L’UE vole spià l’usu di l’Internet da l’Europeani

Scrittu da Robert Blumen via The Brownstone Institute,

A Cummissione Europea hè un corpu legislativu di l'UE cù l'autorità regulatoria nantu à a tecnulugia digitale. L'Articulu 45 di eIDAS di a CE, un regulamentu prupostu, indebolisce deliberatamente e zone di a sicurità di l'Internet chì l'industria hà sviluppatu currettamente è indurita per più di 25 anni. L'articulu cuncederà in modu efficace à i 27 guverni di l'UE putenzi di sorveglianza largamente ampliati annantu à l'usu di Internet.

A regula esigeria chì tutti i navigatori Internet cunfidanu un certificatu radicale supplementu da una agenzia (o una entità regulata) da ognuna di i guverni naziunali di ognunu di i Stati membri di l'UE. Per i lettori non tecnichi, spiegheraghju ciò chì hè un certificatu radice, cumu a fiducia in Internet hà evolutu, è ciò chì l'Articulu 45 face à questu. E poi metteraghju in risaltu alcuni di i cummentarii da a cumunità tecnologica nantu à sta materia.

A prossima sezione di stu articulu spiegà cumu funziona l'infrastruttura di fiducia di l'internet. Stu fondu hè necessariu per capisce quantu radicali hè l'Articulu prupostu. A spiegazione hè destinata à esse accessibile à un lettore non tecnicu.

U regulamentu in quistione indirizza a sicurità di Internet. Quì, "internet" significa, in gran parte, i navigatori chì visitanu siti web. A sicurità di Internet hè custituita da parechji aspetti distinti. L'articulu 45 intende di mudificà l'infrastruttura di chjave publica (PKI) , una parte di a sicurità di Internet da a mità di l'anni 90. PKI hè stata prima aduttatu, è dopu migliuratu annantu à un periudu di 25 anni, per dà à l'utilizatori è l'editori i seguenti assicurazioni:

• Privacità di a cunversazione trà u navigatore è u situ web : I navigatori è i siti web cunversanu nantu à Internet, una reta di rete operata da i Fornitori di serviziu Internet , è i trasportatori Tier 1 ; o trasportatori cellulari se u dispusitivu hè mobile. A reta stessa ùn hè micca intrinsecamente sicura nè di fiducia. U vostru ISP di casa nasy , un viaghjatore in u salone di l'aeroportu induve site aspittendu u vostru volu, o un venditore di dati chì cerca di vende porta à l'annunciatori puderia spiegà. Senza alcuna prutezzione, un cattivu attore puderia vede dati cunfidenziale cum'è una password, u saldu di a carta di creditu o l'infurmazioni di salute.

• Garantite chì vede a pagina esattamente cum'è u situ web l'hà mandatu : Quandu vede una pagina web, puderia esse stata manipulata trà l'editore è u vostru navigatore ? Un censor puderia vulete sguassà u cuntenutu chì ùn volenu micca vede. U cuntenutu marcatu cum'è "disinformazione" hè statu largamente soppresso durante l'isteria di covid. Un pirate chì avia arrubbatu a vostra carta di creditu puderia vulete sguassà evidenza di i so carichi fraudulenti.

• Garantite chì u situ web chì vede hè veramente quellu in a barra di locu di u navigatore : Quandu si cunnetta à un bancu, cumu sapete chì vi vede u situ web di quellu bancu, micca una versione falsa chì pare identica? Verificate a barra di locu in u vostru navigatore. Puderia u vostru navigatore esse ingannatu per mostrà un situ web falsu chì pare identicu à u veru? Cumu u vostru navigatore sapi – di sicuru – chì hè cunnessu à u situ currettu?

In i primi tempi di l'internet, nimu di sti assicurazioni esistenu. In u 2010, un plugin di navigatore dispunibule in a tenda di add-on hà permessu à l'utilizatori di participà à u chat di u gruppu Facebook di qualcunu in un hotspot cafe. Avà – grazia à PKI, pudete esse abbastanza sicuru di queste cose.

Sti funziunalità di sicurità sò prutetti cù un sistema basatu nantu à certificati digitale . I certificati digitali sò una forma d'identità – a versione Internet di una licenza di guida. Quandu un navigatore cunnetta à un situ, u situ presenta un certificatu à u navigatore. U certificatu cuntene una chjave criptografica. U navigatore è u situ web travaglianu inseme cù una seria di calculi criptografici per stabilisce una cumunicazione sicura.

Inseme, u navigatore è u situ web furnisce e trè garanzii di sicurezza:

• privacy : encrypting the conversation.

• firma digitale criptografica: per assicurà chì u cuntenutu ùn hè micca mudificatu in volu .

• verificazione di l'editore : à traversu a catena di fiducia furnita da PKI, chì spiegheraghju più in dettagliu quì sottu.

Una bona identità deve esse difficiule di falsificà. In u mondu anticu, un casting di cera di un segellu servia stu scopu. L'identità per l'omu si basanu nantu à a biometria. A vostra faccia hè una di e forme più antiche. In u mondu micca digitale, quandu avete bisognu di accede à un paràmetru limitatu di età, cum'è l'urdinamentu di una bevanda alcolica, vi sarà dumandatu un ID di foto.

Un altru biometricu di prima di l'era digitale era di cunfurmà a vostra firma fresca di penna è inchiostra cù a vostra firma originale nantu à u spinu di a vostra ID. Siccomu sti tipi più antichi di biometriche diventanu più faciuli di falsificà, a verificazione di l'identità umana hè adattata. Avà, hè cumunu per un bancu per mandà un codice di validazione in u vostru telefuninu. L'app richiede di passà un cuntrollu di identità biometrica in u vostru telefuninu per vede u codice cum'è u ricunniscenza facciale o a vostra impronta digitale.

In più di una biometrica, u sicondu fattore chì rende un ID affidabile hè l'emittente. ID chì sò largamente accettati dipendenu da a capacità di l'emittente per verificà chì a persona chì dumanda una ID hè quellu chì dice chì hè. A maiò parte di e forme d'identità più accettate sò emesse da l'agenzii di u guvernu, cum'è u Dipartimentu di i Veiculi Motori. Se l'agenzia emittente hà mezzi affidabili per seguità quale è induve sò i so sughjetti, cum'è pagamenti fiscali, registri di l'impieghi, o l'usu di servizii di utilità d'acqua, allora ci hè una bona chance chì l'agenzia pò verificà chì a persona chjamata nantu à l'ID hè. quella persona.

In u mondu in linea, i guverni anu, per a maiò parte, micca implicati in a verificazione di l'identità. I certificati sò emessi da imprese di u settore privatu cunnisciute cum'è autorità di certificazione (CA). Mentre chì i certificati eranu abbastanza caru, i tariffi sò calati considerablemente à u puntu chì alcuni sò gratuiti . I CA più cunnisciuti sò Verisign, DigiCert è GoDaddy. Ryan Hurst mostra i sette CA principali (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft è IdenTrust) emettenu 99% di tutti i certificati.

U navigatore accetterà un certificatu cum'è prova d'identità solu se u campu di nome nantu à u certificatu currisponde à u nome di duminiu, chì u navigatore mostra in a barra di locu. Ancu s'è i nomi currispondenu, questu furnisce chì un certificatu chì dice "apple.com" appartene à l'impresa di l'elettronica di cunsumu cunnisciuta cum'è Apple, Inc.? I sistemi d'identità ùn sò micca bulletproof. I bevitori minorenni ponu uttene documenti d'identità falsi . Cum'è ID umani, certificati digitale pò ancu esse falsi, o invalidu per altri mutivi. Un ingegnere di software chì utilizeghja strumenti open source gratuiti pò creà un certificatu digitale chjamatu "apple.com" cù uni pochi di cumandamenti Linux .

U sistema PKI s'appoghja à i CA per emette qualsiasi certificatu solu à u pruprietariu di u situ web. U flussu di travagliu per acquistà un certificatu hè cusì:

1. L'editore di un situ web applica à a so CA preferita per un certificatu, per un duminiu.

2. A CA verifica chì a dumanda di certificatu vene da u pruprietariu propiu di quellu situ. Cumu l'AC stabilisce questu? L'AC richiede chì l'entità chì face a dumanda pubblicà un pezzu specificu di cuntenutu in un URL specificu. A capacità di fà questu prova chì l'entità hà u cuntrollu di u situ web.

3. Una volta chì u situ web hà pruvucatu a pruprietà di u duminiu, l'AC aghjunghje una firma digitale criptografica à u certificatu utilizendu a so propria chjave criptografica privata. A firma identifica l'AC cum'è l'emittente.

4. U certificatu firmatu hè trasmessu à a persona o entità chì face a dumanda.

5. L'editore installate u so certificatu in u so situ web, cusì pò esse presentatu à i navigatori.

E firme digitali criptografiche sò "un schema matematicu per verificà l'autenticità di missaghji o documenti digitale". Ùn sò micca listessa cosa chì a firma di documentu in linea furnita da DocuSign è venditori simili. Se a firma puderia esse falsificata, i certificati ùn saranu micca affidabili. À u tempu, a dimensione di i chjavi criptografici hà aumentatu cù u scopu di fà falsificazioni più difficili. I circadori di criptografia crede chì e firme attuali, in termini pratichi, sò impussibili di falsificà. Un'altra vulnerabilità hè quandu u CA hà i so chjavi secreti arrubati. U latru puderia tandu pruduce firme valide di quella CA.

Una volta chì u certificatu hè statu stallatu, allora hè utilizatu durante a cunfigurazione di una conversazione web. U Registru spiega cumu si passa:

Se u certificatu hè statu emessu da una bona CA cunnisciuta, è tutti i dettagli sò curretti, allura u situ hè fiduciale, è u navigatore pruvarà à stabilisce una cunnessione sicura è criptata cù u situ web per chì a vostra attività cù u situ ùn hè micca visibile. à un ascoltatore nantu à a reta. Se u certificatu hè statu emessu da una CA non fiduciale, o u certificatu ùn currisponde à l'indirizzu di u situ web, o certi dettagli sò sbagliati, u navigatore rifiutarà u situ web per una preoccupazione chì ùn hè micca cunnessu à u situ web attuale chì l'utilizatore vole. , è pò esse parlà cun un impersonator.

Pudemu confià in u navigatore perchè u navigatore fiducia in u situ web. U navigatore fiducia in u situ web perchè u certificatu hè statu emessu da una CA "bene cunnisciuta". Ma chì hè una "CA bona cunnisciuta?" A maiò parte di i navigatori s'appoghjanu nantu à i CA furniti da u sistema operatore. A lista di CA affidabili hè decisu da i venditori di dispositivi è software. I principali venditori di computer è dispositivi – Microsoft, Apple, i fabricatori di telefoni Android, è i distributori Linux open source – precaricate u sistema operatore in i so dispositi cù un settore di certificati radichi.

Questi certificati identificanu i CA chì anu verificatu è cunsidereghjanu affidabili. Questa cullizzioni di certificati radicali hè chjamata "fiducia". Per piglià un esempiu vicinu à mè, u PC Windows chì aghju utilizatu per scrive stu pezzu hà 70 certificati di radica in u so Store Trusted Root Certificate. U situ di supportu d'Apple lista tutte e radiche fiduciate da a versione Sierra di MacOS .

Cumu l'urdinatore è i venditori di u telefuninu decidenu chì CA sò affidabili? Hanu prugrammi di auditu è ​​di cunfurmità per evaluà a qualità di CA. Solu quelli chì passanu sò inclusi. Vede per esempiu, u navigatore Chrome (chì furnisce u so propiu magazinu di fiducia invece di utilizà quellu nantu à u dispusitivu). L'EFF ( chì si descrive cum'è "l'urganizazione senza prufittu chì difende e libertà civili in u mondu digitale" ) spiega :

I navigatori operanu "root programs" per vigilà a sicurità è a fiducia di i CA chì anu fiducia. Quelli prugrammi radicali imponenu una quantità di esigenze chì varienu da "cumu deve esse assicuratu u materiale chjave" à "cumu deve esse realizatu a validazione di u cuntrollu di u nome di duminiu" à "chì algoritmi deve esse usatu per a firma di certificati".

Dopu chì una CA hè stata accettata da un venditore, u venditore cuntinueghja a monitorizà. I venditori elimineranu i CA da u magazinu di fiducia se l'AC ùn riesce à mantene i standard di sicurezza necessarii. L'autorità di u certificatu ponu, è fà, andà in furia, o falla per altri motivi. U Registru informa :

I certificati è i CA chì li emettenu ùn sò micca sempre affidabili è i pruduttori di navigatori annantu à l'anni anu sguassatu i certificati root CA da CA basati in Turchia, Francia, Cina, Kazakistan, è in altrò quandu l'entità emittente o una parte assuciata hè stata trovata interceptendu u web. trafficu.

In u 2022, u circadori Ian Carroll hà riportatu preoccupazioni di sicurezza cù l'autorità di certificazione e-Tugra . Carroll "truvau una quantità di prublemi allarmanti chì mi preoccupanu in quantu à e pratiche di sicurezza in a so cumpagnia", cum'è credenziali debuli. I rapporti di Carroll sò stati verificati da i principali venditori di software. In u risultatu, e-Tugra hè stata eliminata da i so magazzini di certificati di fiducia .

A Timeline of Certificate Authority Failures conta di altri tali incidenti.

Ci sò ancu alcuni buchi cunnisciuti in PKI cume esiste attualmente. Perchè una questione particulare hè impurtante per capiscenu l'Articulu 45 di eIDAS, spiegheraghju questu dopu. A fiducia di una CA ùn hè micca scundata à quelli siti web chì facenu a so attività cù quella CA. Un navigatore accettarà un certificatu da qualsiasi CA di fiducia per qualsiasi situ web. Ùn ci hè nunda chì impedisce à a CA di emette un situ web à un attore cattivu chì ùn era micca dumandatu da u pruprietariu di u situ. Un tali certificatu seria fraudulente in u sensu legale per via di quale hè statu emessu. Ma u cuntenutu di u certificatu seria tecnicamente validu da u puntu di vista di u navigatore.

S'ellu ci era un modu per associà ogni situ web cù a so CA preferita, allora ogni certificatu per quellu situ da qualsiasi altra CA seria immediatamente ricunnisciutu com'è fraudulente. U certificatu pinning hè un altru standard chì face un passu in questa direzzione. Ma cumu serà publicata quella associu è cumu si fidarà quellu editore ?

À ogni strata di stu prucessu, a suluzione tecnica si basa in una fonte esterna di fiducia. Ma cumu si stabilisce a fiducia? Fiendu à una fonte ancu di più fiducia in u prossimu pianu più altu? Sta quistione illustra a natura di u prublema " tartarughe, finu à a fine ". PKI hà una tartaruga in fondu: a reputazione, a visibilità è a trasparenza di l'industria di sicurità è i so clienti. A fiducia hè custruita à questu livellu attraversu un monitoraghju constante, standard aperti, sviluppatori di software è CA.

I certificati fraudulenti sò stati emessi. In u 2013, ArsTechnica hà dettu chì l'agenzia francese hà pigliatu l'impurtanza di certificati SSL imitandu Google :

In u 2011 … i ricercatori di sicurità anu vistu un certificatu falsu per Google.com chì hà datu à l'attaccanti a capacità di impersonà u serviziu di mail di u situ web è altre offerte. U certificatu falsificatu hè statu fattu dopu chì l'attaccanti anu perforatu a sicurità di DigiNotar basatu in Paesi Bassi è acquistatu u cuntrollu di i so sistemi di emissione di certificati.

I credenziali di a capa di sockets sicuri (SSL) sò stati firmati digitalmente da una autorità di certificatu valida … In fattu, i certificati eranu duplicati micca autorizati chì sò stati emessi in violazione di e regule stabilite da i pruduttori di navigatori è i servizii di l'autorità di certificazione.

L'emissione di certificati fraudulenti pò accade. Un CA rogue pò emette unu, ma ùn ghjunghjeranu micca luntanu. U certificatu cattivu serà rilevatu. A cattiva CA fallarà i prugrammi di cunfurmità è serà eliminata da i magazzini di fiducia. Senza l'accettazione, l'AC andarà fora di l'affari. Certificate Transparency , un standard più recente, permette una rilevazione più rapida di certificati fraudulenti.

Perchè un CA andava in un furore? Chì vantaghju pò guadagnà u cattivu da un certificatu micca autorizatu? Cù u certificatu solu, micca assai, ancu quandu hè firmatu da una CA di fiducia. Ma se u cattivu pò fà squadra cù un ISP, o altrimente accede à a reta chì u navigatore usa, u certificatu dà à u cattivu attore a capacità di rompe tutte e garanzie di sicurità di PKI.

U pirate puderia muntà un attaccu man-in-the-middle (MITM) nantu à a cunversazione. L'attaccante puderia inserisce trà u navigatore è u veru situ web. In questu scenariu, l'utilizatore avissi da parlà direttamente à l'attaccante, è l'attaccante trasmette u cuntenutu avanti è avanti cù u situ web reale. L'attaccante presentava u certificatu fraudulente à u navigatore. Perchè era firmatu da una CA di fiducia, u navigatore l'accetta. L'attaccante puderia vede è ancu mudificà ciò chì ogni parte hà mandatu prima chì l'altra parte l'hà ricevutu.

Avà ghjunghjemu à u sinistru eIDAS di l'UE, l'Articulu 45. Stu regulamentu prupostu esige chì tutti i navigatori cunfidanu una cesta di certificati da CA designati da a UE. Vintisette per esse precisamente: unu per ogni nazione membru. Questi certificati sò da esse chjamati Certificati di autentificazione di u situ web qualificatu . L'acronimu "QWAC" hà un omofonu disgraziatu à u ciarlatanu – o forse l'EC ci trolling.

I QWAC seranu emessi sia da l'agenzii di u guvernu, sia da ciò chì Michael Rectenwald chjama guvernanzialità : "corporazioni è cumpagnie è altri aggregati di u statu chì altrimenti sò chjamati "privati", ma chì operanu veramente cum'è apparati statali, in quantu sò infurzati. narrazioni statali è dettati ".

Stu schema purtarà i guverni membri di l'UE un passu più vicinu à u puntu induve puderanu attaccà à l'omu à mezu à i so citadini. Anu ancu bisognu di accede à e rete. I guverni sò in pusizioni di fà quessa. Se l'ISP hè gestitu cum'è una impresa statale, allora avaristi digià. Se l'ISP sò imprese private, l'autorità lucali puderanu aduprà i puteri di a polizia per avè accessu.

Un puntu chì ùn hè micca statu enfatizatu in a cunversazione publica hè chì un navigatore in qualsiasi di e 27 nazioni membri di l'UE avissi da accettà ogni QWAC unicu, unu da ogni membru di l'UE . Questu significa chì un navigatore in, per esempiu, in Spagna, avissi da fidà un QWAC da entità in Croazia, Finlandia è Austria. L'utilizatori spagnoli chì visitanu un situ web austriacu duveria transitu per e porzioni austriache di l'internet. I prublemi suscitati sopra s'applicàranu tutti in i paesi di l'UE.

U Registru, in un pezzu intitulatu Bad eIDAS: l'Europa pronta à intercepte, spia e vostre cunnessione HTTPS criptate spiega una manera chì questu puderia travaglià:

[U]u guvernu pò dumandà à a so CA amica per una copia di u certificatu [QWAC] in modu chì u guvernu pò impersonà u situ web – o dumandà à qualchì altru navigatore di certificatu fiducia è accetta per u situ. Cusì, utilizendu un attaccu man-in-the-middle, chì u guvernu pò intercepte è decrypt u trafficu HTTPS criptatu trà u situ web è i so utilizatori, chì permettenu à u regime di monitorà esattamente ciò chì a ghjente face cù quellu situ in ogni mumentu.

Dopu avè penetratu u scudu di a criptografia, u monitoraghju puderia include salvà e password di l'utilizatori, è dopu l'utilizanu in un altru tempu per accede à i cunti email di i citadini. In più di u monitoraghju, i guverni puderanu mudificà u cuntenutu in linea. Per esempiu, puderanu sguassà e narrazioni chì volenu censurà. Puderanu attaccà fastidiosi cuntrolli di fatti statali è avvisi di cuntenutu à l'opinioni dissidenti.

Cum'è e cose sò attualmente, CA deve mantene a fiducia di a cumunità di u navigatore. I navigatori attualmente avvisanu l'utilizatore se un situ presenta un certificatu scadutu o altrimenti micca fiduciale. Sottu à l'articulu 45, l'avvertimenti o l'espulsione di abusers di fiducia seranu pruibiti. Ùn sò micca solu i navigatori mandati à fidà di i QWAC, ma l'Articulu 45 pruibisce i navigatori di mostrà un avvisu chì un certificatu firmatu da un QWAC.

Last Chance for eIDAS (un situ web chì mostra u logu Mozilla) sustene l'articulu 45:

Ogni statu membru di l'UE hà a capacità di designà chjavi criptografici per a distribuzione in i navigatori web è i navigatori sò pruibiti di revocà a fiducia in queste chjavi senza permessu di u guvernu.

… Ùn ci hè micca un cuntrollu o un equilibriu indipendenti nantu à e decisioni prese da i Stati membri in quantu à e chjave chì autorizanu è l'usu chì li facenu. Questu hè particularmente preoccupante postu chì l'aderenza à u statu di dirittu ùn hè micca stata uniforme in tutti i Stati membri, cù casi documentati di coercizione da a polizia secreta per scopi pulitichi.

In una lettera aperta firmata da parechje centinaie di circadori di sicurezza è informatichi :

L'articulu 45 pruibisce ancu i cuntrolli di sicurezza nantu à i certificati web di l'UE, salvu espressamente permessu da u regulamentu quandu stabiliscenu cunnessione di trafficu web criptatu. Invece di specificà un inseme di misure di sicurezza minimu chì deve esse infurzatu cum'è una linea di basa, specifica in modu efficace un limite superiore per e misure di sicurezza chì ùn pò micca esse migliuratu senza l'autorizazione di ETSI. Questu hè in contru à e norme glubale ben stabilite induve e tecnulugia di cibersicurezza sò sviluppate è implementate in risposta à l'evoluzione rapida di a tecnulugia.

A maiò parte di noi s'appoghjanu à i nostri venditori per curà a lista di CA di fiducia. Tuttavia, cum'è utilizatore, pudete aghjunghje o sguassà certificati cum'è vo vulete nantu à i vostri dispositi. Microsoft Windows hà un strumentu per fà questu . In Linux, i certificati radicali sò schedarii situati in un solu repertoriu. Un CA pò esse micca fiduciale solu per sguassà u schedariu. Questu serà ancu pruibitu ? Steve Gibson, un espertu di sicurezza, un columnista , è un anfitrione di u podcast di longa durata Security Now dumanda :

Ma l'UE dichjara chì i navigatori seranu richiesti di onore queste autorità di certificatu novi, micca pruvati è micca testati, è cusì qualsiasi certificati chì emettenu, senza eccezzioni è senza ricursu. Questu significa chì a mo istanza di Firefox serà legalmente obligata à ricusà u mo tentativu di sguassà quelli certificati?

Gibson nota chì alcune corporazioni implementanu una vigilanza simile di i so impiegati in a so propria reta privata. Qualunque sia a vostra opinione nantu à e cundizioni di travagliu, alcune industrii anu ragioni di auditu è ​​di cunfurmità legittimi per seguità è registrà ciò chì i so impiegati facenu cù e risorse di a cumpagnia. Ma, cum'è Gibson cuntinueghja ,

U prublema hè chì l'UE è i so nazioni membri sò assai diffirenti di l'impiegati di una urganizazione privata. Ogni volta chì un impiigatu ùn vole micca esse spiatu, ponu aduprà u so propiu smartphone per aggirà a reta di u patronu. E di sicuru, a reta privata di un patronu hè solu questu, una reta privata. L'UE vole fà questu per tuttu l'Internet publicu da quale ùn ci saria micca scappatu.

Avà avemu stabilitu a natura radicali di sta pruposta. Hè ora di dumandà, chì ragiuni prupone a CE per motivà stu cambiamentu ? A CE dice chì a verificazione di l'identità sottu PKI ùn hè micca adatta. È chì sti cambiamenti sò necessarii per migliurà.

Ci hè una verità à l'affirmazioni di a CE? A PKI attuale in a maiò parte di i casi richiede solu a dumanda per pruvà u cuntrollu di u situ web. Mentre chì questu hè qualcosa, ùn guarantisci micca, per esempiu, chì a pruprietà web "apple.com" hè di a cumpagnia di l'elettronica di cunsumu cunnisciuta cum'è Apple Inc, cù sede in Cupertino, California. Un utilizatore maliziusu pò ottene un certificatu validu per un nome di duminiu simili à quellu di un affari ben cunnisciutu. U certificatu validu puderia esse usatu in un attaccu chì si basava in certi utilizatori chì ùn anu micca abbastanza per nutà chì u nome ùn hè micca abbastanza. Questu hè accadutu à u processatore di pagamentu Stripe .

Per l'editori chì vulianu dimustrà à u mondu chì sò veramente a stessa entità corporativa, certi CA anu offrittu Certificati di Validazione Estesa (EV) . A parte "estesa" hè custituita da validazioni supplementari contr'à l'affari stessu, cum'è l'indirizzu cummerciale, un numeru di telefunu di travagliu, una licenza di cummerciale o incorporazione, è altri attributi tipici di una preoccupazione. I EV sò listati à un prezzu più altu perchè necessitanu più travagliu da u CA.

I navigatori utilizati per mostrà un feedback visuale evidenziatu per un EV, cum'è un culore diversu o un icona di serratura più robusta. Nta l'ultimi anni, i EV ùn sò micca stati particularmente populari in u mercatu. A maiò parte sò morti. Parechji navigatori ùn mostranu più u feedback differenziale.

Malgradu i punti debbuli chì esistenu sempre, PKI hà migliuratu notevolmente cù u tempu. Cume i difetti sò diventati capitu, sò stati indirizzati. L'algoritmi di criptografia sò stati rinfurzati, a guvernanza hà migliuratu, è i vulnerabili sò stati bluccati. A guvernanza da un cunsensu di l'attori di l'industria hà travagliatu abbastanza bè. U sistema hà da cuntinuà à evoluzione, sia tecnologicu sia istituziunale. Oltre à l'ingerenza di i regulatori, ùn ci hè nisuna ragione per aspittà altrimenti.

Avemu amparatu da a storia lackluster di EVs chì u mercatu ùn importa micca tantu di a verificazione di l'identità corporativa. Tuttavia, se l'utilizatori di l'internet vulianu quessa, ùn averia micca bisognu di rompe PKI esistenti per dà li. Certi picculi ritocchi à i flussi di travagliu esistenti seranu abbastanza. Certi cummentari anu prupostu di mudificà u TLS handshake ; u situ web presentava un certificatu supplementu. U certificatu primariu funziona cum'è avà. U certificatu secundariu, firmatu da un QWAC, implementava i normi d'identità supplementari chì a CE dice chì vole.

I presunti motivi di eIDAS da a CE ùn sò simpliciamente micca credibili. Ùn sò micca solu i motivi datu implausible, a CE ùn si preoccupa ancu di i soliti lamenti santimoniosi nantu à cumu duvemu sacrificà libertà impurtanti in nome di a sicurità perchè facemu a seria minaccia di [sceglie unu] trafficu umanu, sicurezza di i zitelli, lavurazione di soldi. , l'evasione fiscale, o (u mo favuritu persunale) u cambiamentu climaticu . Ùn ci hè micca negà chì l'UE ci lampeghja à gas.

Se a CE ùn hè micca onestu nantu à i so mutivi veri, allora chì sò dopu?

Gibson vede una intenzione nefasta :

È ci hè solu un pussibili mutivu per elli chì volenu [furzà i navigatori à fidà di i QWAC], chì hè di permette l'interceptazione di u trafficu di Internet in u volu , esattamente cum'è succede in l'internu di e corporazioni. È questu hè ricunnisciutu.

(Ciò chì Gibson significa per "intercepzione di u trafficu web" hè l'attaccu MITM descrittu sopra.) Un altru cummentariu hà evidenziatu l'implicazioni sinistre per a libertà di parlà è a protesta pulitica. Hurst in un esame di forma longa face un argumentu di pendenza slippery:

Quandu una demucrazia liberale stabilisce stu tipu di cuntrollu di a tecnulugia nantu à u web, malgradu e so cunsequenze, pone a basa per i guverni più autoritarii per seguità impunità.

Mozilla citatu in techdirt (senza ligame cù l'uriginale) dice più o menu u listessu:

[F]furzà i navigatori per cunfidassi automaticamente in l'autorità di certificazione sustinute da u guvernu hè una tattica chjave aduprata da i regimi autoritarii, è questi attori seranu incoraggiati da l'effettu legittimisante di l'azzioni di l'UE …

Gibson face una osservazione simile:

E poi ci hè u spettru assai reale di ciò chì altre porte si apre: Se l'UE mostra à u restu di u mondu chì pò detta cun successu i termini di fiducia per i navigatori web indipendenti utilizati da i so citadini, ciò chì altri paesi seguiranu cù leggi simili. ? Avà tutti ponu esse solu dumandà chì i certificati di u so paese sò aghjuntu. Questu ci porta esattamente in a direzzione sbagliata.

Questu articulu 45 prupostu hè un attaccu à a privacy di l'utilizatori in e nazioni di l'UE. S'ellu hè aduttatu, seria un scontru massivu micca solu in a sicurità di l'internet, ma in u sistema evolutu di guvernu. Sò d'accordu cù Steve Gibson chì:

Ciò chì ùn hè micca chjaru, è ciò chì ùn aghju micca scontru in nudda parte, hè una spiegazione di l'autorità da quale l'UE imagina chì hè capace di dettà u disignu di u software di l'altra urganizazione. Perchè hè ciò chì questu vene.

A risposta à l'articulu 45 prupostu hè stata massivamente negativa. L'EFF in l'Articulu 45 Roll Back Web Security da 12 Anni scrive: "Questa hè una catastrofa per a privacy di tutti quelli chì utilizanu Internet, ma in particulare per quelli chì utilizanu Internet in l'UE".

U sforzu di eIDAS hè un focu di quattru alarmi per a cumunità di sicurità. Mozilla – u creatore di u navigatore web Firefox open source – hà publicatu una Dichjarazione Joint Industry chì si oppone. A dichjarazione hè firmata da una lista di tutte e stelle di cumpagnie di infrastrutture Internet cumprese Mozilla stessu, Cloudflare, Fastly è a Fundazione Linux.

Da a lettera aperta citata sopra:

Dopu avè lettu u testu quasi finale, simu assai preoccupati da u testu prupostu per l'Articulu 45. A pruposta attuale allarga radicalmente a capacità di i guverni à surveglià i so citadini è i residenti in tutta l'UE fornendu i mezi tecnichi per intercepte i criptati. trafficu web, è ancu minà i meccanismi di sorveglianza esistenti in cui si basanu i citadini europei.

Induve va questu? U regulamentu hè statu prupostu dapoi qualchì tempu. Una decisione finale hè stata programata per nuvembre di u 2023. A ricerca web ùn mostra micca nova infurmazione nantu à questu tema da quellu tempu.

In questi ultimi anni, a censura diretta in tutte e so forme hè aumentata. Durante a lunacy covid, u guvernu è l'industria si sò assuciati per creà un cumplessu industriale di censura per prumove in modu più efficace e false narrazioni è suppressione i dissidenti. In questi ultimi anni, i scettichi è e voci indipendenti anu ribattutu, in tribunale , è creendu piattaforme neutrali à i punti di vista .

Mentre a censura di u discorsu cuntinueghja à esse un grande periculu, i diritti di i scrittori è i ghjurnalisti sò megliu prutetti chè parechji altri diritti. In i Stati Uniti, a Prima Amenda hà una prutezzione esplicita di a parolla è a libertà di criticà u guvernu. I tribunali ponu esse di l'opinione chì qualsiasi diritti o libertà chì ùn sò micca prutetti da una lingua statutu assai specifica hè un ghjocu ghjustu. Questu pò esse u mutivu chì a resistenza hà avutu più successu in u discorsu cà altri sforzi per piantà altri abusi di putere cum'è quarantene è blocchi di pupulazione.

Piuttostu chè un nemicu ben difesu, i guverni trasladenu i so attacchi à altri strati di l'infrastruttura Internet. Questi servizii, cum'è a registrazione di u duminiu, DNS, certificati, processori di pagamentu, hosting è app stores, sò largamente custituiti da transazzioni di u mercatu privatu. Questi servizii sò assai menu prutetti da u discorsu perchè ùn ci hè, per a maiò parte, nisun dirittu per qualcunu per cumprà un serviziu specificu da un affari particulari. È i servizii più tecnichi cum'è DNS è PKI sò menu capitu da u publicu chì a publicazione web.

U sistema PKI hè particularmente vulnerabile à l'attaccu perchè travaglia da reputazione è cunsensu. Ùn ci hè micca una sola autorità chì guverna tuttu u sistema. I ghjucatori anu da guadagnà una reputazione attraversu a trasparenza, u cumplimentu è u rapportu onestu di i fallimenti. È chì face vulnerabile à stu tipu d'attaccu disruptive. Se u PKI di l'UE casca à i regulatori, spergu chì altri paesi seguitanu. Ùn hè solu PKI in risicu. Una volta pruvata chì l'altri strati di a pila ponu esse attaccati da i regulatori, seranu ancu mirati.