרב את הממשלות החברות באיחוד האירופי צעד אחד קרוב יותר לנקודה שבה הן יכולות לתקוף "באמצע" נגד אזרחיהן. הם גם יצטרכו לגשת לרשתות. ממשלות נמצאות בעמדה לעשות זאת. אם ה-ISP מנוהל כמיזם בבעלות המדינה, אז זה כבר יהיה להם. אם ספקיות האינטרנט הן חברות פרטיות, אז מקומיות הרשויות יכול להשתמש בסמכויות המשטרה כדי לקבל גישה. 

נקודה אחת שלא הודגשה בשיחה הפומבית היא שדפדפן בכל אחת מ-27 המדינות החברות באיחוד האירופי יידרש לקבל כל QWAC בודד, אחד מכל אחד חבר האיחוד האירופי. המשמעות היא שדפדפן בספרד, למשל, יצטרך לתת אמון ב-QWAC של ישויות בקרואטיה, פינלנד ואוסטריה. המשתמש הספרדי המבקר באתר אינטרנט אוסטרי יצטרך לעבור דרך חלקים אוסטריים של האינטרנט. הסוגיות שהועלו לעיל יחולו כולן בכל מדינות בתוך האיחוד האירופי. 

המרשם, ביצירה שכותרתה eIDAS גרוע: אירופה מוכנה ליירט, ריגל אחרי חיבורי ה-HTTPS המוצפנים שלך מסביר דרך אחת שזה יכול לעבוד:

הממשלה יכולה לבקש מה-CA הידידותי שלה עותק של [תעודת ה-QWAC] כדי שהממשלה תוכל להתחזות לאתר - או לבקש אישורים אחרים שדפדפנים יבטחו ויקבלו עבור האתר. לפיכך, באמצעות התקפת איש-באמצע, אותה ממשלה יכולה ליירט ולפענח את תעבורת ה-HTTPS המוצפנת בין האתר למשתמשים שלו, מה שמאפשר למשטר לפקח בדיוק על מה שאנשים עושים עם האתר הזה בכל עת.

לאחר שחדרו למגן ההצפנה, ניטור יכול לכלול שמירת סיסמאות של משתמשים, ולאחר מכן שימוש בהן במועד אחר כדי לגשת לחשבונות האימייל של אזרחים. בנוסף לניטור, ממשלות יכולות לשנות תוכן בשורה. לדוגמה, הם יכולים להסיר את הנרטיבים שהם רוצים לצנזר. הם יכולים לצרף מעצבן בדיקת עובדות של מדינת המטפלת ו אזהרות תוכן לדעות שונות.

כפי שהדברים נראים כעת, על רשות הרשות לשמור על אמון קהילת הדפדפנים. דפדפנים מזהירים כעת את המשתמש אם אתר מציג אישור שפג תוקפו או לא מהימן בדרך אחרת. לפי סעיף 45, אזהרות או פליטה של ​​פורצי אמון יהיו אסורים. לא רק שדפדפנים מחויבים לתת אמון ב-QWACs, אלא שסעיף 45 אוסר על דפדפנים להציג אזהרה שתעודה חתומה על-ידי QWAC. 

הזדמנות אחרונה עבור eIDAS (אתר המציג את הלוגו של מוזילה) דוגל נגד סעיף 45: 

לכל מדינה חברה באיחוד האירופי יש את היכולת לייעד מפתחות קריפטוגרפיים להפצה בדפדפני אינטרנט ואסור לדפדפנים לבטל את האמון במפתחות אלה ללא אישור ממשלתי. 

...אין בדיקה או איזון עצמאיים לגבי ההחלטות שהתקבלו על ידי המדינות החברות ביחס למפתחות שהן מאשרות ולשימוש שהן משתמשות בהן. זה מטריד במיוחד בהתחשב בשמירה על שלטון החוק לא היה אחיד בכל המדינות החברות, עם מקרים מתועדים של כפייה של המשטרה החשאית למטרות פוליטיות.

ב מכתב פתוח חתום על ידי כמה מאות חוקרי אבטחה ומדעני מחשב:

סעיף 45 גם אוסר על בדיקות אבטחה בתעודות אינטרנט של האיחוד האירופי, אלא אם כן הותר במפורש על ידי רגולציה בעת יצירת חיבורי תעבורת אינטרנט מוצפנים. במקום לציין קבוצה של אמצעי אבטחה מינימליים שיש לאכוף כקו בסיס, הוא מציין למעשה גבול עליון לאמצעי האבטחה שלא ניתן לשפר ללא אישור ETSI. זה מנוגד לנורמות גלובליות מבוססות שבהן טכנולוגיות אבטחת סייבר חדשות מפותחות ונפרסות בתגובה להתפתחויות מהירות בטכנולוגיה. 

רובנו מסתמכים על הספקים שלנו כדי לאצור את רשימת ה-CAs המהימנים. עם זאת, כמשתמש, אתה יכול להוסיף או להסיר אישורים כרצונך במכשירים שלך. ל- Microsoft Windows יש א כלי לעשות זאת. ב-Linux, אישורי השורש הם קבצים הממוקמים בספרייה אחת. ייתכן ש-CA לא יהיה מהימן פשוט על ידי מחיקת הקובץ. האם גם זה יהיה אסור? סטיב גיבסון, מומחה בתחום האבטחה, טור, ומארח של פודקאסט Security Now ארוך שנים שואל:

אבל האיחוד האירופי מצהיר שדפדפנים יידרשו לכבד את רשויות האישורים החדשות, הלא מוכחות ולא בדוקות, ובכך את כל האישורים שהם מנפיקים, ללא יוצא מן הכלל וללא פניות. האם זה אומר שהמופע שלי של Firefox יהיה מחויב משפטית לסרב לניסיון שלי להסיר את האישורים האלה?

גיבסון מציין שחלק מהתאגידים מיישמים מעקב דומה על העובדים שלהם ברשת הפרטית שלהם. לא משנה מה דעתך על תנאי העבודה הללו, לחלק מהתעשיות יש סיבות לגיטימיות לביקורת ותאימות כדי לעקוב ולתעד מה העובדים שלהם עושים עם משאבי החברה. אבל, כמו גיבסון ממשיך,

הצרה היא שהאיחוד האירופי והמדינות החברות בו שונות מאוד מעובדי ארגון פרטי. בכל פעם שעובד לא רוצה שיריגלו אחריו, הם יכולים להשתמש בסמארטפון משלהם כדי לעקוף את הרשת של המעסיק שלו. וכמובן רשת פרטית של מעסיק היא בדיוק זה, רשת פרטית. האיחוד האירופי רוצה לעשות זאת עבור כל האינטרנט הציבורי שממנו לא יהיה מנוס.

כעת קבענו את האופי הרדיקלי של הצעה זו. הגיע הזמן לשאול, אילו סיבות מציעה ה-EC כדי להניע את השינוי הזה? ה-EC אומר שאימות זהות תחת PKI אינו מספק. ושהשינויים האלה נחוצים כדי לשפר אותו. 

האם יש אמת בטענות ה-EC? PKI נוכחי ברוב המקרים דורש רק את הבקשה להוכחת שליטה באתר. אמנם זה משהו, אבל זה לא מבטיח, למשל, שנכס האינטרנט "apple.com" הוא בבעלות חברת האלקטרוניקה הצרכנית הידועה בשם Apple Inc, שבסיסה בקופרטינו, קליפורניה. משתמש זדוני עלול לקבל אישור תקף עבור שם דומיין דומה לזה של עסק מוכר. האישור התקף יכול לשמש בהתקפה שהסתמכה על שמשתמשים מסוימים לא יסתכלו מספיק כדי לשים לב שהשם לא לגמרי תואם. זה קרה ל מעבד התשלומים Stripe.

לבעלי אתרים שרוצים להוכיח לעולם שהם באמת אותה ישות תאגידית, כמה רשות אישורים הציעו תעודות אימות מורחב (EV).. החלק ה"מורחב" מורכב מאימותים נוספים מול העסק עצמו, כגון כתובת העסק, מספר טלפון עובד, רישיון עסק או התאגדות ומאפיינים אחרים האופייניים לעסק חי. רכבי EV רשומים במחיר גבוה יותר מכיוון שהם דורשים יותר עבודה על ידי ה-CA. 

דפדפנים משמשים להצגת משוב חזותי מודגש עבור EV, כגון צבע אחר או סמל מנעול יציב יותר. בשנים האחרונות, רכבי EV לא היו פופולריים במיוחד בשוק. הם לרוב מתו. דפדפנים רבים כבר לא מציגים את המשוב הדיפרנציאלי. 

למרות החולשות שעדיין קיימות, PKI השתפר בצורה ניכרת עם הזמן. ככל שהפגמים הובנו, הם טופלו. אלגוריתמים קריפטוגרפיים חוזקו, הממשל השתפר ופגיעויות נחסמו. ממשל על ידי קונצנזוס של שחקנים בתעשייה עבד די טוב. המערכת תמשיך להתפתח, הן מבחינה טכנולוגית והן מבחינה מוסדית. מלבד התערבות של הרגולטורים, אין סיבה לצפות אחרת.

למדנו מההיסטוריה חסרת הברק של כלי רכב חשמליים שלשוק לא אכפת כל כך מאימות זהות ארגונית. עם זאת, אם משתמשי אינטרנט אכן רצו בכך, זה לא ידרוש שבירת PKI קיים כדי לתת להם אותו. כמה שינויים קטנים בזרימות העבודה הקיימות יספיקו. כמה מגיבים הציעו לשנות את לחיצת יד של TLS; האתר יציג תעודה אחת נוספת. התעודה הראשית תעבוד כפי שהיא פועלת כעת. האישור המשני, חתום על ידי QWAC, יישם את תקני הזהות הנוספים שה-EC אומר שהוא רוצה.

הסיבות לכאורה של ה-EC ל-eIDAS פשוט אינן אמינות. לא רק שהסיבות שניתנו אינן סבירות, ה-EC אפילו לא מתעסק עם ההתבכיינות הרגילה על האופן שבו עלינו להקריב חירויות חשובות בשם הבטיחות מכיוון שאנו עומדים בפני האיום החמור של סחר בבני אדם, בטיחות ילדים, הלבנת הון. , העלמת מס, או (האהוב עליי האישי) שינוי האקלים. אי אפשר להכחיש שהאיחוד האירופי מדליק אותנו.

אם ה-EC לא ישר לגבי המניעים האמיתיים שלהם, אז מה הם מחפשים? גיבסון רואה כוונה מרושעת:

ויש רק סיבה אפשרית אחת לכך שהם רוצים [לאכוף דפדפנים לתת אמון ב-QWACs], והיא לאפשר יירוט תעבורת אינטרנט תוך כדי תנועה באינטרנט, בדיוק כפי שקורה בתוך תאגידים. וזה מודה. 

(מה שגיבסון מתכוון ב"יירוט תעבורת אינטרנט" הוא מתקפת ה-MITM שתוארה לעיל.) פרשנות אחרת הדגישה את ההשלכות המרושעות על חופש הביטוי והמחאה הפוליטית. הרסט במאמר ארוך צורה מעלה טיעון מדרון חלקלק:

כאשר דמוקרטיה ליברלית מבססת סוג זה של שליטה על טכנולוגיה ברשת, למרות ההשלכות שלה, היא מניחה את התשתית לממשלות אוטוריטריות יותר ללכת בעקבותיה ללא עונש.

מוזילה מצוטט ב-techdirt (ללא קישור למקור) אומר פחות או יותר אותו דבר:

אילוץ דפדפנים לתת אמון אוטומטי ברשויות האישורים הנתמכות על ידי הממשלה היא טקטיקה מרכזית בה משתמשים משטרים אוטוריטריים, ושחקנים אלה יתחזקו מהשפעת הלגיטימציה של פעולות האיחוד האירופי...

גיבסון עושה דבר דומה תצפית:

ואז יש את הספק האמיתי של אילו דלתות אחרות זה פותח: אם האיחוד האירופי יראה לשאר העולם שהוא יכול להכתיב בהצלחה את תנאי האמון עבור דפדפני האינטרנט העצמאיים המשמשים את האזרחים שלו, מה יפעלו מדינות אחרות עם חוקים דומים ? עכשיו כל אחד יכול פשוט לדרוש שיוסיפו את התעודות של המדינה שלו. זה לוקח אותנו בדיוק לכיוון הלא נכון.

סעיף 45 זה הוא התקפה על פרטיות המשתמשים במדינות האיחוד האירופי. אם יאומץ, זה יהיה נסיגה אדירה לא רק באבטחת האינטרנט, אלא במערכת הממשל המפותחת. אני מסכים עם סטיב גיבסון ש:

מה שלא ברור לחלוטין, ומה שלא נתקלתי בו בשום מקום, הוא הסבר על הסמכות שבאמצעותה האיחוד האירופי מדמיין שהוא מסוגל להכתיב את העיצוב של תוכנות של ארגונים אחרים. כי לזה זה מסתכם.

התגובה לסעיף 45 המוצע הייתה שלילית ביותר. ה-EFF ב סעיף 45 יחזיר את אבטחת האינטרנט ב-12 שנים כותב, "זהו קטסטרופה לפרטיות של כל מי שמשתמש באינטרנט, אבל במיוחד עבור אלה שמשתמשים באינטרנט באיחוד האירופי". 

מאמץ eIDAS הוא שריפה של ארבע אזעקות עבור קהילת האבטחה. Mozilla - יצרנית דפדפן פיירפוקס בקוד פתוח - פרסמה הודעה הצהרה משותפת לתעשייה מתנגדים לזה. ההצהרה נחתמה על ידי רשימת כוכבים של חברות תשתית אינטרנט כולל מוזילה עצמה, Cloudflare, Fastly וקרן לינוקס. 

מה- מכתב פתוח מוזכר לעיל: 

לאחר קריאת הטקסט הכמעט סופי, אנו מודאגים מאוד מהטקסט המוצע לסעיף 45. ההצעה הנוכחית מרחיבה באופן קיצוני את יכולתן של ממשלות לפקח על האזרחים שלהן והן על תושביהן ברחבי האיחוד האירופי על ידי מתן האמצעים הטכניים ליירט מוצפן תעבורת אינטרנט, כמו גם ערעור מנגנוני הפיקוח הקיימים שעליהם מסתמכים אזרחי אירופה. 

לאן זה הולך? התקנה מוצעת מזה זמן. החלטה סופית נקבעה לנובמבר 2023. חיפושי אינטרנט לא מראים מידע חדש בנושא זה מאז אותה תקופה. 

בשנים האחרונות גברה הצנזורה המוחלטת על כל צורותיה. במהלך טירוף הקוביד, הממשלה והתעשייה שותפו ליצירת א מתחם צנזורה-תעשייתי כדי לקדם בצורה יעילה יותר נרטיבים כוזבים ולדכא מתנגדים. בשנים האחרונות, ספקנים וקולות עצמאיים נלחמו בחזרה, בבתי משפט, ועל ידי יצירה נקודת מבט ניטראלית פלטפורמות. 

בעוד שצנזור הדיבור ממשיך להוות סכנה גדולה, זכויותיהם של סופרים ועיתונאים מוגנות טוב יותר מזכויות רבות אחרות. בארה"ב, ה התיקון הראשון יש לו הגנה מפורשת על הדיבור והחופש לבקר את הממשלה. בתי המשפט עשויים לסבור שכל זכויות או חירויות שאינן מוגנות בשפה סטטוטורית מאוד ספציפית הן משחק הוגן. זו אולי הסיבה שההתנגדות זכתה להצלחה רבה יותר בדיבור מאשר מאמצים אחרים לעצור ניצול לרעה של כוח אחר, כגון הסגר ומנעולי אוכלוסין. 

במקום אויב מוגן היטב, ממשלות מעבירות את התקפותיהן לשכבות אחרות של תשתית האינטרנט. שירותים אלה, כגון רישום דומיין, DNS, אישורים, מעבדי תשלומים, אירוח וחנויות אפליקציות, מורכבים בעיקר מעסקאות בשוק הפרטי. שירותים אלו מוגנים הרבה פחות מהדיבור מכיוון שלרוב אין זכות לאף אחד לרכוש שירות ספציפי מעסק מסוים. והשירותים הטכניים יותר כמו DNS ו-PKI פחות מובנים לציבור מאשר פרסום באינטרנט.

מערכת PKI פגיעה במיוחד להתקפה מכיוון שהיא פועלת לפי מוניטין והסכמה. אין רשות אחת השולטת בכל המערכת. השחקנים חייבים לצבור מוניטין באמצעות שקיפות, ציות ודיווח כנה על כשלים. וזה הופך אותו לפגיע לסוג זה של התקפה משבשת. אם PKI של האיחוד האירופי ייפול לידי הרגולטורים, אני מצפה שמדינות אחרות ילכו בעקבותיו. לא רק PKI נמצא בסיכון. ברגע שיוכח כי ניתן לתקוף שכבות אחרות של הערימה על ידי הרגולטורים, הן יהיו ממוקדות גם כן.