COMPARTIR | IMPRIMIR | CORREU ELECTRÒNIC
La Comissió Europea és un òrgan legislatiu de la UE amb autoritat reguladora sobre la tecnologia digital. L'article 45 de l'eIDAS de la CE, una proposta de regulació, debilitaria deliberadament àrees de seguretat a Internet que la indústria ha evolucionat i endurit amb cura durant més de 25 anys. L'article atorgaria efectivament als 27 governs de la UE uns poders de vigilància molt ampliats sobre l'ús d'Internet.
La regla requeriria que tots els navegadors d'Internet confiessin en un certificat arrel addicional d'una agència (o d'una entitat regulada) de cadascun dels governs nacionals de cadascun dels estats membres de la UE. Per als lectors no tècnics, explicaré què és un certificat arrel, com ha evolucionat la confiança a Internet i què hi fa l'article 45. I després destacaré alguns dels comentaris de la comunitat tecnològica sobre aquest tema.
La següent secció d'aquest article explicarà com funciona la infraestructura de confiança d'Internet. Aquests antecedents són necessaris per entendre com de radical és l'article proposat. L'explicació està pensada per ser accessible per a un lector no tècnic.
La normativa en qüestió aborda la seguretat a Internet. Aquí, "internet" significa, en gran mesura, els navegadors que visiten llocs web. La seguretat a Internet consta de molts aspectes diferents. L'article 45 pretén modificar-lo Infraestructura de clau pública (PKI), una part de la seguretat a Internet des de mitjans dels anys 90. La PKI s'ha adoptat al principi, i després s'ha millorat durant un període de 25 anys, per oferir als usuaris i editors les garanties següents:
- Privadesa de la conversa entre el navegador i el lloc web: navegadors i llocs web conversen a través d'Internet, una xarxa de xarxes operada per Internet Service Providersi Operadors de nivell 1; O portadors cel·lulars si el dispositiu és mòbil. La xarxa en si no és inherentment segura ni fiable. El teu ISP de casa entrometida, un viatger al saló de l'aeroport on esteu esperant el vostre vol, o un venedor de dades que busca vendre clients potencials als anunciants potser voldria espiar-te. Sense cap protecció, un mal actor podria veure dades confidencials com ara una contrasenya, el saldo de la targeta de crèdit o la informació de salut.
- Assegureu-vos que visualitzeu la pàgina exactament com us l'ha enviat el lloc web: Quan visualitzeu una pàgina web, es podria haver manipulat entre l'editor i el vostre navegador? És possible que un censor vulgui eliminar contingut que no vol que vegis. El contingut etiquetat com a "desinformació" va ser àmpliament suprimit durant la histèria del covid. És possible que un pirata informàtic que hagi robat la vostra targeta de crèdit vulgui eliminar les proves dels seus càrrecs fraudulents.
- Assegureu-vos que el lloc web que veieu és realment el de la barra d'ubicació del navegador: Quan et connectes a un banc, com saps que estàs veient el lloc web d'aquest banc, no una versió falsa que sembla idèntica? Comproveu la barra d'ubicació al vostre navegador. Es podria enganyar al vostre navegador perquè us mostri un lloc web fals que sembla idèntic al real? Com sap el vostre navegador, amb seguretat, que està connectat al lloc correcte?
En els primers dies d'Internet, no existia cap d'aquestes garanties. L'any 2010, un connector del navegador disponible a la botiga de complements va permetre a l'usuari participar en el xat de grup de Facebook d'una altra persona en un punt d'accés a una cafeteria. Ara, gràcies a PKI, podeu estar bastant segur d'aquestes coses.
Aquestes característiques de seguretat estan protegides amb un sistema basat en certificats digitals. Els certificats digitals són una forma d'identificació: la versió d'Internet d'un permís de conduir. Quan un navegador es connecta a un lloc, el lloc presenta un certificat al navegador. El certificat conté una clau criptogràfica. El navegador i el lloc web treballen conjuntament amb una sèrie de càlculs criptogràfics per establir una comunicació segura.
En conjunt, el navegador i el lloc web proporcionen les tres garanties de seguretat:
- intimitat: xifrant la conversa.
- signatures digitals criptogràfiques: per assegurar-ho el contingut no es modifica en vol.
- verificació de l'editor: a través de la cadena de confiança proporcionada per PKI, que explicaré amb més detall a continuació.
Una bona identitat hauria de ser difícil de falsificar. En el món antic, fosa a la cera d'un segell servia aquest propòsit. Les identitats dels humans s'han basat en la biometria. La teva cara és una de les formes més antigues. En el món no digital, quan necessiteu accedir a una configuració restringida per edat, com ara demanar una beguda alcohòlica, se us demanarà un document d'identitat amb fotografia.
Una altra biomètrica d'abans de l'era digital era fer coincidir la vostra signatura de ploma i tinta fresca amb la vostra signatura original a la part posterior del vostre DNI. A mesura que aquests tipus de biometria més antics són més fàcils de falsificar, la verificació de la identitat humana s'ha adaptat. Ara, és habitual que un banc t'enviï un codi de validació al teu mòbil. L'aplicació requereix que passis una comprovació d'identitat biomètrica al teu telèfon mòbil per veure el codi, com ara el reconeixement facial o la teva empremta digital.
A més d'una biomètrica, el segon factor que fa que un DNI sigui fiable és l'emissor. Les identificacions que són àmpliament acceptades depenen de la capacitat de l'emissor per verificar que la persona que sol·licita una identificació és qui diu ser. La majoria de les formes d'identificació més acceptades són emeses per agències governamentals, com ara el Departament de Vehicles de Motor. Si l'agència emissora disposa de mitjans fiables per fer un seguiment de qui i on són els seus subjectes, com ara pagaments d'impostos, registres laborals o l'ús de serveis d'aigua, hi ha moltes possibilitats que l'agència pugui verificar que la persona que apareix a l'identificador és aquella persona.
Al món en línia, els governs, en la seva majoria, no s'han implicat en la verificació d'identitat. Els certificats són emesos per empreses del sector privat conegudes com autoritats de certificació (CA). Tot i que els certificats solien ser bastant cars, les tarifes han baixat considerablement fins al punt en què alguns són gratuïts. Les CA més conegudes són Verisign, DigiCert i GoDaddy. Ryan Hurst mostra les set CA principals (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft i IdenTrust) emeten el 99% de tots els certificats.
El navegador acceptarà un certificat com a prova d'identitat només si el camp del nom del certificat coincideix amb el nom de domini, que el navegador mostra a la barra d'ubicació. Fins i tot si els noms coincideixen, això demostra que un certificat que diu "apple.com” pertany al negoci d'electrònica de consum conegut com Apple, Inc.? No. Els sistemes d'identitat no són a prova de bales. Bevedors menors d'edat pot obtenir identificacions falses. Igual que els ID humans, els certificats digitals també poden ser falsos o no vàlids per altres motius. Un enginyer de programari que utilitza eines gratuïtes de codi obert pot crear un certificat digital anomenat "apple.com". algunes ordres de Linux.
El sistema PKI depèn de les CA per emetre qualsevol certificat només al propietari del lloc web. El flux de treball per adquirir un certificat és el següent:
- L'editor d'un lloc web sol·licita a la seva CA preferida un certificat, un domini.
- La CA verifica que la sol·licitud de certificat prové del propietari real d'aquest lloc. Com ho estableix l'AC? La CA exigeix que l'entitat que fa la sol·licitud publiqui un contingut específic en un URL específic. La possibilitat de fer-ho demostra que l'entitat té control sobre el lloc web.
- Un cop el lloc web ha demostrat la propietat del domini, l'AC afegeix a signatura digital criptogràfica al certificat utilitzant la seva pròpia clau criptogràfica privada. La signatura identifica l'AC com a emissor.
- El certificat signat es transmet a la persona o entitat que fa la sol·licitud.
- L'editor instal·la el seu certificat al seu lloc web, de manera que es pot presentar als navegadors.
Signatures digitals criptogràfiques són "un esquema matemàtic per verificar l'autenticitat de missatges o documents digitals". No són el mateix que la signatura de documents en línia proporcionada per DocuSign i proveïdors similars. Si es pogués falsificar la signatura, els certificats no serien fiables. Amb el temps, la mida de les claus criptogràfiques ha augmentat amb l'objectiu de dificultar la falsificació. Els investigadors de criptografia creuen que les signatures actuals, en termes pràctics, són impossibles de falsificar. Una altra vulnerabilitat és quan la CA té les seves claus secretes robades. Aleshores, el lladre podria produir signatures vàlides d'aquesta CA.
Un cop instal·lat el certificat, s'utilitza durant la configuració d'una conversa web. La Registre explica com va això:
Si el certificat va ser emès per una CA bona coneguda i tots els detalls són correctes, aleshores el lloc és de confiança i el navegador intentarà establir una connexió segura i xifrada amb el lloc web perquè la vostra activitat amb el lloc no sigui visible. a un escolta a la xarxa. Si el certificat l'ha emès una CA que no és de confiança, o el certificat no coincideix amb l'adreça del lloc web o alguns detalls són incorrectes, el navegador rebutjarà el lloc web perquè no es connecta al lloc web real que l'usuari vol. , i pot estar parlant amb un imitador.
Podem confiar en el navegador perquè el navegador confia en el lloc web. El navegador confia en el lloc web perquè el certificat va ser emès per una CA "bon coneguda". Però, què és una "CA bona coneguda?" La majoria dels navegadors depenen de les CA proporcionades pel sistema operatiu. La llista de CA fiables la decideixen els proveïdors de dispositius i programari. Els principals venedors d'ordinadors i dispositius (Microsoft, Apple, fabricants de telèfons Android i els distribuïdors de Linux de codi obert) precarreguen el sistema operatiu als seus dispositius amb un conjunt de certificats arrel.
Aquests certificats identifiquen les CA que han verificat i consideren que són fiables. Aquesta col·lecció de certificats arrel s'anomena "magatzem de confiança". Per prendre un exemple proper, l'ordinador de Windows que estic fent servir per escriure aquesta peça té 70 certificats arrel a la seva botiga de certificats arrel de confiança. Lloc de suport d'Apple enumera totes les arrels de confiança de la versió Sierra de MacOS.
Com decideixen els proveïdors d'ordinadors i telèfons quines CA són de confiança? Tenen programes d'auditoria i compliment per avaluar la qualitat de les CA. Només s'inclouen els que passen. Vegeu per exemple, el navegador Chrome (que proporciona la seva pròpia botiga de confiança en lloc d'utilitzar la del dispositiu). L'EFF (que es descriu a si mateixa com "l'organització sense ànim de lucre líder que defensa les llibertats civils al món digital") explica:
Els navegadors operen "programes arrel" per controlar la seguretat i la fiabilitat de les CA en què confien. Aquests programes arrel imposen una sèrie de requisits que van des de "com s'ha de garantir el material clau" fins a "com s'ha de realitzar la validació del control del nom de domini" i "quins algorismes s'han d'utilitzar per a la signatura de certificats".
Després que un proveïdor hagi acceptat una CA, el venedor continua supervisant-la. Els venedors eliminaran les CA de la botiga de confiança si la CA no compleix els estàndards de seguretat necessaris. Les autoritats de certificació poden, i ho fan, ser delinqüents o fallar per altres motius. La Registre reports:
Els certificats i les CA que els emeten no sempre són fiables i els fabricants de navegadors al llarg dels anys han eliminat els certificats arrel de les CA de les CA amb seu a Turquia, França, Xina, Kazakhstan i altres llocs quan es va trobar que l'entitat emissora o una part associada interceptava web. trànsit.
El 2022, va informar l'investigador Ian Carroll Problemes de seguretat amb l'autoritat de certificació e-Tugra. Carroll "va trobar una sèrie de problemes alarmants que em preocupen pel que fa a les pràctiques de seguretat dins de la seva empresa", com ara credencials febles. Els informes de Carroll van ser verificats pels principals venedors de programari. Com a resultat, e-Tugra va ser eliminades dels seus magatzems de certificats de confiança.
La Cronologia dels errors de l'autoritat de certificació parla d'altres incidents d'aquest tipus.
Encara hi ha alguns forats coneguts a PKI tal com existeix actualment. Com que un tema en particular és important per entendre l'article 45 d'eIDAS, ho explicaré tot seguit. La confiança d'una CA no s'abasta als llocs web que fan els seus negocis amb aquesta CA. Un navegador acceptarà un certificat de qualsevol CA de confiança per a qualsevol lloc web. No hi ha res que impedeix que l'AC emeti un lloc web a un mal actor que no hagi estat sol·licitat pel propietari del lloc. Aquest certificat seria fraudulent en el sentit legal a causa de qui s'ha emès. Però el contingut del certificat seria tècnicament vàlid des del punt de vista del navegador.
Si hi hagués una manera d'associar cada lloc web amb la seva CA preferida, qualsevol certificat d'aquest lloc de qualsevol altra CA es reconeixeria immediatament com a fraudulent. Fixació del certificat és una altra norma que fa un pas en aquesta direcció. Però, com es publicaria aquesta associació i com es confiaria en aquesta editorial?
En cada capa d'aquest procés, la solució tècnica es basa en una font externa de confiança. Però, com s'estableix aquesta confiança? En confiar en una font encara més fiable al següent pla superior? Aquesta pregunta il·lustra el "tortugues, fins a baix” naturalesa del problema. PKI té una tortuga a la part inferior: la reputació, la visibilitat i la transparència de la indústria de la seguretat i els seus clients. La confiança es construeix en aquest nivell mitjançant un seguiment constant, estàndards oberts, els desenvolupadors de programari i les CA.
S'han emès certificats fraudulents. El 2013, va informar ArsTechnica Una agència francesa va sorprendre encunyant certificats SSL suplantant la identitat de Google:
El 2011... investigadors de seguretat va detectar un certificat fals per a Google.com que va donar als atacants la possibilitat de suplantar el servei de correu del lloc web i altres ofertes. El certificat falsificat es va encunyar després que els atacants van perforar la seguretat de DigiNotar amb seu als Països Baixos i aconseguissin el control dels seus sistemes d'emissió de certificats.
Les credencials de la capa de sockets segurs (SSL) estaven signades digitalment per una autoritat de certificació vàlida... De fet, els certificats eren duplicats no autoritzats que es van emetre infringint les normes establertes pels fabricants de navegadors i els serveis d'autoritats de certificació.
Es pot produir una emissió fraudulenta de certificats. Una CA canalla pot emetre una, però no arribaran lluny. Es detectarà el certificat incorrecte. La CA dolenta fallarà els programes de compliment i s'eliminarà de les botigues de confiança. Sense acceptació, la CA deixarà de negoci. Certificat de transparència, un estàndard més recent, permet una detecció més ràpida de certificats fraudulents.
Per què una CA es tornaria canalla? Quin avantatge pot obtenir el dolent d'un certificat no autoritzat? Només amb el certificat, no gaire, fins i tot quan està signat per una CA de confiança. Però si el dolent pot unir-se amb un ISP o accedir a la xarxa que utilitza el navegador, el certificat dóna al mal actor la possibilitat de trencar totes les garanties de seguretat de PKI.
El pirata informàtic podria muntar un atac de l'home del mig (MITM) sobre la conversa. L'atacant podria inserir-se entre el navegador i el lloc web real. En aquest escenari, l'usuari estaria parlant directament amb l'atacant, i l'atacant transmetria el contingut d'anada i tornada amb el lloc web real. L'atacant presentaria el certificat fraudulent al navegador. Com que estava signat per una CA de confiança, el navegador l'acceptaria. L'atacant podia veure i fins i tot modificar allò que qualsevol de les parts enviava abans que l'altra part el rebés.
Ara arribem al sinistre eIDAS de la UE, l'article 45. Aquesta proposta de reglament requereix que tots els navegadors confiïn en una cistella de certificats de les CA designades per la UE. Vint-i-set per ser exactes: un per cada nació membre. Aquests certificats s'han de convocar Certificats d'autenticació de llocs web qualificats. L'acrònim "QWAC" té un homòfon desafortunat xarlatanisme – o potser la CE ens trolleja.
Els QWAC serien emesos per agències governamentals o pel que Michael Rectenwald anomena governacions: "corporacions i empreses i altres adjunts de l'estat que d'una altra manera es diuen "privades", però que realment operen com a aparells estatals, ja que fan complir les narracions i els dictats estatals".
Aquest esquema acostaria els governs membres de la UE un pas més fins al punt en què podrien atacar amb un home intermedi contra els seus propis ciutadans. També haurien d'accedir a les xarxes. Els governs estan en condicions de fer-ho. Si l'ISP s'executa com una empresa estatal, ja el tindrien. Si els ISP són empreses privades, aleshores locals autoritats podria utilitzar els poders policials per accedir-hi.
Un punt que no s'ha subratllat en la conversa pública és que un navegador de qualsevol dels 27 països membres de la UE hauria d'acceptar tots els QWAC, un de cada un. membre de la UE. Això vol dir que un navegador d'Espanya, per exemple, hauria de confiar en un QWAC d'entitats de Croàcia, Finlàndia i Àustria. L'usuari espanyol que visiti un lloc web austríac hauria de transitar per parts austríaques d'Internet. Les qüestions plantejades anteriorment s'aplicarien a tots els països de la UE.
El Registre, en una peça titulada Mal eIDAS: Europa preparada per interceptar i espiar les vostres connexions HTTPS xifrades explica una manera com això podria funcionar:
[A]que govern pot demanar a la seva CA amiga una còpia del certificat [del QWAC] perquè el govern pugui suplantar la identitat del lloc web, o demanar altres certificats que els navegadors confiïn i acceptin per al lloc. Així, mitjançant un atac d'home-in-the-middle, aquest govern pot interceptar i desxifrar el trànsit HTTPS xifrat entre el lloc web i els seus usuaris, la qual cosa permet al règim controlar exactament el que la gent està fent amb aquest lloc en qualsevol moment.
Després d'haver penetrat l'escut del xifratge, la supervisió podria incloure desar les contrasenyes dels usuaris i després utilitzar-les en un altre moment per accedir als comptes de correu electrònic dels ciutadans. A més del seguiment, els governs podrien modificar el contingut en línia. Per exemple, podrien eliminar les narracions que volen censurar. Podrien adjuntar molestos comprovació dels fets de l'estat de la mainadera i advertències de contingut a opinions discrepants.
Tal com estan les coses actualment, les CA han de mantenir la confiança de la comunitat de navegadors. Actualment, els navegadors avisen l'usuari si un lloc presenta un certificat caducat o que no és de confiança. Segons l'article 45, els advertiments o l'expulsió dels abusadors de la confiança estarien prohibits. Els navegadors no només tenen l'obligació de confiar en els QWAC, sinó que l'article 45 prohibeix que els navegadors mostrin un advertiment que un certificat signat per un QWAC.
Última oportunitat per a eIDAS (un lloc web que mostra el logotip de Mozilla) advoca contra l'article 45:
Qualsevol estat membre de la UE té la capacitat de designar claus criptogràfiques per a la seva distribució als navegadors web i els navegadors tenen prohibit revocar la confiança en aquestes claus sense el permís del govern.
…No hi ha cap control o equilibri independent sobre les decisions preses pels estats membres pel que fa a les claus que autoritzen i l'ús que les fan. Això és especialment preocupant tenint en compte que l'adhesió a l'estat de dret no ha estat uniforme a tots els estats membres, amb casos documentats de coacció per part de la policia secreta amb finalitats polítiques.
En una carta oberta signada per centenars d'investigadors de seguretat i informàtics:
L'article 45 també prohibeix les comprovacions de seguretat dels certificats web de la UE tret que la normativa ho permeti expressament quan s'estableixin connexions de trànsit web xifrades. En lloc d'especificar un conjunt de mesures de seguretat mínimes que s'han d'aplicar com a línia de base, especifica efectivament un límit superior de les mesures de seguretat que no es poden millorar sense el permís de l'ETSI. Això va en contra de les normes globals ben establertes on es desenvolupen i es despleguen noves tecnologies de ciberseguretat com a resposta als desenvolupaments tecnològics en ràpida evolució.
La majoria de nosaltres confiem en els nostres proveïdors per elaborar la llista de CA de confiança. Tanmateix, com a usuari, podeu afegir o eliminar certificats com vulgueu als vostres propis dispositius. Microsoft Windows té un eina per fer-ho. A Linux, els certificats arrel són fitxers situats en un sol directori. És possible que no es confiï en una CA simplement suprimint el fitxer. Això també estarà prohibit? Steve Gibson, destacat expert en seguretat, columnista, i amfitrió de la podcast de llarga durada Security Now demana:
Però la UE afirma que els navegadors hauran d'honorar aquestes autoritats de certificació noves, no provades i no provades i, per tant, tots els certificats que emetin, sense excepció i sense recurs. Vol dir això que la meva instància de Firefox estarà obligada legalment a rebutjar el meu intent d'eliminar aquests certificats?
Gibson assenyala que algunes empreses implementen una vigilància similar dels seus empleats dins de la seva pròpia xarxa privada. Sigui quina sigui la vostra opinió sobre aquestes condicions de treball, algunes indústries tenen motius legítims d'auditoria i compliment per fer un seguiment i registrar què fan els seus empleats amb els recursos de l'empresa. Però, com Gibson continua,
El problema és que la UE i els seus països membres són molt diferents dels empleats d'una organització privada. Cada vegada que un empleat no vol ser espiat, pot utilitzar el seu propi telèfon intel·ligent per eludir la xarxa del seu empresari. I, per descomptat, la xarxa privada d'un empresari és només això, una xarxa privada. La UE vol fer-ho per a tota la Internet pública de la qual no hi hauria escapatòria.
Ara hem establert el caràcter radical d'aquesta proposta. És hora de preguntar-se, quins motius ofereix la CE per motivar aquest canvi? La CE diu que la verificació d'identitat sota PKI no és adequada. I que aquests canvis són necessaris per millorar-lo.
Hi ha alguna veritat a les afirmacions de la CE? La PKI actual en la majoria dels casos només requereix la sol·licitud per demostrar el control del lloc web. Tot i que això és quelcom, no garanteix, per exemple, que la propietat web "apple.com" sigui propietat de l'empresa d'electrònica de consum coneguda com Apple Inc, amb seu a Cupertino, Califòrnia. Un usuari malintencionat pot obtenir un certificat vàlid per a un nom de domini similar al d'una empresa coneguda. El certificat vàlid es podria utilitzar en un atac que es basava en que alguns usuaris no miraven prou com per notar que el nom no coincideix del tot. Això li va passar processador de pagaments Stripe.
Per als editors que vulguin demostrar al món que són realment la mateixa entitat corporativa, algunes CA han ofert Certificats de validació ampliada (EV).. La part "ampliada" consisteix en validacions addicionals contra la pròpia empresa, com ara l'adreça de l'empresa, un número de telèfon de treball, una llicència o incorporació empresarial i altres atributs típics d'una empresa en funcionament. Els vehicles elèctrics es mostren a un preu més alt perquè requereixen més treball per part de la CA.
Els navegadors solien mostrar comentaris visuals destacats per a un EV, com ara un color diferent o una icona de bloqueig més robusta. En els darrers anys, els vehicles elèctrics no han estat especialment populars al mercat. La majoria han mort. Molts navegadors ja no mostren els comentaris diferencials.
Malgrat les debilitats que encara existeixen, la PKI ha millorat notablement amb el temps. A mesura que s'han entès els defectes, s'han abordat. S'han reforçat els algorismes criptogràfics, s'ha millorat la governança i s'han bloquejat les vulnerabilitats. La governança per consens dels actors del sector ha funcionat força bé. El sistema seguirà evolucionant, tant a nivell tecnològic com institucional. A part de la intromissió dels reguladors, no hi ha cap raó per esperar el contrari.
Hem après de la història poc brillant dels vehicles elèctrics que al mercat no li importa tant la verificació de la identitat corporativa. Tanmateix, si els usuaris d'Internet ho volguessin, no caldria trencar la PKI existent per donar-los-hi. N'hi hauria prou amb alguns petits retocs als fluxos de treball existents. Alguns comentaristes han proposat modificar el Encaixada de mans TLS; el lloc web presentaria un certificat addicional. El certificat primari funcionaria com ara. El certificat secundari, signat per un QWAC, implementaria els estàndards d'identitat addicionals que la CE diu que vol.
Les presumptes raons de la CE per a eIDAS simplement no són creïbles. No només les raons donades són inverosímiles, sinó que la CE ni tan sols es molesta amb els habituals ploris sanctimoniosos sobre com hem de sacrificar llibertats importants en nom de la seguretat perquè ens enfrontem a la greu amenaça de tràfic de persones, seguretat infantil, blanqueig de diners. , evasió fiscal o (el meu favorit personal) el canvi climàtic. No es pot negar que la UE ens encendrà.
Si la CE no és honesta sobre els seus veritables motius, què busquen? Gibson ho veu una intenció nefasta:
I només hi ha una raó possible perquè vulguin [imposar que els navegadors confiïn en els QWAC], que és permetre la intercepció sobre la marxa del trànsit web d'Internet, exactament com passa dins de les corporacions. I això es reconeix.
(El que Gibson vol dir per "intercepció del trànsit web" és l'atac MITM descrit anteriorment.) Altres comentaris han posat de manifest les implicacions sinistres per a la llibertat d'expressió i la protesta política. Hurst en un assaig llarg formula un argument de pendent relliscós:
Quan una democràcia liberal estableix aquest tipus de control sobre la tecnologia a la xarxa, malgrat les seves conseqüències, posa les bases perquè governs més autoritaris segueixin el seu exemple amb impunitat.
Mozilla citat a techdirt (sense enllaç a l'original) diu més o menys el mateix:
[Obligar els navegadors a confiar automàticament en les autoritats de certificats recolzades pel govern és una tàctica clau utilitzada pels règims autoritaris, i aquests actors es veurien animats per l'efecte legitimador de les accions de la UE...
Gibson fa un semblant observació:
I després hi ha l'espectre molt real de quines altres portes obre això: si la UE demostra a la resta del món que pot dictar amb èxit els termes de confiança per als navegadors web independents utilitzats pels seus ciutadans, què seguiran altres països amb lleis similars. ? Ara tothom només ha de demanar que s'afegeixin els certificats del seu propi país. Això ens porta exactament en la direcció equivocada.
Aquest article 45 proposat és un atac a la privadesa dels usuaris als països de la UE. Si s'adopta, suposaria un retrocés massiu no només en la seguretat d'Internet, sinó en el sistema de govern evolucionat. Estic d'acord amb Steve Gibson que:
El que no està completament clar, i el que no he trobat enlloc, és una explicació de l'autoritat amb la qual la UE s'imagina que és capaç de dictar el disseny del programari d'una altra organització. Perquè això és el que es redueix.
La resposta a l'article 45 proposat ha estat molt negativa. L'EFF a L'article 45 revertirà la seguretat web en 12 anys escriu: "Aquesta és una catàstrofe per a la privadesa de tothom que utilitza Internet, però especialment per a aquells que utilitzen Internet a la UE".
L'esforç d'eIDAS és un incendi de quatre alarmes per a la comunitat de seguretat. Mozilla, creador del navegador web Firefox de codi obert, va publicar un Declaració conjunta de la indústria oposar-s'hi. La declaració està signada per una llista d'empreses d'infraestructures d'Internet, com ara Mozilla, Cloudflare, Fastly i la Fundació Linux.
Des de la carta oberta esmentat més amunt:
Després de llegir el text gairebé final, estem profundament preocupats pel text proposat per a l'article 45. La proposta actual amplia radicalment la capacitat dels governs de vigilar tant els seus propis ciutadans com els residents a tota la UE, proporcionant-los els mitjans tècnics per interceptar dades xifrades. trànsit web, així com soscavar els mecanismes de supervisió existents en els quals confien els ciutadans europeus.
On va això? El reglament es proposa des de fa temps. Es va programar una decisió final per al novembre de 2023. Les cerques web no mostren informació nova sobre aquest tema des d'aleshores.
En aquests darrers anys, la censura directa en totes les seves formes ha augmentat. Durant la bogeria del covid, el govern i la indústria es van associar per crear un complex censura-industrial promoure de manera més eficient les falses narracions i suprimir els dissidents. En aquests darrers anys, els escèptics i les veus independents han lluitat, als tribunals, i creant punt de vista neutre plataformes.
Tot i que la censura de la parla continua sent un gran perill, els drets dels escriptors i periodistes estan millor protegits que molts altres drets. Als EUA, el Primera esmena té una protecció explícita de la paraula i la llibertat de criticar el govern. Els tribunals poden opinar que qualsevol dret o llibertat no protegit per un llenguatge estatutari molt específic és un joc just. Aquesta pot ser la raó per la qual la resistència ha tingut més èxit en el discurs que altres esforços per aturar altres abusos de poder com ara quarantenes i confinament de població.
En lloc d'un enemic ben defensat, els governs estan canviant els seus atacs a altres capes de la infraestructura d'Internet. Aquests serveis, com ara el registre de dominis, DNS, certificats, processadors de pagaments, allotjament i botigues d'aplicacions, consisteixen principalment en transaccions de mercat privat. Aquests serveis estan molt menys protegits que la parla perquè, en la seva majoria, no hi ha cap dret a comprar un servei específic d'una empresa concreta. I els serveis més tècnics com ara DNS i PKI són menys ben entès pel públic que la publicació web.
El sistema PKI és especialment vulnerable als atacs perquè funciona per reputació i consens. No hi ha una única autoritat que governi tot el sistema. Els jugadors han de guanyar-se una reputació mitjançant la transparència, el compliment i la comunicació honesta dels errors. I això el fa vulnerable a aquest tipus d'atac disruptiu. Si la PKI de la UE recau en els reguladors, espero que els segueixin altres països. No només la PKI està en risc. Un cop comprovat que altres capes de la pila poden ser atacades pels reguladors, també seran objectiu.
-
Robert Blumen és un enginyer de programari i amfitrió de podcasts que escriu ocasionalment sobre qüestions polítiques i econòmiques
Veure totes les publicacions
