Európska komisia je legislatívny orgán EÚ s regulačnou právomocou v oblasti digitálnych technológií. Článok 45 eIDAS EK, navrhované nariadenie, by zámerne oslabil oblasti internetovej bezpečnosti, ktoré toto odvetvie starostlivo rozvíjalo a sprísňovalo viac ako 25 rokov. Tento článok by v skutočnosti udelil 27 vládam EÚ výrazne rozšírené právomoci v oblasti dohľadu nad používaním internetu.
Predošlé články s varovaním:
30.8.2021 EÚ legalizuje špehovanie súkromných chatov a e-mailov: Total Control
EÚ by mohla presadiť svoj zákaz súkromných správ už budúci týždeň
Toto pravidlo by vyžadovalo, aby všetky internetové prehliadače dôverovali dodatočnému koreňovému certifikátu od agentúry (alebo regulovaného subjektu) od každej z národných vlád každého z členských štátov EÚ. Pre netechnických čitateľov vysvetlím, čo je koreňový certifikát, ako sa vyvinula internetová dôvera a čo s tým robí článok 45. A potom zvýrazním niektoré komentáre od technickej komunity k tejto záležitosti.
Ďalšia časť tohto článku vysvetlí, ako funguje dôveryhodná infraštruktúra internetu. Toto pozadie je potrebné na pochopenie toho, aký radikálny je navrhovaný článok. Vysvetlenie má byť prístupné aj pre netechnického čitateľa.
Predmetné nariadenie sa týka bezpečnosti internetu. Tu pojem „internet“ vo veľkej miere znamená prehliadače navštevujúce webové stránky. Internetová bezpečnosť pozostáva z mnohých odlišných aspektov. Cieľom článku 45 je upraviť infraštruktúru verejného kľúča (PKI), ktorá je súčasťou internetovej bezpečnosti od polovice 90. rokov. PKI bola najprv prijatá a potom vylepšená počas 25-ročného obdobia, aby používateľom a vlastníkom poskytla nasledujúce záruky:
S prosbou. Financujeme sa výlučne prostredníctvom vašich darov. Veľká vďaka
- Ochrana súkromia pri konverzácii medzi prehliadačom a webovou stránkou: Prehliadače a webové stránky konverzujú cez internet, sieť sietí prevádzkovaných Internet Service Poskytovatelia a operátori úrovne 1; alebo mobilní operátori, ak je zariadenie mobilné. Samotná sieť nie je vo svojej podstate bezpečná ani dôveryhodná. Váš nervózny domáci ISP, cestujúci v letiskovej hale, kde sa práve nachádzate čakáte na váš let alebo vás dodávateľ údajov, ktorý chce predať potenciálnych zákazníkov, môže chcieť špehovať. Bez akejkoľvek ochrany by zlý herec mohol zobraziť dôverné údaje, ako sú heslo, zostatok na kreditnej karte alebo zdravotné informácie.
- Zaručte, že si stránku prezeráte presne tak, ako vám ju web poslal: Pri prezeraní webovej stránky mohlo dôjsť k neoprávnenej manipulácii medzi vydavateľom a vaším prehliadačom? Cenzor môže chcieť odstrániť obsah, ktorý nechce, aby ste videli. Obsah označený ako „dezinformácia“ bol počas covidovej hystérie široko potláčaný. Hacker, ktorý vám ukradol kreditnú kartu, môže chcieť odstrániť dôkazy o svojich podvodných poplatkoch.
- Zaručte, že webová stránka, ktorú vidíte, je skutočne tá, ktorá sa nachádza na paneli s umiestnením prehliadača: Keď sa pripojíte k banke, ako viete, že sa vám zobrazuje webová stránka tejto banky, nie je to falošná verzia, ktorá vyzerá rovnako? V prehliadači skontrolujete panel s umiestnením. Mohol by byť váš prehliadač oklamaný, aby vám ukázal falošnú webovú stránku, ktorá vyzerá identicky so skutočnou? Ako váš prehliadač vie – s istotou – že je pripojený k správnej stránke?
V prvých dňoch internetu žiadne z týchto záruk neexistovalo. V roku 2010 doplnok prehliadača dostupný v obchode s doplnkami umožnil používateľovi zúčastniť sa skupinového chatu na Facebooku niekoho iného v hotspote kaviarne. Teraz – vďaka PKI si môžete byť týmito vecami celkom istý.
Tieto bezpečnostné funkcie sú chránené systémom založeným na digitálnych certifikátoch. Digitálne certifikáty sú formou ID – internetovej verzie vodičského preukazu. Keď sa prehliadač pripojí k lokalite, lokalita predloží prehliadaču certifikát. Certifikát obsahuje kryptografický kľúč. Prehliadač a webová lokalita spolupracujú so sériou kryptografických výpočtov na nastavenie bezpečnej komunikácie.
Prehliadač a webová lokalita spolu poskytujú tri bezpečnostné záruky:
- súkromie: šifrovaním konverzácie.
- kryptografické digitálne podpisy: aby sa zabezpečilo, že nedojde k úprave obsahu počas letu.
- overenie vydavateľa: cez reťazec dôvery poskytovaný PKI, ktorý podrobnejšie vysvetlím nižšie.
Dobrá identita by sa mala ťažko sfalšovať. V starovekom svete k tomuto účelu slúžil voskový odliatok pečate . Identity pre ľudí sa spoliehali na biometriu. Vaša tvár je jednou z najstarších foriem. V nedigitálnom svete, keď potrebujete získať prístup k vekovo obmedzenému nastaveniu, ako je napríklad objednávka alkoholického nápoja, budete požiadaní o preukaz totožnosti s fotografiou.
Ďalšou biometriou spred digitálnej éry bolo porovnávanie vášho čerstvého podpisu perom a atramentu s vaším pôvodným podpisom na zadnej strane vášho ID. Keďže tieto staršie typy biometrických údajov sa stávajú ľahšie falšovateľnými, prispôsobilo sa tomu aj overovanie ľudskej identity. Teraz je bežné, že vám banka pošle overovací kód na váš mobil. Aplikácia vyžaduje, aby ste na svojom mobilnom telefóne prešli biometrickou kontrolou identity, aby ste si mohli pozrieť kód, ako je rozpoznávanie tváre alebo odtlačok prsta.
Okrem biometrie je druhým faktorom, ktorý robí ID dôveryhodným, vydavateľ. Identifikátory, ktoré sú všeobecne akceptované, závisia od schopnosti vydavateľa overiť, že osoba žiadajúca o ID je tým, za koho sa vydáva. Väčšinu všeobecne akceptovaných foriem ID vydávajú vládne agentúry, ako napríklad Ministerstvo motorových vozidiel. Ak má vydávajúca agentúra spoľahlivé prostriedky na sledovanie toho, kto a kde sú jej subjekty, ako sú platby daní, záznamy o zamestnaní alebo využívanie vodohospodárskych služieb, potom je veľká šanca, že agentúra môže overiť, že osoba uvedená na preukaze totožnosti je tá osoba.
V online svete sa vlády väčšinou nezapájajú do overovania identity. Certifikáty vydávajú firmy zo súkromného sektora známe ako certifikačné autority (CA). Kým certifikáty boli kedysi dosť drahé, poplatky výrazne klesli až do bodu, keď niektoré sú zadarmo. Najznámejšie CA sú Verisign, DigiCert a GoDaddy. Ryan Hurst ukazuje sedem hlavných CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft a IdenTrust) vydáva 99 % všetkých certifikátov.
Prehliadač bude akceptovať certifikát ako dôkaz identity iba vtedy, ak sa pole názvu na certifikáte zhoduje s názvom domény, ktorý prehliadač zobrazuje v paneli s umiestnením. Aj keď sa názvy zhodujú, dokazuje to, že certifikát „apple.com“ patrí spoločnosti spotrebnej elektroniky známej ako Apple, Inc.? Nie. Systémy identity nie sú nepriestrelné. Neplnoletí pijani môžu získať falošné preukazy totožnosti. Rovnako ako ľudské ID, aj digitálne certifikáty môžu byť falošné alebo neplatné z iných dôvodov. Softvérový inžinier pomocou bezplatných nástrojov s otvoreným zdrojovým kódom môže vytvoriť digitálny certifikát s názvom „apple.com“ pomocou niekoľkých príkazov systému Linux.
Systém PKI sa spolieha na to, že certifikačné autority vydajú akýkoľvek certifikát iba vlastníkovi webovej stránky. Pracovný postup na získanie certifikátu vyzerá takto:
- Vydavateľ webovej lokality požiada svoju preferovanú CA o certifikát, pre doménu.
- CA overí, že žiadosť o certifikát pochádza od skutočného vlastníka danej lokality. Ako to CA zisťuje? CA vyžaduje, aby subjekt, ktorý žiadosť podáva, zverejnil konkrétny obsah na konkrétnej adrese URL. Schopnosť tak urobiť dokazuje, že subjekt má kontrolu nad webovou stránkou.
- Keď webová lokalita preukáže vlastníctvo domény, CA pripojí k certifikátu kryptografický digitálny podpis pomocou vlastného súkromného kryptografického kľúča. Podpis identifikuje CA ako vydavateľa.
- Podpísaný certifikát sa odovzdá osobe alebo subjektu, ktorý žiada.
- Vydavateľ nainštaluje svoj certifikát na svoju webovú stránku, takže môže byť prezentovaný prehliadačom.
Kryptografické digitálne podpisy sú „matematická schéma na overenie pravosti digitálnych správ alebo dokumentov.“ Nie sú to isté ako online podpisovanie dokumentov poskytované spoločnosťou DocuSign a podobnými dodávateľmi. Ak by sa podpis dal sfalšovať, potom by certifikáty neboli dôveryhodné. Postupom času sa veľkosť kryptografických kľúčov zväčšila s cieľom sťažiť falšovanie. Výskumníci v oblasti kryptografie sa domnievajú, že súčasné podpisy z praktického hľadiska nie je možné sfalšovať. Ďalšou zraniteľnosťou je, keď CA ukradne svoje tajné kľúče. Zlodej by potom mohol vytvoriť platné podpisy tejto CA.
Po nainštalovaní certifikátu sa použije počas nastavovania webovej konverzácie. Registrácia vysvetľuje ako to prebieha:
Ak bol certifikát vydaný známou dobrou certifikačnou autoritou a všetky podrobnosti sú správne, stránka je dôveryhodná a prehliadač sa pokúsi vytvoriť bezpečné, šifrované spojenie s webovou stránkou, aby vaša aktivita na stránke nebola viditeľná. na odpočúvanie v sieti. Ak certifikát vydala nedôveryhodná certifikačná autorita alebo sa certifikát nezhoduje s adresou webovej lokality alebo sú niektoré podrobnosti nesprávne, prehliadač webovú lokalitu odmietne z obavy, že sa nepripája k skutočnej webovej lokalite, ktorú používateľ chce. a možno sa rozprávate s napodobiteľom.
Prehliadaču môžeme dôverovať, pretože prehliadač dôveruje webovej stránke. Prehliadač webovej stránke dôveruje, pretože certifikát bol vydaný „známou dobrou“ CA. Čo je však „známa dobrá CA“? Väčšina prehliadačov sa spolieha na certifikačné autority poskytované operačným systémom. O zozname dôveryhodných CA rozhodujú predajcovia zariadení a softvéru. Hlavní predajcovia počítačov a zariadení – Microsoft, Apple, výrobcovia telefónov s Androidom a distribútori open source Linuxu – vopred nahrajú operačný systém na svojich zariadeniach pomocou súboru koreňových certifikátov.
Tieto certifikáty identifikujú CA, ktoré preverili a považujú za spoľahlivé. Táto kolekcia koreňových certifikátov sa nazýva „trust store“. Aby som uviedol príklad, ktorý je mi blízky, počítač so systémom Windows, ktorý používam na napísanie tohto článku, má vo svojom dôveryhodnom úložisku koreňových certifikátov 70 koreňových certifikátov. Stránky podpory spoločnosti Apple uvádzajú zoznam všetkých koreňov, ktorým verzia systému MacOS Sierra dôveruje.
Ako sa predajcovia počítačov a telefónov rozhodujú, ktoré CA sú dôveryhodné? Majú programy auditu a súladu na hodnotenie kvality CA. Zahrnuté sú len tie, ktoré prejdú. Pozrite si napríklad prehliadač Chrome (ktorý poskytuje vlastný dôveryhodný obchod namiesto toho, aby používal ten v zariadení). EFF (ktorá sa sama označuje ako „popredná nezisková organizácia brániaca občianske slobody v digitálnom svete“) vysvetľuje:
Prehliadače používajú „koreňové programy“ na monitorovanie bezpečnosti a dôveryhodnosti certifikačných autorít, ktorým dôverujú. Tieto koreňové programy ukladajú množstvo požiadaviek, ktoré sa líšia od „ako musí byť zabezpečený kľúčový materiál“ cez „ako sa musí vykonávať validácia kontroly názvu domény“ až po „aké algoritmy sa musia použiť na podpisovanie certifikátov“.
Po akceptovaní CA dodávateľom, dodávateľ ju naďalej monitoruje. Predajcovia odstránia certifikačné autority z dôveryhodného úložiska, ak certifikačná autorita nedodrží potrebné bezpečnostné štandardy. Certifikačné autority sa môžu stať nečestnými alebo zlyhať z iných dôvodov. Prehľad Registrovať:
Certifikáty a CA, ktoré ich vydávajú, nie sú vždy dôveryhodné a výrobcovia prehliadačov v priebehu rokov odstránili koreňové certifikáty CA z CA so sídlom v Turecku, Francúzsku, Číne, Kazachstane a inde, keď sa zistilo, že vydávajúci subjekt alebo pridružená strana zachytávajú web. dopravy.
V roku 2022 výskumník Ian Carroll oznámil bezpečnostné problémy s certifikačnou autoritou e-Tugra. Carroll „našiel množstvo alarmujúcich problémov, ktoré ma znepokojujú, pokiaľ ide o bezpečnostné postupy v ich spoločnosti“, ako napríklad slabé poverenia. Carrollove správy boli overené hlavnými dodávateľmi softvéru. V dôsledku toho bola e-Tugra odstránená z ich dôveryhodných obchodov certifikátov.
Časová os zlyhaní certifikačnej autority hovorí o ďalších takýchto incidentoch.
Stále existujú nejaké známe diery v PKI, ako v súčasnosti existuje. Pretože jedna konkrétna otázka je dôležitá pre pochopenie článku 45 eIDAS, vysvetlím to ďalej. Dôvera CA sa nevzťahuje na webové stránky, ktoré obchodujú s touto CA. Prehliadač prijme certifikát od akejkoľvek dôveryhodnej CA pre akúkoľvek webovú stránku. Nič nebráni CA vydať webovú stránku zlému aktérovi, o ktorú nepožiadal vlastník stránky. Takéto osvedčenie by bolo v právnom zmysle podvodné vzhľadom na to, komu bolo vydané. Obsah certifikátu by však bol z pohľadu prehliadača technicky platný.
Ak by existoval spôsob, ako priradiť každú webovú lokalitu k jej preferovanej CA, potom by akýkoľvek certifikát pre danú lokalitu od akejkoľvek inej CA bol okamžite uznaný ako podvodný. Pripnutie certifikátu je ďalším štandardom, ktorý robí krok týmto smerom. Ale ako by bolo toto združenie publikované a ako by sa tomuto vydavateľovi dôverovalo?
Na každej úrovni tohto procesu sa technické riešenie spolieha na externý zdroj dôvery. Ako sa však táto dôvera vytvára? Spoliehaním sa na ešte dôveryhodnejší zdroj na ďalšej vyššej úrovni? Táto otázka ilustruje „korytnačky, úplne dole“ povahu problému. PKI má korytnačku na dne: povesť, viditeľnosť a transparentnosť bezpečnostného priemyslu a jeho zákazníkov. Dôvera sa na tejto úrovni buduje neustálym monitorovaním, otvorenými štandardmi, vývojármi softvéru a CA.
Boli vydané podvodné certifikáty. V roku 2013 spoločnosť ArsTechnica oznámila, že Francúzska agentúra bola prichytená pri razení certifikátov SSL vydávajúcich sa za spoločnosť Google:
V roku 2011… výskumníci v oblasti bezpečnosti objavili falošný certifikát pre Google.com, ktorý útočníkom umožňoval vydávať sa za poštovú službu webovej stránky a iné ponuky . Falošný certifikát bol vyrazený po tom, čo útočníci prenikli do zabezpečenia holandského DigiNotaru a získali kontrolu nad jeho systémami vydávajúcimi certifikáty.
Poverenia SSL (Secure Socket Layer) boli digitálne podpísané platnou certifikačnou autoritou... V skutočnosti išlo o neautorizované duplikáty, ktoré boli vydané v rozpore s pravidlami stanovenými výrobcami prehliadačov a službami certifikačných autorít.
Môže dôjsť k podvodnému vydaniu certifikátu. Nečestný CA ho môže vydať, ale ďaleko sa nedostane. Chybný certifikát sa zistí. Zlá CA zlyhá v programoch dodržiavania predpisov a bude odstránená z dôveryhodných obchodov. Bez prijatia CA zanikne. Certificate Transparency, novší štandard, umožňuje rýchlejšie odhaľovanie podvodných certifikátov.
Prečo by mal byť CA nepoctivý? Akú výhodu môže ten zlý získať z neoprávneného certifikátu? So samotným certifikátom nič moc, aj keď je podpísaný dôveryhodnou CA. Ak sa však zlý človek dokáže spojiť s ISP alebo inak pristupovať k sieti, ktorú používa prehliadač, certifikát dáva zlému aktérovi možnosť prelomiť všetky bezpečnostné záruky PKI.
Hacker by mohol na konverzáciu spustiť útok typu man-in-the-middle (MITM). Útočník by sa mohol vložiť medzi prehliadač a skutočnú webovú stránku. V tomto scenári by používateľ hovoril priamo s útočníkom a útočník by prenášal obsah tam a späť so skutočnou webovou stránkou. Útočník by predložil podvodný certifikát prehliadaču. Keďže bol podpísaný dôveryhodnou CA, prehliadač ho akceptuje. Útočník mohol zobraziť a dokonca upraviť to, čo ktorákoľvek strana poslala predtým, ako to druhá strana prijala.
Teraz sa dostávame k zlovestnému eIDAS EÚ, článku 45. Toto navrhované nariadenie vyžaduje, aby všetky prehliadače dôverovali košu certifikátov od CA určených EÚ. Presne dvadsaťsedem: jeden pre každý členský štát. Tieto certifikáty sa nazývajú Kvalifikované certifikáty overenia webových stránok. Skratka „QWAC“ má nešťastný homofón pre šarlatánstvo – alebo nás možno EC trolluje.
QWAC by vydávali buď vládne agentúry, alebo to, čo Michael Rectenwald nazýva vládne orgány: „korporácie a spoločnosti a iné pobočky štátom, ktoré sa inak nazývajú „súkromné“, ale v skutočnosti fungujú ako štátne aparáty v tom, že presadzujú štátne naratívy a diktáty.
Táto schéma by priviedla vlády členských štátov EÚ o krok bližšie k bodu, v ktorom by mohli zaútočiť na svojich vlastných občanov. Potrebovali by tiež prístup k sieťam. Vlády sú schopné to urobiť. Ak je ISP vedený ako štátny podnik, tak by ho už mali. Ak sú poskytovatelia internetových služieb súkromné firmy, miestne orgány by mohli na získanie prístupu využiť policajné právomoci.
Jedným bodom, ktorý nebol vo verejnej diskusii zdôraznený, je, že prehliadač v ktorejkoľvek z 27 členských krajín EÚ by musel akceptovať každý jeden QWAC, jeden z každej EÚ člen. To znamená, že prehliadač napríklad v Španielsku by musel dôverovať QWAC od subjektov v Chorvátsku, Fínsku a Rakúsku. Španielsky používateľ, ktorý navštívi rakúsku webovú stránku, by musel prejsť cez rakúske časti internetu. Vyššie uvedené otázky by sa vzťahovali na všetky krajiny v rámci EÚ.
Register v časti s názvom Zlý eIDAS: Európa pripravená zachytiť a špehovať vaše šifrované pripojenia HTTPS vysvetľuje jeden spôsob, ako by to mohlo fungovať :
[T]táto vláda môže požiadať svoju spriatelenú CA o kópiu [QWAC] certifikátu, aby sa vláda mohla vydať za webovú stránku – alebo požiadať o nejaký iný certifikát, ktorému budú prehliadače dôverovať a akceptovať ich pre stránku. Pomocou útoku typu man-in-the-middle môže táto vláda zachytiť a dešifrovať šifrovaný prenos HTTPS medzi webovou stránkou a jej používateľmi, čo umožňuje režimu kedykoľvek presne sledovať, čo ľudia s touto stránkou robia.
Ako uviedol výrobca Firefoxu Mozilla:
To umožňuje vláde ktoréhokoľvek členského štátu EÚ vydávať certifikáty webových stránok na odpočúvanie a sledovanie, ktoré možno použiť proti každému občanovi EÚ, dokonca aj voči tým, ktorí nemajú bydlisko v členskom štáte, ktorý vydal členský štát alebo s ním nie sú spojení. Neexistuje žiadna nezávislá kontrola alebo rovnováha rozhodnutí prijatých členskými štátmi, pokiaľ ide o kľúče, ktoré autorizujú, a ich použitie.
Mandát pre Eú Komisiu udelila vláda SR v roku 2014 !!
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu (ďalej len „nariadenie eIDAS“) bolo prijaté 23. júla 2014.
na podporu implementácie nariadenia eIDAS. to
bude pokračovať v plnení svojho poslania v kontexte revízie nariadenia eIDAS, ktorým sa zavádza európsky rámec digitálnej identity
Expertná skupina eIDAS (ďalej len „skupina“) bola označená za hlavného partnera pre diskusiu
vykonávanie odporúčania Komisie o spoločnom súbore nástrojov Únie pre koordinovaný prístup k európskemu rámcu digitálnej identity
Ďalšie informácie nájdete tu.
Po preniknutí do štítu šifrovania by monitorovanie mohlo zahŕňať ukladanie hesiel používateľov a ich následné použitie v inom čase na prístup k e-mailovým účtom občanov. Okrem monitorovania môžu vlády upravovať obsah priamo. Mohli by napríklad odstrániť príbehy, ktoré chcú cenzurovať. K nesúhlasným názorom by mohli pripojiť otravné overenie faktov o stave opatrovateľky a upozornenia na obsah .
V súčasnosti si CA musia udržiavať dôveru komunity prehliadačov. Prehliadače v súčasnosti varujú používateľa, ak stránka predloží certifikát s vypršanou platnosťou alebo inak nedôveryhodný. Podľa článku 45 by boli zakázané varovania alebo vylúčenie osôb zneužívajúcich dôveru. Nielenže sú prehliadače povinné dôverovať QWAC, ale článok 45 zakazuje prehliadačom zobrazovať varovanie, že certifikát je podpísaný QWAC.
Posledná šanca pre eIDAS (webová stránka s logom Mozilly) obhajuje článok 45:
Ktorýkoľvek členský štát EÚ má možnosť určiť kryptografické kľúče na distribúciu vo webových prehliadačoch a prehliadačom je zakázané odvolávať dôveru v tieto kľúče bez vládneho povolenia.
…Neexistuje žiadna nezávislá kontrola alebo rovnováha rozhodnutí prijatých členskými štátmi v súvislosti s kľúčmi, ktoré autorizujú, a použitím, na ktoré ich používajú. Toto je obzvlášť znepokojujúce vzhľadom na to, že dodržiavanie zásad právneho štátu nebolo jednotné vo všetkých členských štátoch so zdokumentovanými prípadmi nátlak tajnou políciou na politické účely.
V otvorenom liste podpísanom niekoľkými stovkami bezpečnostných výskumníkov a počítačových vedcov:
Článok 45 tiež zakazuje bezpečnostné kontroly webových certifikátov EÚ, pokiaľ to nie je výslovne povolené nariadením pri vytváraní šifrovaných spojení s webovým prenosom. Namiesto špecifikovania súboru minimálnych bezpečnostných opatrení, ktoré sa musia presadzovať ako základ, sa v ňom v skutočnosti špecifikuje horná hranica bezpečnostných opatrení, ktoré nemožno zlepšiť bez povolenia ETSI. To je v rozpore s dobre zavedenými globálnymi normami, kde sa nové technológie kybernetickej bezpečnosti vyvíjajú a zavádzajú v reakcii na rýchly vývoj v oblasti technológií.
Väčšina z nás sa pri zostavovaní zoznamu dôveryhodných CA spolieha na našich dodávateľov. Ako používateľ však môžete pridávať alebo odstraňovať certifikáty podľa ľubovôle na svojich zariadeniach. Microsoft Windows má na to nástroj. V systéme Linux sú koreňové certifikáty súbory umiestnené v jednom adresári. CA môže byť nedôveryhodná jednoducho odstránením súboru. Bude aj toto zakázané? Steve Gibson, známy odborník na bezpečnosť, článok a hostiteľ dlhotrvajúceho podcastu Security Now pýta sa:
EÚ však uvádza, že prehliadače budú musieť rešpektovať tieto nové, neoverené a netestované certifikačné autority, a teda aj všetky certifikáty, ktoré vydajú, bez výnimky a bez možnosti postihu. Znamená to, že moja inštancia Firefoxu bude právne zaviazaná odmietnuť môj pokus o odstránenie týchto certifikátov?
Gibson poznamenáva, že niektoré korporácie implementujú podobný dohľad nad svojimi zamestnancami v rámci vlastnej súkromnej siete. Bez ohľadu na váš názor na tieto pracovné podmienky, niektoré odvetvia majú legitímne dôvody na audit a dodržiavanie predpisov na sledovanie a zaznamenávanie toho, čo ich zamestnanci robia so zdrojmi spoločnosti. Ako však Gibson pokračuje,
Problém je v tom, že EÚ a jej členské štáty sú veľmi odlišné od zamestnancov súkromnej organizácie. Kedykoľvek zamestnanec nechce byť špehovaný, môže použiť svoj vlastný smartfón na obídenie siete svojho zamestnávateľa. A samozrejme, súkromná sieť zamestnávateľa je práve taká, súkromná sieť. EÚ to chce urobiť pre celý verejný internet, z ktorého by nebolo úniku.
Teraz sme potvrdili radikálnu povahu tohto návrhu. Je čas sa opýtať, aké dôvody ponúka EK na motiváciu tejto zmeny? EK tvrdí, že overenie totožnosti podľa PKI nie je dostatočné. A že tieto zmeny sú potrebné na jej zlepšenie.
Je niečo pravdivé na tvrdeniach EK? Súčasné PKI vo väčšine prípadov vyžaduje len žiadosť o preukázanie kontroly nad webovou stránkou. Aj keď je to niečo, nezaručuje to napríklad, že webové vlastníctvo „apple.com“ vlastní spoločnosť zaoberajúca sa spotrebnou elektronikou známa ako Apple Inc, so sídlom v Cupertine v Kalifornii. Používateľ so zlými úmyslami môže získať platný certifikát pre doménu, ktorá je podobná názvu známej firmy. Platný certifikát by sa mohol použiť pri útoku, ktorý sa spoliehal na to, že niektorí používatelia sa nepozerali dostatočne dôkladne, aby si všimli, že názov sa úplne nezhoduje. Stalo sa to platobnému procesoru Stripe.
Pre vydavateľov, ktorí by chceli svetu dokázať, že sú skutočne tou istou právnickou osobou, niektoré CA ponúkajú Certifikáty predĺženej platnosti (EV). „Rozšírená“ časť pozostáva z dodatočných overení voči samotnej firme, ako je adresa firmy, pracovné telefónne číslo, obchodná licencia alebo registrácia a ďalšie atribúty typické pre nepretržitú činnosť. Elektromobily sú uvedené za vyššiu cenu, pretože vyžadujú viac práce zo strany CA.
Prehliadače používali na zobrazenie zvýraznenej vizuálnej spätnej väzby pre EV, ako je iná farba alebo odolnejšia ikona zámku. V posledných rokoch neboli EV na trhu obzvlášť populárne. Väčšinou vymreli. Mnoho prehliadačov už nezobrazuje rozdielovú spätnú väzbu.
Napriek slabým stránkam, ktoré stále existujú, sa PKI časom výrazne zlepšila. Keď sa nedostatky pochopili, riešili sa. Posilnili sa kryptografické algoritmy, zlepšilo sa riadenie a zablokovali sa zraniteľné miesta. Riadenie na základe konsenzu hráčov z odvetvia fungovalo celkom dobre. Systém sa bude naďalej vyvíjať, technologicky aj inštitucionálne. Okrem zasahovania regulačných orgánov nie je dôvod očakávať opak.
Z nevýraznej histórie EV sme sa naučili, že trh sa až tak nestará o overenie firemnej identity. Ak by to však používatelia internetu chceli, nebolo by potrebné prelomiť existujúce PKI, aby im to bolo poskytnuté. Stačili by nejaké malé úpravy existujúcich pracovných postupov. Niektorí komentujúci navrhli upraviť podanie ruky TLS; webová stránka by predložila jeden dodatočný certifikát. Primárny certifikát by fungoval ako teraz. Sekundárny certifikát podpísaný spoločnosťou QWAC by implementoval dodatočné štandardy identity, ktoré chce podľa EK.
Údajné dôvody EK pre eIDAS jednoducho nie sú dôveryhodné. Nielenže sú uvedené dôvody nepravdepodobné, EK sa ani neobťažuje zvyčajným posvätným fňukaním o tom, ako musíme obetovať dôležité slobody v mene bezpečnosti, pretože čelíme vážnej hrozbe obchodovania s ľuďmi, bezpečnosti detí a prania špinavých peňazí. , daňové úniky alebo (môj osobný favorit) zmena klímy. Nedá sa poprieť, že nám EÚ plynie.
Ak EK nie je úprimná, pokiaľ ide o ich skutočné motívy, o čo im potom ide? Gibson vidí nekalý úmysel:
A existuje len jeden možný dôvod, prečo chcú [vynútiť, aby prehliadače dôverovali QWAC], a to umožniť nepretržité zachytenie internetovej prevádzky, presne tak, ako sa to deje v korporáciách. A to sa uznáva.
(To, čo Gibson myslí pod pojmom „zachytenie internetovej prevádzky“, je útok MITM opísaný vyššie.) Iný komentár zdôraznil zlovestné dôsledky pre slobodu prejavu a politický protest. Hurst v dlhej eseji uvádza klzký argument:
Keď liberálna demokracia zavedie tento druh kontroly nad technológiou na webe, napriek jej následkom, položí základy pre autoritatívnejšie vlády, aby ich beztrestne nasledovali.
Mozilla citované v techdirt (bez odkazu na originál) hovorí viac-menej to isté:
Nútiť prehliadače, aby automaticky dôverovali certifikačným autoritám podporovaným vládou, je kľúčovou taktikou, ktorú používajú autoritárske režimy, a títo aktéri by boli povzbudení legitimizačným účinkom krokov EÚ…
Gibson urobil podobné pozorovanie:
A potom je tu veľmi skutočný prízrak toho, aké ďalšie dvere to otvára: Ak EÚ ukáže zvyšku sveta, že môže úspešne diktovať podmienky dôvery nezávislým webovým prehliadačom, ktoré používajú jej občania, aké ďalšie krajiny budú dodržiavať podobné zákony ? Teraz môže každý jednoducho vyžadovať, aby boli pridané certifikáty svojej vlastnej krajiny. To nás vedie úplne nesprávnym smerom.
Tento navrhovaný článok 45 je útokom na súkromie používateľov v krajinách EÚ. Ak by bol prijatý, znamenalo by to obrovskú prekážku nielen v oblasti internetovej bezpečnosti, ale aj v rozvinutom systéme riadenia. Súhlasím so Stevom Gibsonom, že:
Čo je úplne nejasné a s čím som sa nikde nestretol, je vysvetlenie autority, o ktorej si EÚ predstavuje, že môže diktovať dizajn softvéru iných organizácií. Pretože o to tu ide.
Reakcia na navrhovaný článok 45 bola značne negatívna. EFF v článku 45 vráti späť webovú bezpečnosť o 12 rokov píše: „Toto je katastrofa pre súkromie každého, kto používa internet, ale najmä pre tých, ktorí používajú internet v EÚ.
Snaha eIDAS je pre bezpečnostnú komunitu požiarom so štyrmi poplachmi. Mozilla – výrobca webového prehliadača Firefox s otvoreným zdrojovým kódom – zverejnila Spoločné vyhlásenie odvetvia, v ktorom sa postavila proti nemu. Vyhlásenie je podpísané hviezdnym zoznamom spoločností zaoberajúcich sa internetovou infraštruktúrou vrátane samotnej Mozilly, Cloudflare, Fastly a Linux Foundation.
Z otvoreného listu uvedeného vyššie:
Po prečítaní takmer konečného textu sme hlboko znepokojení navrhovaným znením článku 45. Súčasný návrh radikálne rozširuje schopnosť vlád sledovať svojich vlastných občanov a obyvateľov v celej EÚ tým, že im poskytuje technické prostriedky na odpočúvanie šifrovaných návštevnosť internetu, ako aj podkopávanie existujúcich mechanizmov dohľadu, na ktoré sa spoliehajú európski občania.
kam to ide? Nariadenie bolo navrhnuté už nejaký čas. Konečné rozhodnutie bolo naplánované na november 2023. Vyhľadávanie na webe odvtedy neukazuje žiadne nové informácie o tejto téme.
V posledných rokoch vzrástla priama cenzúra vo všetkých jej formách. Počas šialenstva okolo COVID-u sa vláda a priemysel spojili, aby vytvorili cenzúrno-priemyselný komplex na účinnejšiu propagáciu falošných naratívov a potláčanie disidentov. V posledných rokoch sa skeptici a nezávislé hlasy bránili na súdoch a vytváraním neutrálneho pohľadu platformy.
Zatiaľ čo cenzúra prejavu je naďalej veľkým nebezpečenstvom, práva spisovateľov a novinárov sú chránené lepšie ako mnohé iné práva. V USA má Prvý dodatok výslovnú ochranu prejavu a slobodu kritizovať vládu. Súdy môžu byť toho názoru, že akékoľvek práva alebo slobody, ktoré nie sú chránené vysoko špecifickými zákonnými jazykmi, sú férovou hrou. To môže byť dôvod, prečo mal odpor väčší úspech v reči ako iné snahy zastaviť iné zneužívanie moci, ako sú karantény a obmedzovanie populácie.
Vlády namiesto dobre bráneného nepriateľa presúvajú svoje útoky na iné vrstvy internetovej infraštruktúry. Tieto služby, ako je registrácia domén, DNS, certifikáty, spracovatelia platieb, hosting a obchody s aplikáciami, pozostávajú prevažne zo súkromných transakcií na trhu. Tieto služby sú oveľa menej chránené ako reč, pretože z väčšej časti nikto nemá právo kúpiť si konkrétnu službu od konkrétneho podniku. A technickejšie služby, ako sú DNS a PKI, verejnosť chápe menej ako publikovanie na webe.
Systém PKI je obzvlášť zraniteľný voči útokom, pretože funguje na základe reputácie a konsenzu. Neexistuje jediný orgán, ktorý by vládol celému systému. Hráči si musia získať reputáciu prostredníctvom transparentnosti, dodržiavania pravidiel a čestného hlásenia o zlyhaniach. A to ho robí zraniteľným voči tomuto typu rušivého útoku. Ak EÚ PKI pripadne regulačným orgánom, očakávam, že budú nasledovať ďalšie krajiny. Nielen PKI je ohrozená. Keď sa preukáže, že regulačné orgány môžu napadnúť ďalšie vrstvy komína, budú tiež zamerané.
Práve aj digitálna brána má byť práve na toto použitá. Použitá aj na vaše zdravotné záznamy, pre sociálne siete, na úradoch, , skratke povedané, na všetko a nikto tomu neujde. Môžete písať na sociálnych sieťach čo len chcete, neujdete tomuto otroctvu a donútia každého jedného na to, čo chcú !!
Petícia za vyhlásenie referenda
S prosbou. Financujeme sa výlučne prostredníctvom vašich darov. Veľká vďaka
Všetky práva vyhradené © OZ Dôstojnosť Slovenska.
