EU haluaa vakoilla eurooppalaisten Internetin käyttöä
Euroopan komissio on Euroopan unionin lainsäädäntöelin, jolla on digitaalitekniikan sääntelyvalta. EY:n eIDAS-artikla 45, asetusehdotus, heikentäisi tietoisesti Internet-turvallisuuden alueita, joita ala on huolellisesti kehittänyt ja kovettanut yli 25 vuoden ajan. Artikla antaisi EU:n 27 hallitukselle huomattavasti laajemmat valvontavaltuudet Internetin käytössä.
Sääntö edellyttäisi, että kaikki Internet-selaimet luottavat ylimääräiseen juurivarmenteeseen, joka on saatu virastolta (tai säännellyltä taholta) kunkin EU:n jäsenvaltion kunkin kansallisen hallituksen hallitukselta. Selitän ei-teknisille lukijoille, mikä juurivarmenne on, kuinka Internetin luottamus on kehittynyt ja mitä 45 artikla tekee tälle. Ja sitten korostan joitain teknologiayhteisön kommentteja tästä asiasta.
Tämän artikkelin seuraava osa selittää, kuinka Internetin luottamusinfrastruktuuri toimii. Tämä tausta on välttämätön, jotta voidaan ymmärtää, kuinka radikaali ehdotettu artikla on. Selitys on tarkoitettu ei-teknisen lukijan luettavaksi.
Kyseinen asetus koskee Internetin turvallisuutta. Tässä “internet” tarkoittaa suurelta osin web-sivustoilla vierailevia selaimia. Internet-turvallisuus koostuu useista eri näkökohdista. Artikla 45 aikoo muuttaa julkisen avaimen infrastruktuuria (PKI) , joka on osa Internetin turvallisuutta 90-luvun puolivälistä lähtien. PKI on ensin otettu käyttöön ja sitten parannettu 25 vuoden aikana, jotta käyttäjille ja julkaisijoille voidaan antaa seuraavat takeet:
- Selaimen ja verkkosivuston välisen keskustelun yksityisyys. Selaimet ja Web-sivustot keskustelevat Internetissä, on Internet-palveluntarjoajien ja tason 1 operaattorien ylläpitämä verkkoverkosto . tai matkapuhelinoperaattorit , jos laite on mobiili. Verkko itsessään ei ole luonnostaan turvallinen eikä luotettava. Utelias kotisi Internet-palveluntarjoajasi , matkustaja lentokentän loungessa , jossa odotat lentoasi, tai datatoimittaja, joka haluaa myydä liidejä mainostajille, saattaa haluta vakoilla sinua. Ilman suojausta huono näyttelijä voi tarkastella luottamuksellisia tietoja, kuten salasanaa, luottokortin saldoa tai terveystietoja.
- Takaa, että katsot sivua täsmälleen samalla tavalla kuin verkkosivusto sen sinulle lähetti. Kun tarkastelet verkkosivua, olisiko julkaisijan ja selaimesi välillä voinut peukaloida sitä? Sensuuri saattaa haluta poistaa sisältöä, jota hän ei halua sinun näkevän. “Väärininformaatioksi” merkittyä sisältöä tukahdutettiin laajalti covid-hysterian aikana. Luottokorttisi varastanut hakkeri saattaa haluta poistaa todisteet petollisista maksuistaan.
- Varmista, että näkemäsi verkkosivusto on todella se, joka on selaimen sijaintipalkissa. Kun muodostat yhteyden pankkiin, mistä tiedät, että näet kyseisen pankin verkkosivuston, ei väärennetyn version, joka näyttää samalta? Tarkistat selaimen sijaintipalkin. Voisiko selaimesi huijata näyttämään sinulle väärennetyn verkkosivuston, joka näyttää samalta kuin todellinen? Mistä selaimesi tietää – varmasti – että se on yhdistetty oikeaan sivustoon?
Internetin alkuaikoina mitään näistä takeista ei ollut olemassa. Vuonna 2010 lisäosakaupasta saatavilla oleva selainlaajennus mahdollisti käyttäjän osallistumisen jonkun toisen Facebook-ryhmäkeskusteluun kahvilan hotspotissa. Nyt PKI:n ansiosta voit olla melko varma näistä asioista.
Nämä turvaominaisuudet on suojattu digitaalisiin varmenteisiin perustuvalla järjestelmällä . Digitaaliset varmenteet ovat tunnistusmuoto – ajokortin Internet-versio. Kun selain muodostaa yhteyden sivustoon, sivusto esittää selaimelle varmenteen. Varmenne sisältää salausavaimen. Selain ja verkkosivusto toimivat yhdessä salauslaskelmien kanssa suojatun viestinnän luomiseksi.
Yhdessä selain ja verkkosivusto tarjoavat kolme turvallisuustakuuta:
- Yksityisyys salaamalla keskustelu
- Kryptografiset digitaaliset allekirjoitukset, joilla varmistetaan, että sisältöä ei muuteta lennon aikana.
- Julkaisijan vahvistus PKI:n tarjoaman luottamusketjun kautta, jonka selitän tarkemmin alla.
Hyvän identiteetin pitäisi olla vaikea väärentää. Muinaisessa maailmassa sinetin vahavalu palveli tätä tarkoitusta. Ihmisten identiteetit ovat perustuneet biometrisiin tietoihin. Kasvosi ovat yksi vanhimmista muodoista. Ei-digitaalisessa maailmassa, kun sinun täytyy käyttää ikärajoitettua asetusta, kuten tilata alkoholijuoma, sinulta kysytään kuvallista henkilötodistusta. Toinen biometrinen tieto ennen digitaalista aikakautta oli yhdistää tuore kynä-muste-allekirjoituksesi henkilötodistuksesi takana olevaan alkuperäiseen allekirjoitukseen. Kun näitä vanhempia biometrisiä tietoja on helpompi väärentää, ihmisen henkilöllisyyden todentaminen on mukautunut. Nyt on yleistä, että pankki lähettää sinulle vahvistuskoodin matkapuhelimeesi. Sovellus vaatii sinua läpäisemään biometrisen henkilöllisyyden tarkistuksen matkapuhelimellasi nähdäksesi koodin, kuten kasvojentunnistuksen tai sormenjäljesi.
Toinen tekijä, joka tekee henkilötodistuksesta luotettavan, on biometristen tietojen lisäksi sen myöntäjä. Yleisesti hyväksytyt henkilöllisyystodistukset riippuvat myöntäjän kyvystä varmistaa, että henkilötodistusta hakeva henkilö on se, joka hän sanoo olevansa. Suurin osa yleisemmin hyväksytyistä henkilöllisyystodistuksista on valtion virastojen, kuten moottoriajoneuvojen ministeriön, myöntämiä. Jos todistuksen myöntävällä virastolla on luotettavat keinot seurata, ketkä ja missä sen kohteet ovat, kuten veronmaksut, työtodistukset tai vesilaitospalvelujen käyttö, virastolla on hyvät mahdollisuudet varmistaa, että henkilötodistuksessa mainittu henkilö on tuo henkilö.
Verkkomaailmassa hallitukset eivät ole suurimmaksi osaksi osallistuneet henkilöllisyyden vahvistamiseen. Varmenteita myöntävät yksityisen sektorin yritykset, jotka tunnetaan nimellä sertifikaattiviranomaiset (CA). Vaikka sertifikaatit olivat aiemmin melko kalliita, maksut ovat laskeneet huomattavasti niin, että jotkut ovat ilmaisia . Tunnetuimmat CA:t ovat Verisign, DigiCert ja GoDaddy. Ryan Hurst osoittaa, että seitsemän suurta CA:ta (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft ja IdenTrust) myöntävät 99 % kaikista varmenteista.
Selain hyväksyy varmenteen henkilöllisyystodistukseksi vain, jos varmenteen nimikenttä vastaa verkkotunnuksen nimeä, jonka selain näyttää sijaintipalkissa. Vaikka nimet täsmäävät, todistaako tämä, että sertifikaatti, jossa lukee “apple.com”, kuuluu kulutuselektroniikkayritykselle, joka tunnetaan nimellä Apple, Inc.? Ei. Identiteettijärjestelmät eivät ole luodinkestäviä. Alaikäiset juojat voivat saada väärennetyt henkilötodistukset . Kuten ihmistunnukset, myös digitaaliset sertifikaatit voivat olla väärennettyjä tai kelpaamattomia muista syistä. Ilmaisia avoimen lähdekoodin työkaluja käyttävä ohjelmistosuunnittelija voi luoda “apple.com”-nimisen digitaalisen varmenteen muutamalla Linux-komennolla .
PKI-järjestelmä luottaa siihen, että CA:t myöntävät minkä tahansa varmenteen vain verkkosivuston omistajalle. Varmenteen hankinnan työnkulku menee seuraavasti:
- Verkkosivuston julkaisija hakee haluamaansa CA:lta sertifikaattia, verkkotunnusta.
- Varmentaja varmistaa, että varmennepyyntö tulee kyseisen sivuston todelliselta omistajalta. Miten CA vahvistaa tämän? Varmentaja vaatii, että pyynnön esittänyt taho julkaisee tietyn sisällön tietyssä URL-osoitteessa. Kyky tehdä tämä osoittaa, että yhteisöllä on määräysvalta verkkosivustossa.
- Kun verkkosivusto on osoittanut omistavansa verkkotunnuksen, CA liittää varmenteeseen salatun digitaalisen allekirjoituksen käyttämällä omaa yksityistä salausavainta. Allekirjoitus identifioi varmentajan myöntäjäksi.
- Allekirjoitettu todistus välitetään pyynnön esittäneelle henkilölle tai yhteisölle.
- Julkaisija asentaa varmenteensa verkkosivustolleen, joten se voidaan esittää selaimille.
Kryptografiset digitaaliset allekirjoitukset ovat ” matemaattinen järjestelmä digitaalisten viestien tai asiakirjojen aitouden tarkistamiseksi”. Ne eivät ole sama asia kuin DocuSignin ja vastaavien toimittajien tarjoama online-asiakirjojen allekirjoitus. Jos allekirjoitus voitaisiin väärentää, sertifikaatit eivät olisi luotettavia. Ajan myötä kryptografisten avainten koko on kasvanut väärentämisen vaikeuttamiseksi. Kryptografian tutkijat uskovat, että nykyisiä allekirjoituksia on käytännössä mahdoton väärentää. Toinen haavoittuvuus on, kun CA:lta varastetaan sen salaiset avaimet. Varas saattoi sitten tuottaa kyseisen varmentajan kelvolliset allekirjoitukset.
Kun varmenne on asennettu, sitä käytetään verkkokeskustelun määrittämisen aikana. Rekisteri kertoo, miten se tapahtuu:
Jos varmenteen on myöntänyt tunnettu hyvä CA ja kaikki tiedot ovat oikein, sivusto on luotettava ja selain yrittää muodostaa suojatun, salatun yhteyden verkkosivustoon, jotta toimintasi sivustolla ei näy verkon salakuuntelijalle. Jos varmenteen on myöntänyt ei-luotettu CA tai varmenne ei vastaa verkkosivuston osoitetta tai jotkin tiedot ovat virheellisiä, selain hylkää verkkosivuston, koska se on huolissaan siitä, että se ei muodosta yhteyttä käyttäjän haluamaan todelliseen verkkosivustoon. , ja saattaa puhua matkijalle.
Voimme luottaa selaimeen, koska selain luottaa verkkosivustoon. Selain luottaa verkkosivustoon, koska varmenteen on myöntänyt “tunnettu hyvä” CA. Mutta mikä on “tunnettu hyvä CA?” Useimmat selaimet luottavat käyttöjärjestelmän tarjoamiin CA:hin. Luotettavien CA:iden luettelon päättävät laite- ja ohjelmistotoimittajat. Tärkeimmät tietokone- ja laitetoimittajat – MicroSoft, Apple, Android-puhelinvalmistajat ja avoimen lähdekoodin Linux-jakelijat – lataavat laitteilleen käyttöjärjestelmän juurivarmenteilla. Nämä varmenteet tunnistavat tarkastamansa ja luotettaviksi katsomansa CA:t. Tätä juurivarmenteiden kokoelmaa kutsutaan “luottamusvarastoksi”. Läheisenä esimerkkinä: Windows-tietokoneella, jota käytän tämän kappaleen kirjoittamiseen, on 70 juurivarmennetta sen Trusted Root Certificate Storessa. Applen tukisivusto listaa kaikki MacOS:n Sierra-version luotetut juuret .
Miten tietokone- ja puhelintoimittajat päättävät, mitkä CA:t ovat luotettavia? Heillä on tarkastus- ja vaatimustenmukaisuusohjelmat CA:iden laadun arvioimiseksi. Vain läpäisevät ovat mukana. Katso esimerkiksi Chrome-selain (joka tarjoaa oman luottamussäilönsä laitteessa olevan selaimen sijaan). EFF ( joka kuvaa itseään “johtavaksi voittoa tavoittelemattomaksi organisaatioksi, joka puolustaa kansalaisvapauksia digitaalisessa maailmassa” ) selittää :
Selaimet käyttävät “juuriohjelmia” valvoakseen luotettavien CA:iden turvallisuutta ja luotettavuutta. Nämä juuriohjelmat asettavat useita vaatimuksia, jotka vaihtelevat “miten avainmateriaali on suojattava” ja “miten verkkotunnuksen hallinnan validointi on suoritettava” ja “mitä algoritmeja on käytettävä varmenteen allekirjoittamiseen”.
Kun toimittaja on hyväksynyt CA:n, toimittaja jatkaa sen valvontaa. Toimittajat poistavat CA:t luottamussäilöstä, jos varmentaja ei noudata tarvittavia turvallisuusstandardeja. Varmenneviranomaiset voivat tehdä ja tekevätkin väärin tai epäonnistuvat muista syistä. Rekisteri kertoo : _
Sertifikaatit ja niitä myöntävät CA:t eivät aina ole luotettavia, ja selaimen valmistajat ovat vuosien mittaan poistaneet CA-juurivarmenteita Turkissa, Ranskassa, Kiinassa, Kazakstanissa ja muualla sijaitsevilta CA:ilta, kun myöntävän tahon tai siihen liittyvän osapuolen havaittiin siepaavan verkkoa. liikennettä.
Vuonna 2022 tutkija Ian Carroll ilmoitti turvallisuusongelmista e-Tugra-sertifikaattiviranomaisen kanssa . Carroll “löysi useita hälyttäviä ongelmia, jotka huolestuttavat minua heidän yrityksensä tietoturvakäytännöistä”, kuten heikko valtakirja. Suuret ohjelmistotoimittajat vahvistivat Carrollin raportit. Tämän seurauksena e-Tugra poistettiin heidän luotetuista varmennevarastoistaan .
Varmenteen myöntäjän virheiden aikajana kertoo muista vastaavista tapauksista.
Nykyisessä PKI:ssä on edelleen joitain tunnettuja aukkoja. Koska yksi tietty seikka on tärkeä eIDAS-sopimuksen 45 artiklan ymmärtämisen kannalta, selitän sen seuraavaksi. Varmentajan luottamus ei koske niitä verkkosivustoja, jotka harjoittavat liiketoimintaansa kyseisen varmentajan kanssa. Selain hyväksyy varmenteen miltä tahansa luotetulta CA:lta mille tahansa verkkosivustolle. Mikään ei estä varmentajaa myöntämästä huonolle toimijalle verkkosivustoa, jota sivuston omistaja ei ole pyytänyt. Tällainen todistus olisi oikeudellisesti petollinen sen vuoksi, kenelle se on myönnetty. Mutta varmenteen sisältö olisi teknisesti pätevä selaimen näkökulmasta.
Jos kukin verkkosivusto voitaisiin liittää sen ensisijaiseen CA:han, minkä tahansa muun CA:n myöntämä kyseisen sivuston varmenne tunnistettaisiin välittömästi vilpillisiksi. Varmenteiden kiinnitys on toinen standardi, joka ottaa askeleen tähän suuntaan. Mutta miten tuo yhdistys julkaistaisiin ja kuinka tuohon kustantajaan luotettaisiin?
Tämän prosessin jokaisessa kerroksessa tekninen ratkaisu luottaa ulkoiseen luottamuksen lähteeseen. Mutta miten se luottamus syntyy? Luottamalla vieläkin luotettavampaan lähteeseen seuraavalla korkeammalla tasolla? Tämä kysymys havainnollistaa ongelman ” kilpikonnat, aina alaspäin ” luonnetta. PKI:n pohjalla on kilpikonna: tietoturvateollisuuden ja sen asiakkaiden maine, näkyvyys ja läpinäkyvyys. Luottamusta rakennetaan tällä tasolla jatkuvan valvonnan, avoimien standardien, ohjelmistokehittäjien ja CA:iden avulla.
Väärennettyjä todistuksia on myönnetty. ArsTechnica ilmoitti vuonna 2013, että ranskalainen virasto jäi kiinni lyömään SSL-varmenteita, jotka esiintyivät Googlena :
Vuonna 2011…tietoturvatutkijat havaitsivat Google.com-sivustolle väärennetyn varmenteen , joka antoi hyökkääjille mahdollisuuden esiintyä verkkosivuston sähköpostipalveluina ja muina tarjouksina. Väärennetty sertifikaatti lyötiin sen jälkeen, kun hyökkääjät lävistivät hollantilaisen DigiNotarin tietoturvan ja saivat hallintaansa sen varmenteen myöntämisjärjestelmät.
Secure Sockets Layer (SSL) -tunnukset allekirjoitettiin digitaalisesti voimassaolevan varmenteen myöntäjän toimesta… Itse asiassa varmenteet olivat luvattomia kaksoiskappaleita, jotka myönnettiin selaimen valmistajien ja varmenteen myöntäjäpalveluiden asettamien sääntöjen vastaisesti.
Vilpillinen todistus voi tapahtua. Rogue CA antaa yhden, mutta he eivät pääse pitkälle. Huono varmenne havaitaan. Huono CA epäonnistuu noudattamisohjelmissa ja se poistetaan luotettavista varastoista. Ilman hyväksyntää CA lopettaa toimintansa. Certificate Transparency , uudempi standardi, mahdollistaa vilpillisten sertifikaattien nopeamman havaitsemisen.
Miksi CA toimisi roistona? Mitä hyötyä pahis voi saada luvattomasta todistuksesta? Pelkästään varmenteella ei paljon, vaikka sen olisi allekirjoittanut luotettava CA. Mutta jos pahis voi tehdä yhteistyötä Internet-palveluntarjoajan kanssa tai muuten päästä selaimen käyttämään verkkoon, sertifikaatti antaa pahalle toimijalle mahdollisuuden rikkoa kaikki PKI:n turvallisuustakuut.
Hakkeri saattoi tehdä keskusteluun mies-in-the-middle-hyökkäyksen (MITM) . Hyökkääjä saattoi työntyä selaimen ja todellisen verkkosivuston väliin. Tässä skenaariossa käyttäjä puhuisi suoraan hyökkääjän kanssa, ja hyökkääjä välittäisi sisällön edestakaisin todellisen verkkosivuston kanssa. Hyökkääjä esittäisi vilpillisen varmenteen selaimelle. Koska sen on allekirjoittanut luotettava CA, selain hyväksyi sen. Hyökkääjä saattoi tarkastella ja jopa muokata, mitä jompikumpi osapuoli lähetti ennen kuin toinen osapuoli sai sen.
Nyt päästään Euroopan unionin synkän eIDAS:n artiklaan 45. Ehdotettu asetus edellyttää, että kaikki selaimet luottavat EU:n nimeämien CA:iden sertifikaattikoriin. Tarkemmin sanottuna 27: yksi jokaista jäsenmaata kohti. Näitä varmenteita kutsutaan hyväksytyiksi verkkosivuston todennusvarmenteiksi. Lyhenteellä “QWAC” on valitettava homofoni sanalle kekseliäisyys – tai ehkä EY trollaa meitä.
QWAC:t antaisivat joko valtion virastot tai mitä Michael Rectenwald kutsuu viranomaisiksi ; “korporaatiot ja yritykset ja muut valtion lisäykset, joita muuten kutsutaan ‘yksityisiksi’, mutta jotka todella toimivat valtion koneistoina siinä mielessä, että ne valvovat valtion tarinoita ja saneluja.”
Tämä järjestelmä toisi EU:n jäsenmaiden hallitukset askeleen lähemmäksi pistettä, jossa ne voisivat hyökätä omia kansalaisiaan vastaan. Heidän on myös päästävä verkkoihin. Hallituksella on mahdollisuus tehdä niin. Jos Internet-palveluntarjoajaa johdetaan valtion omistamana yrityksenä, heillä olisi se jo. Jos Internet-palveluntarjoajat ovat yksityisiä yrityksiä, paikallisviranomaiset voivat käyttää poliisin valtuuksia pääsyyn.
Yksi seikka, jota ei ole korostettu julkisessa keskustelussa, on se, että minkä tahansa EU:n 27 jäsenvaltion selaimen olisi hyväksyttävä jokainen QWAC, yksi jokaiselta EU:n jäseneltä . Tämä tarkoittaa, että esimerkiksi Espanjan selaimen on luotettava Kroatian, Suomen ja Itävallan tahojen QWAC:iin. Itävaltalaisella verkkosivustolla vierailevan espanjalaisen käyttäjän on siirryttävä Internetin itävaltalaisten osien kautta. Kaikki edellä esitetyt kysymykset koskevat kaikkia EU:n maita.
Rekisteri kappaleessa nimeltä ” Bad eIDAS: Eurooppa valmis sieppaamaan, vakoilemaan salattuja HTTPS-yhteyksiäsi ” selittää yhden tavan, jolla tämä voisi toimia:
…hallitus voi pyytää ystävälliseltä varmentajalta kopion [QWAC]-varmenteesta, jotta hallitus voi esiintyä verkkosivustona – tai pyytää muita varmenteita, joihin selaimet luottavat ja hyväksyvät sivuston. Siten hallitus voi siepata ja purkaa salatun HTTPS-liikenteen sivuston ja sen käyttäjien välillä käyttämällä mies-in-the-middle-hyökkäystä, jolloin hallinto voi tarkkailla tarkasti, mitä ihmiset tekevät kyseisellä sivustolla milloin tahansa.
Salauksen suojan läpäisemisen jälkeen valvontaan voisi kuulua käyttäjien salasanojen tallentaminen ja niiden käyttö muulloin kansalaisten sähköpostitileihin pääsyyn. Valvonnan lisäksi hallitukset voivat muokata sisältöä suoraan. He voivat esimerkiksi poistaa kertomukset, jotka he haluavat sensuroida. He voisivat liittää eriäviin mielipiteisiin ärsyttäviä lastenhoitajan tosiasiatarkistuksia ja sisältövaroituksia .
Tällä hetkellä varmentajan on säilytettävä selainyhteisön luottamus. Selaimet varoittavat tällä hetkellä käyttäjää, jos sivustolla on vanhentunut tai muuten epäluotettava varmenne. Artiklan 45 mukaan varoittaminen tai luottamuksen väärinkäyttäjien karkottaminen olisi kiellettyä. Sen lisäksi, että selaimet eivät ole velvollisia luottamaan QWAC:eihin, 45 artikla kieltää selaimia näyttämästä varoitusta QWAC:n allekirjoittamasta varmenteesta.
Last Chance for eIDAS (sivusto, jossa on Mozilla-logo) vastustaa artiklaa 45:
Kaikilla EU:n jäsenvaltioilla on mahdollisuus määrittää salausavaimia jaettavaksi verkkoselaimissa, ja selaimia ei saa kumota luottamusta näihin avaimiin ilman hallituksen lupaa.
…Ei ole riippumatonta tarkistusta tai tasapainoa jäsenvaltioiden tekemille päätöksille valtuutettujen avaimien ja niiden käytön suhteen. Tämä on erityisen huolestuttavaa, kun otetaan huomioon, että oikeusvaltion periaatteiden noudattaminen ei ole ollut yhtenäistä kaikissa jäsenvaltioissa, ja salaisen poliisin on dokumentoitu pakottamista poliittisiin tarkoituksiin.
Artikla 45 kieltää myös EU:n verkkovarmenteiden turvatarkastukset, ellei säännös ole nimenomaisesti salli salattuja verkkoliikenneyhteyksiä muodostettaessa. Sen sijaan, että määritellään joukko vähimmäisturvatoimenpiteitä, jotka on pantava täytäntöön lähtökohtana, se määrittää tehokkaasti turvatoimien ylärajan, jota ei voida parantaa ilman ETSI:n lupaa. Tämä on vastoin vakiintuneita maailmanlaajuisia normeja, joissa uusia kyberturvallisuustekniikoita kehitetään ja otetaan käyttöön vastauksena nopeasti muuttuvaan teknologian kehitykseen.
Useimmat meistä luottavat toimittajiimme luotettavien CA:iden luettelon laatimisessa. Käyttäjänä voit kuitenkin lisätä tai poistaa varmenteita haluamallasi tavalla omilla laitteillasi. Microsoft Windowsilla on työkalu tähän . Linuxissa juurivarmenteet ovat tiedostoja, jotka sijaitsevat yhdessä hakemistossa. Varmentaja voi olla epäluotettava yksinkertaisesti poistamalla tiedosto. Kielletäänkö tämäkin? Steve Gibson, tunnettu turvallisuusasiantuntija, kolumnisti ja pitkäaikaisen Security Now -podcastin isäntä, kysyy :
EU kuitenkin ilmoittaa, että selaimien on kunnioitettava näitä uusia, todentamattomia ja testaamattomia varmenneviranomaisia ja siten kaikkia niiden myöntämiä varmenteita poikkeuksetta ja ilman turvaa. Tarkoittaako tämä, että Firefox-esiintymäni on laillisesti velvollinen kieltäytymään yritykseni poistaa nämä varmenteet?
Gibson huomauttaa, että jotkin yritykset toteuttavat samanlaista työntekijöidensä valvontaa omassa yksityisessä verkossaan. Olipa mielipiteesi näistä työehdoista mikä tahansa, joillakin toimialoilla on oikeutettuja auditointi- ja vaatimustenmukaisuussyitä seurata ja kirjata, mitä heidän työntekijänsä tekevät yrityksen resursseilla. Mutta kuten Gibson jatkaa :
Ongelmana on, että EU ja sen jäsenmaat ovat hyvin erilaisia kuin yksityisen organisaation työntekijät. Aina kun työntekijä ei halua tulla vakoiluksi, hän voi käyttää omaa älypuhelintaan kiertääkseen työnantajansa verkkoa. Ja tietysti työnantajan yksityinen verkko on juuri sitä, yksityinen verkko. EU haluaa tehdä tämän koko julkisen Internetin osalta, josta ei olisi paeta.
Nyt olemme saaneet selville tämän ehdotuksen radikaalin luonteen. On aika kysyä, mitä syitä EY tarjoaa motivoidakseen tätä muutosta? EY sanoo, että henkilöllisyyden todentaminen PKI:n avulla ei ole riittävää. Ja että näitä muutoksia tarvitaan sen parantamiseksi.
Onko EY:n väitteissä totta? Nykyinen PKI vaatii useimmissa tapauksissa vain pyynnön todistaa verkkosivuston hallinta. Vaikka se on jotain, se ei esimerkiksi takaa, että verkko-omaisuuden “apple.com” omistaa kulutuselektroniikkayhtiö Apple Inc, jonka pääkonttori on Cupertinossa, Kaliforniassa. Haitallinen käyttäjä saattaa saada kelvollisen varmenteen toimialueelle, joka on samanlainen kuin tunnetun yrityksen nimi. Kelvollista varmennetta voidaan käyttää hyökkäyksessä, jossa jotkut käyttäjät eivät etsineet tarpeeksi tarkasti huomatakseen, että nimi ei täsmää. Tämä tapahtui maksujen käsittelijälle Stripelle .
Kustantajille, jotka haluavat todistaa maailmalle olevansa todella sama yrityskokonaisuus, jotkut CA:t ovat tarjonneet Extended Validation (EV) -varmenteita . “Laajennettu” osa koostuu ylimääräisistä varmennuksista itse yritykseen, kuten yrityksen osoite, toimiva puhelinnumero, toimilupa tai yhtiökokous ja muut toiminnalle tyypilliset attribuutit. Sähköautot on listattu korkeammalla hinnalla, koska ne vaativat CA:lta enemmän työtä.
Selaimet näyttivät korostettua visuaalista palautetta sähköautosta, kuten eri väriä tai tukevampaa lukkokuvaketta. Viime vuosina sähköautot eivät ole olleet erityisen suosittuja markkinoilla. He ovat pääosin kuolleet. Monet selaimet eivät enää näytä erilaista palautetta.
Huolimatta edelleen olemassa olevista heikkouksista, PKI on parantunut huomattavasti ajan myötä. Kun puutteet on ymmärretty, ne on korjattu. Salausalgoritmeja on vahvistettu, hallintoa on parannettu ja haavoittuvuuksia on estetty. Alan toimijoiden yksimielinen hallinto on toiminut varsin hyvin. Järjestelmä kehittyy edelleen, sekä teknisesti että institutionaalisesti. Muutoin kuin sääntelijöiden puuttuminen asiaan, ei ole mitään syytä odottaa muuta.
Olemme oppineet sähköautojen laimeasta historiasta, että markkinapaikka ei niinkään välitä yritysidentiteetin vahvistamisesta. Jos internetin käyttäjät kuitenkin haluaisivat sen, sen antaminen heille ei edellytä olemassa olevan PKI:n rikkomista. Pienet korjaukset olemassa oleviin työnkulkuihin riittäisivät. Jotkut kommentoijat ovat ehdottaneet TLS-kättelyn muuttamista ; verkkosivustolla olisi yksi lisätodistus. Ensisijainen varmenne toimisi kuten nytkin. Toissijainen sertifikaatti, jonka allekirjoittaa QWAC, toteuttaisi EY:n haluamansa lisäidentiteettistandardit.
EY:n väitetyt syyt eIDAS:lle eivät yksinkertaisesti ole uskottavia. Sen lisäksi, että esitetyt syyt ovat epäuskottavia, EY ei edes vaivaudu tavanomaiseen pyhäin valittamiseen siitä, kuinka meidän on uhrattava tärkeät vapaudet turvallisuuden nimissä, koska meitä uhkaa [valitse yksi] ihmiskauppa, lasten turvallisuus ja rahanpesu. , veronkierto tai (henkilökohtainen suosikkini) ilmastonmuutos . Ei voida kiistää, että EU sytyttää meitä.
Jos EY ei ole rehellinen heidän todellisista motiiveistaan, mitä he tavoittelevat? Gibson näkee ilkeän tarkoituksen :
Ja on vain yksi mahdollinen syy, miksi he haluavat [pakottaa selaimet luottamaan QWAC:iin], mikä on mahdollistaa Internet-verkkoliikenteen sieppauksen lennossa, aivan kuten yritysten sisällä tapahtuu. Ja se tunnustetaan.
(Mitä Gibson tarkoittaa “verkkoliikenteen sieppauksella”, on yllä kuvattu MITM-hyökkäys.)
Muut kommentit ovat korostaneet sananvapauden ja poliittisen protestin pahaenteisiä seurauksia. Ryan Hurst esittää pitkässä esseessä liukkaan rinteen argumentin:
Kun liberaali demokratia ottaa tällaisen hallinnan verkkoteknologiaan, sen seurauksista huolimatta, se luo pohjan autoritaarisemille hallituksille seuraamaan esimerkkiä rankaisematta.
Mozilla, lainattu techdirtissä (ilman linkkiä alkuperäiseen), sanoo enemmän tai vähemmän samaa:
…selainten pakottaminen automaattisesti luottamaan hallituksen tukemiin varmenneviranomaisiin on autoritaaristen hallintojen keskeinen taktiikka, ja EU:n toimien legitimoiva vaikutus rohkaisisi näitä toimijoita…
Gibson tekee samanlaisen havainnon :
Ja sitten on todellinen haamu siitä, mitä muita ovia tämä avaa: Jos EU näyttää muulle maailmalle, että se voi menestyksekkäästi sanella kansalaistensa käyttämien riippumattomien verkkoselaimien luottamusehdot, mitä muut maat noudattavat vastaavilla laeilla. ? Nyt jokainen joutuu yksinkertaisesti vaatimaan oman maansa todistusten lisäämistä. Tämä vie meidät aivan väärään suuntaan.
Tämä ehdotettu artikla 45 on hyökkäys käyttäjien yksityisyyttä vastaan EU-maissa. Jos se hyväksytään, se olisi valtava takaisku ei vain Internetin turvallisuudelle, vaan myös kehittyneelle hallintojärjestelmälle. Olen samaa mieltä Steve Gibsonin kanssa, että:
Se, mikä on täysin epäselvää ja mitä en ole missään törmännyt, on selitys auktoriteetista, jolla EU kuvittelee voivansa sanella toisen organisaation ohjelmistojen suunnittelua. Koska siitä tämä johtuu.
Ehdotettua 45 artiklaa koskeva vastaus on ollut erittäin kielteinen. Euroopan kalatalousrahasto artikkelissa ” Artikla 45 Will Roll Back Web Security 12 vuodella ” kirjoittaa: “Tämä on katastrofi kaikkien Internetiä käyttävien henkilöiden yksityisyydelle, mutta erityisesti niille, jotka käyttävät Internetiä EU:ssa.”
eIDAS-työ on neljän hälytyksen tulipalo turvallisuusyhteisölle. Mozilla – avoimen lähdekoodin Firefox-verkkoselaimen valmistaja – julkaisi alan yhteisen lausunnon vastustaen sitä. Lausunnon on allekirjoittanut Internet-infrastruktuuriyritysten kaikkien tähtien luettelo, mukaan lukien Mozilla itse, Cloudflare, Fastly ja Linux Foundation.
Yllä mainitusta avoimesta kirjeestä :
Luettuamme lähes lopullisen tekstin olemme syvästi huolissamme 45 artiklan ehdotetusta tekstistä. Nykyinen ehdotus laajentaa radikaalisti hallitusten mahdollisuuksia valvoa sekä omia kansalaisiaan että asukkaitaan kaikkialla EU:ssa tarjoamalla heille tekniset keinot salattujen tietojen sieppaamiseen. verkkoliikennettä sekä heikentää olemassa olevia valvontamekanismeja, joihin Euroopan kansalaiset luottavat.
Mihin tämä menee? Asetusta on ehdotettu jo jonkin aikaa. Lopullinen päätös oli määrä tehdä marraskuussa 2023. Verkkohaut eivät ole osoittaneet uutta tietoa aiheesta sen jälkeen.
Viime vuosina suora sensuuri on lisääntynyt kaikissa muodoissaan. COVID-hulluuden aikana hallitus ja teollisuus tekivät yhteistyötä luodakseen sensuuri-teollisen kompleksin edistääkseen tehokkaammin vääriä kertomuksia ja tukahduttaakseen toisinajattelijoita. Muutaman viime vuoden aikana skeptikot ja riippumattomat äänet ovat taistelleet tuomioistuimissa ja luomalla näkökulmasta neutraaleja alustoja.
Vaikka puheensensuuri on edelleen suuri vaara, kirjailijoiden ja toimittajien oikeudet on suojattu paremmin kuin monet muut oikeudet. Yhdysvalloissa ensimmäisessä lisäyksessä on nimenomainen sanansuoja ja vapaus kritisoida hallitusta. Tuomioistuimet voivat olla sitä mieltä, että kaikki oikeudet tai vapaudet, joita ei suojata erittäin erityisellä lakisääteisellä kielellä, ovat reilua peliä. Tämä saattaa olla syynä siihen, että vastarinta on onnistunut paremmin puheissa kuin muut ponnistelut muiden vallan väärinkäytösten, kuten karanteenien ja väestörajoitusten, lopettamiseksi.
Hyvin puolustetun vihollisen sijaan hallitukset siirtävät hyökkäyksensä muille Internet-infrastruktuurin kerroksille. Nämä palvelut, kuten verkkotunnuksen rekisteröinti, DNS, varmenteet, maksuprosessorit, isännöinti ja sovelluskaupat, koostuvat suurelta osin yksityisistä markkinapaikkatapahtumista. Nämä palvelut ovat paljon huonommin suojattuja kuin puhe, koska kenelläkään ei ole suurimmaksi osaksi oikeutta ostaa tiettyä palvelua tietystä yrityksestä. Ja tekniset palvelut, kuten DNS ja PKI, ovat huonommin yleisön ymmärtämiä kuin verkkojulkaisu.
PKI-järjestelmä on erityisen herkkä hyökkäyksille, koska se toimii maineen ja konsensuksen perusteella. Ei ole olemassa yhtä viranomaista, joka hallitsee koko järjestelmää. Pelaajien on ansaittava maine läpinäkyvyyden, vaatimustenmukaisuuden ja virheiden rehellisen raportoinnin kautta. Ja tämä tekee siitä haavoittuvan tämän tyyppisille häiritseville hyökkäyksille. Jos EU:n PKI joutuu sääntelyviranomaisten käsiin, odotan muiden maiden seuraavan perässä. Ei vain PKI ole vaarassa. Kun on todistettu, että säätelijät voivat hyökätä pinon muihin kerroksiin, myös ne kohdistetaan.
Lähde:
Raportti: EU:n eIDAS-säädöksen artikla 45 ja sen vaikutukset internetin turvallisuuteen
Yleiskatsaus:
Euroopan unioni on esittänyt eIDAS-säädöksen (Electronic Identification, Authentication and Trust Services) uudistuksen, joka sisältää artikla 45:n ja 45a:n. Nämä artiklat vaikuttavat merkittävästi internetin turvallisuuteen ja yksityisyyden suojaan, ja ne ovat herättäneet huolta useissa asiantuntija- ja kansalaisjärjestöissä.
Artikla 45:n pääkohdat:
- Artikla 45 vaatii selaimia luottamaan hallitusten nimittämiin sertifikaattiviranomaisiin (CA) ja kieltää selaimia asettamasta näille viranomaisille lisävaatimuksia ilman Euroopan unionin jäsenvaltioiden hyväksyntää.
- Tämä rajoittaa selainten kykyä kilpailla keskenään käyttäjiensä turvallisuuden parantamisessa.
- Artikla saattaa estää selaimia käyttämästä Sertifikaatin läpinäkyvyyttä (Certificate Transparency), mikä tekee hallituksen vakoilutoiminnan havaitsemisen vaikeammaksi.
- Artikla 45:n seurauksena selaimet saattavat joutua luomaan kaksi eri versiota: yhden EU:lle vähemmän turvallisuustarkastuksin ja toisen muulle maailmalle.
Huolenaiheet ja kritiikki:
- Asiantuntijat ovat ilmaisseet huolensa siitä, että artikla heikentää internetin yleistä turvallisuutta ja yksityisyyden suojaa.
- On pelko, että EU:n hyväksymät sertifikaattiviranomaiset voivat väärinkäyttää asemaansa, mikä johtaisi tietojen väärinkäyttöön ja yksityisyyden loukkauksiin.
- Artikla 45 saattaa johtaa siihen, että EU:n jäsenvaltiot voivat seurata ja salakuunnella internetin käyttöä, mikä on herättänyt huolta kansalaisoikeuksien ja perusoikeuksien näkökulmasta.
- Tietoturva-asiantuntijat ovat myös huolissaan siitä, että EU:n säädökset voivat asettaa vaarallisen ennakkotapauksen, joka voisi edistää sortohallitusten toimintaa.
Johtopäätökset:
Vaikka eIDAS-säädöksen uudistuksen tarkoituksena on parantaa digitaalista turvallisuutta, sen toteutus ja vaikutukset ovat herättäneet laajaa huolta. Artikla 45:n potentiaalinen vaikutus internetin turvallisuuteen ja yksityisyyden suojaan vaatii huolellista harkintaa ja laajaa keskustelua kaikkien sidosryhmien kesken. On tärkeää, että lainsäätäjät, tietoturva-asiantuntijat ja muut sidosryhmät työskentelevät yhdessä varmistaakseen, etteivät nämä uudistukset heikennä internetin perusperiaatteita ja yksilöiden oikeuksia.
Lähteet:
- Electronic Frontier Foundation: https://www.eff.org
- Socradar.io: https://www.socradar.io
- The Register: https://www.theregister.com
- Open Source Security Foundation: https://www.openssf.org
- Internet Society: https://www.internetsociety.org
- Help Net Security: https://www.helpnetsecurity.com
- Mozilla Open Policy & Advocacy Blog: https://blog.mozilla.org
- Techzine Europe: https://www.techzine.eu