The Եվրոպական հանձնաժողով ԵՄ օրենսդիր մարմին է, որն ունի թվային տեխնոլոգիաների կարգավորող լիազորություն: ԵՀ-ի eIDAS-ի 45-րդ հոդվածը՝ առաջարկվող կանոնակարգը, միտումնավոր կթուլացնի ինտերնետի անվտանգության ոլորտները, որոնք արդյունաբերությունը խնամքով զարգացել և խստացրել է ավելի քան 25 տարի: Հոդվածը փաստացիորեն ԵՄ 27 կառավարություններին կտրամադրի ինտերնետի օգտագործման նկատմամբ վերահսկողության մեծ ընդլայնված լիազորություններ:
Կանոնը պահանջում է, որ բոլոր ինտերնետային բրաուզերները վստահեն ԵՄ անդամ երկրներից յուրաքանչյուրի ազգային կառավարություններից յուրաքանչյուր գործակալության (կամ կարգավորվող կազմակերպության) լրացուցիչ արմատական վկայականին: Ոչ տեխնիկական ընթերցողների համար ես կբացատրեմ, թե ինչ է արմատային սերտիֆիկատը, ինչպես է զարգացել ինտերնետ վստահությունը և ինչ է անում 45-րդ հոդվածը: Եվ հետո ես ընդգծեմ այս հարցի վերաբերյալ տեխնոլոգիական համայնքի մեկնաբանություններից մի քանիսը:
Այս հոդվածի հաջորդ բաժինը կբացատրի, թե ինչպես է աշխատում ինտերնետի վստահության ենթակառուցվածքը: Այս նախապատմությունը անհրաժեշտ է հասկանալու համար, թե որքան արմատական է առաջարկվող հոդվածը։ Բացատրությունը նախատեսված է ոչ տեխնիկական ընթերցողի համար հասանելի լինելու համար:
Քննարկվող կանոնակարգը վերաբերում է ինտերնետի անվտանգությանը: Այստեղ «ինտերնետ» նշանակում է հիմնականում կայքեր այցելող բրաուզերներ: Ինտերնետային անվտանգությունը բաղկացած է բազմաթիվ հստակ ասպեկտներից: 45-րդ հոդվածը նախատեսում է փոփոխել հանրային բանալին ենթակառուցվածք (PKI), ինտերնետ անվտանգության մի մասը 90-ականների կեսերից։ PKI-ն սկզբում ընդունվել է, այնուհետև բարելավվել է 25 տարվա ընթացքում՝ օգտվողներին և հրատարակիչներին հետևյալ երաշխիքները տալու համար.
- Բրաուզերի և կայքի միջև զրույցի գաղտնիությունըԲրաուզերները և կայքերը զրուցում են ինտերնետի միջոցով, ցանցերի ցանց, որը շահագործվում է Ինտերնետ ծառայություն մատուցողներ, եւ 1-ին մակարդակի կրիչներ, կամ բջջային կրիչներ եթե սարքը շարժական է. Ցանցն ինքնին էապես անվտանգ և վստահելի չէ: Ձեր քթի տնային ISP, ճամփորդը օդանավակայանի սրահում որտեղ դուք սպասում եք ձեր թռիչքին, կամ տվյալների վաճառողը, որը ցանկանում է վաճառել, տանում է դեպի գովազդատուներ կարող է ցանկանալ լրտեսել ձեզ: Առանց որևէ պաշտպանության, վատ դերասանը կարող է դիտել գաղտնի տվյալներ, ինչպիսիք են գաղտնաբառը, վարկային քարտի մնացորդը կամ առողջության մասին տեղեկությունները:
- Երաշխավորեք, որ դուք դիտում եք էջը ճիշտ այնպես, ինչպես կայքը այն ուղարկել է ձեզԵրբ դիտում եք վեբ էջ, կարո՞ղ էր այն կեղծվել հրատարակչի և ձեր դիտարկիչի միջև: Գրաքննիչը կարող է ցանկանալ հեռացնել բովանդակությունը, որը նա չի ցանկանում, որ դուք տեսնեք: Որպես «ապատեղեկատվություն» պիտակավորված բովանդակությունը լայնորեն ճնշվել է Covid-ի հիստերիայի ժամանակ։ Հաքերը, ով գողացել է ձեր վարկային քարտը, կարող է ցանկանալ հեռացնել իրենց կեղծ մեղադրանքների ապացույցները:
- Երաշխավորեք, որ ձեր տեսած վեբկայքը իսկապես այն է, ինչ բրաուզերի տեղադրության տողում էԵրբ դուք միանում եք բանկին, ինչպե՞ս եք իմանում, որ տեսնում եք այդ բանկի կայքը, այլ ոչ թե նույնական տեսք ունեցող կեղծ տարբերակ: Դուք ստուգում եք ձեր բրաուզերի տեղադրության սանդղակը: Հնարավո՞ր է, որ ձեր բրաուզերը խաբեությամբ ցույց տա կեղծ վեբ կայք, որը կարծես նույնական է իրականին: Ինչպե՞ս է ձեր զննարկիչը վստահաբար իմանում, որ այն միացված է ճիշտ կայքին:
Ինտերնետի սկզբնական օրերին այս երաշխիքներից ոչ մեկը գոյություն չուներ: 2010թ. բրաուզերի պլագին, որը հասանելի է հավելումների խանութում օգտատիրոջը հնարավորություն տվեց մասնակցել ուրիշի ֆեյսբուքյան խմբային զրույցին սրճարանային թեժ կետում: Այժմ – PKI-ի շնորհիվ դուք կարող եք բավականին վստահ լինել այս բաներում:
Այս անվտանգության առանձնահատկությունները պաշտպանված են համակարգով, որը հիմնված է թվային վկայագրեր. Թվային վկայականները ID-ի ձև են՝ վարորդական իրավունքի ինտերնետային տարբերակը: Երբ զննարկիչը միանում է կայքին, կայքը վկայական է ներկայացնում դիտարկիչին: Վկայագիրը պարունակում է ծածկագրային բանալի: Զննարկիչը և կայքը աշխատում են մի շարք ծածկագրային հաշվարկների հետ՝ անվտանգ հաղորդակցություն ստեղծելու համար:
Զննարկիչը և կայքը միասին ապահովում են անվտանգության երեք երաշխիքներ.
- Գաղտնիությանզրույցը կոդավորելով:
- գաղտնագրված թվային ստորագրություններ. դա ապահովել բովանդակությունը չի փոփոխվում թռիչքի ժամանակ.
- հրատարակչի ստուգումPKI-ի կողմից տրամադրված վստահության շղթայի միջոցով, որը ես ավելի մանրամասն կբացատրեմ ստորև:
Լավ ինքնությունը պետք է դժվար լինի կեղծել: Հին աշխարհում, կնիքի մոմ ձուլում ծառայել է այս նպատակին: Մարդկանց ինքնությունը հիմնված է կենսաչափական տվյալների վրա: Ձեր դեմքը ամենահին ձևերից մեկն է: Ոչ թվային աշխարհում, երբ դուք պետք է մուտք գործեք տարիքային սահմանափակված կարգավորում, օրինակ՝ ալկոհոլային խմիչք պատվիրելը, ձեզանից կպահանջվի լուսանկարով անձը հաստատող փաստաթուղթ:
Եղեք տեղեկացված Brownstone ինստիտուտի հետ
Մեկ այլ կենսաչափական նախքան թվային դարաշրջանը ձեր թարմ գրիչով և թանաքով ստորագրության համապատասխանությունն էր ձեր ID-ի հետևի կողմում գտնվող բնօրինակ ստորագրության հետ: Քանի որ կենսաչափական այս հին տեսակները դառնում են ավելի հեշտ կեղծելու համար, մարդու ինքնության ստուգումը հարմարվել է: Այժմ սովորական բան է, երբ բանկը ձեզ վավերացման կոդ է ուղարկում ձեր բջջային հեռախոսով: Հավելվածը պահանջում է, որ դուք կենսաչափական ինքնության ստուգում անցնեք ձեր բջջային հեռախոսում, որպեսզի դիտեք ծածկագիրը, օրինակ՝ դեմքի ճանաչումը կամ ձեր մատնահետքը:
Բացի կենսաչափականից, երկրորդ գործոնը, որը վստահելի է դարձնում ID-ն, թողարկողն է: Լայնորեն ընդունված անձը հաստատող փաստաթուղթը կախված է թողարկողի կարողությունից՝ ստուգելու, որ անձը հաստատող փաստաթուղթ ստանալու համար դիմողն իր ասածն է: ID-ի ավելի լայնորեն ընդունված ձևերի մեծ մասը թողարկվում են պետական կառույցների կողմից, ինչպիսիք են Ավտոմեքենաների վարչությունը: Եթե թողարկող գործակալությունը վստահելի միջոցներ ունի հետևելու, թե ովքեր և որտեղ են գտնվում իր սուբյեկտները, ինչպիսիք են հարկային վճարումները, աշխատանքային գրառումները կամ ջրամատակարարման ծառայություններից օգտվելը, ապա մեծ հավանականություն կա, որ գործակալությունը կարող է ստուգել, որ ID-ում նշված անձը այդ անձնավորությունը.
Առցանց աշխարհում կառավարությունները, մեծ մասամբ, չեն ներգրավվել ինքնության ստուգման մեջ: Վկայականները տրվում են մասնավոր հատվածի ընկերությունների կողմից, որոնք հայտնի են որպես սերտիֆիկացման մարմիններ (CA-ներ): Մինչ վկայագրերը նախկինում բավականին թանկ էին, վճարները զգալիորեն նվազել են այն աստիճանի, որ ոմանք անվճար են. Ամենահայտնի CA-ներն են Verisign, DigiCert և GoDaddy: Ռայան Հերսթը ցույց է տալիս յոթ հիմնական CA-ները (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft և IdenTrust) թողարկում են բոլոր վկայագրերի 99%-ը:
Զննարկիչը վկայականը կընդունի որպես ինքնության ապացույց միայն այն դեպքում, եթե վկայագրի անվան դաշտը համընկնի տիրույթի անվան հետ, որը զննարկիչը ցույց է տալիս տեղադրության տողում: Նույնիսկ եթե անունները համընկնում են, դա ապացուցո՞ւմ է, որ վկայագիրն ասում է.apple.comպատկանում է սպառողական էլեկտրոնիկայի բիզնեսին, որը հայտնի է որպես Apple, Inc.? Ոչ։ Ինքնության համակարգերը զրահակայուն չեն։ Անչափահաս խմողներ կարող է կեղծ ID-ներ ստանալ. Մարդկային ID-ների նման, թվային վկայականները նույնպես կարող են կեղծ լինել կամ անվավեր այլ պատճառներով: Ծրագրային ապահովման ինժեները, օգտագործելով անվճար բաց կոդով գործիքներ, կարող է ստեղծել «apple.com» անունով թվային վկայագիր Linux-ի մի քանի հրամաններ.
PKI համակարգը հենվում է CA-ների վրա՝ ցանկացած վկայագիր տրամադրելու միայն կայքի սեփականատիրոջը: Վկայական ձեռք բերելու աշխատանքային ընթացքը հետևյալն է.
- Կայքի հրատարակիչը դիմում է իրենց նախընտրած CA-ին վկայական ստանալու համար, տիրույթի համար:
- CA-ն ստուգում է, որ վկայագրի հարցումը ստացվել է այդ կայքի իրական սեփականատիրոջից: Ինչպե՞ս է CA-ն դա հաստատում: CA-ն պահանջում է, որ հարցում կատարող կազմակերպությունը հրապարակի բովանդակության որոշակի հատված կոնկրետ URL-ում: Դա անելու ունակությունը վկայում է, որ կազմակերպությունը վերահսկում է կայքը:
- Հենց որ վեբկայքն ապացուցի տիրույթի սեփականությունը, CA-ն կցում է ա գաղտնագրված թվային ստորագրություն դեպի վկայագիր՝ օգտագործելով իր անձնական գաղտնագրման բանալին: Ստորագրությունը նույնականացնում է CA-ին որպես թողարկող:
- Ստորագրված վկայականը փոխանցվում է հարցում կատարող անձին կամ կազմակերպությանը:
- Հրատարակիչը տեղադրում է իր վկայականն իր կայքում, ուստի այն կարող է ներկայացվել բրաուզերներին:
Ծպտյալ թվային ստորագրություններ դրանք «թվային հաղորդագրությունների կամ փաստաթղթերի իսկությունը ստուգելու մաթեմատիկական սխեմա են»։ Դրանք նույնը չեն, ինչ DocuSign-ի և նմանատիպ վաճառողների կողմից տրամադրված առցանց փաստաթղթերի ստորագրումը: Եթե ստորագրությունը կեղծվի, ապա վկայականները վստահելի չեն լինի։ Ժամանակի ընթացքում գաղտնագրման բանալիների չափերը մեծացել են՝ նպատակ ունենալով դժվարացնել կեղծիքը: Կրիպտոգրաֆիայի հետազոտողները կարծում են, որ ներկայիս ստորագրությունները, գործնական առումով, անհնար է կեղծել: Մեկ այլ խոցելիություն այն է, երբ CA-ն գողանում է իր գաղտնի բանալիները: Այնուհետև գողը կարող էր ներկայացնել այդ CA-ի վավեր ստորագրությունները:
Վկայագիրը տեղադրվելուց հետո այն օգտագործվում է վեբ զրույցի տեղադրման ժամանակ: The Գրանցում պարզաբանում է ինչպես է դա ընթանում.
Եթե վկայագիրը տրվել է հայտնի լավ CA-ի կողմից, և բոլոր մանրամասները ճիշտ են, ապա կայքը վստահելի է, և զննարկիչը կփորձի անվտանգ, կոդավորված կապ հաստատել կայքի հետ, որպեսզի ձեր գործունեությունը կայքի հետ տեսանելի չլինի: ցանցում գաղտնալսողին. Եթե վկայագիրը տրվել է ոչ վստահելի CA-ի կողմից, կամ վկայագիրը չի համապատասխանում վեբ կայքի հասցեին, կամ որոշ մանրամասներ սխալ են, զննարկիչը կմերժի վեբկայքը՝ մտավախություն ունենալով, որ այն չի միանում օգտատիրոջ ուզած իրական կայքին: , և գուցե խոսում է նմանակողի հետ:
Մենք կարող ենք վստահել դիտարկիչին, քանի որ զննարկիչը վստահում է կայքին: Զննարկիչը վստահում է կայքին, քանի որ վկայագիրը տրվել է «հայտնի լավ» CA-ի կողմից: Բայց ի՞նչ է «հայտնի լավ CA»: Բրաուզերների մեծ մասը հիմնվում է օպերացիոն համակարգի կողմից տրամադրված CA-ների վրա: Վստահելի CA-ների ցանկը որոշվում է սարքերի և ծրագրային ապահովման վաճառողների կողմից: Համակարգիչների և սարքերի հիմնական վաճառողները՝ Microsoft-ը, Apple-ը, Android հեռախոսների արտադրողները և բաց կոդով Linux-ի դիստրիբյուտորները, նախապես ներբեռնում են օպերացիոն համակարգը իրենց սարքերում արմատական վկայագրերի հավաքածուով:
Այս վկայագրերը նույնականացնում են CA-ները, որոնք նրանք ստուգել են և վստահելի են համարում: Արմատային վկայագրերի այս հավաքածուն կոչվում է «վստահության խանութ»: Որպես օրինակ վերցնել ինձ մոտ, Windows PC-ը, որը ես օգտագործում եմ այս կտորը գրելու համար, ունի 70 արմատային վկայական իր Trusted Root Certificate Store-ում: Apple-ի աջակցության կայքը թվարկում է MacOS-ի Sierra տարբերակի կողմից վստահված բոլոր արմատները.
Ինչպե՞ս են համակարգիչների և հեռախոսների վաճառողները որոշում, թե որ CA-ներն են վստահելի: Նրանք ունեն աուդիտի և համապատասխանության ծրագրեր՝ ԳՀ-ների որակը գնահատելու համար: Ընդգրկված են միայն անցածները։ Տես օրինակ՝ Chrome զննարկիչը (որն ապահովում է իր սեփական վստահության խանութը, քան սարքում եղածը օգտագործելու փոխարեն): EFF (որն իրեն բնութագրում է որպես «թվային աշխարհում քաղաքացիական ազատությունները պաշտպանող առաջատար շահույթ չհետապնդող կազմակերպություն»:) պարզաբանում է:
Բրաուզերները գործում են «արմատային ծրագրեր»՝ վերահսկելու իրենց վստահված CA-ների անվտանգությունն ու վստահելիությունը: Այդ արմատական ծրագրերը պահանջում են մի շարք պահանջներ, որոնք տատանվում են՝ սկսած «ինչպես պետք է ապահովվի հիմնական նյութը», մինչև «ինչպես պետք է իրականացվի դոմենի անվան հսկողության վավերացումը», մինչև «ինչ ալգորիթմներ պետք է օգտագործվեն վկայագրի ստորագրման համար»:
Վաճառողի կողմից CA-ն ընդունելուց հետո վաճառողը շարունակում է վերահսկել այն: Վաճառողները կհեռացնեն CA-ները վստահության խանութից, եթե CA-ն չկարողանա պահպանել անհրաժեշտ անվտանգության չափանիշները: Վկայագրման մարմինները կարող են, և անում են, խաբել կամ ձախողվել այլ պատճառներով: The Գրանցում Ռեպորտաժ:
Հավաստագրերը և դրանք թողարկող CA-ները միշտ չէ, որ վստահելի են, և բրաուզեր արտադրողները տարիների ընթացքում հեռացրել են CA արմատային վկայագրերը Թուրքիայում, Ֆրանսիայում, Չինաստանում, Ղազախստանում և այլուր, երբ պարզվել է, որ թողարկող կազմակերպությունը կամ հարակից կողմը գաղտնալսում է համացանցը: երթեւեկությունը.
2022 թվականին հետազոտող Յան Քերոլը հայտնել է Անվտանգության մտահոգություններ e-Tugra սերտիֆիկատի մարմնի հետ. Քերոլը «հայտնաբերեց մի շարք տագնապալի խնդիրներ, որոնք ինձ անհանգստացնում են իրենց ընկերության ներսում անվտանգության պրակտիկայի վերաբերյալ», ինչպիսիք են թույլ հավատարմագրերը: Քերոլի հաշվետվությունները ստուգվել են ծրագրային ապահովման խոշոր վաճառողների կողմից: Արդյունքում e-Tugra-ն եղել է հեռացվել են իրենց վստահելի վկայագրերի խանութներից.
The Վկայագրման մարմնի ձախողումների ժամանակացույցը պատմում է նման այլ դեպքերի մասին։
Դեռևս կան որոշ հայտնի անցքեր PKI-ում, քանի որ այն ներկայումս գոյություն ունի: Քանի որ մեկ կոնկրետ խնդիր կարևոր է eIDAS-ի 45-րդ հոդվածը հասկանալու համար, ես դա կբացատրեմ հաջորդիվ: CA-ի վստահությունը չի վերաբերում այն կայքերին, որոնք իրենց բիզնեսն են վարում այդ CA-ի հետ: Բրաուզերը ցանկացած վեբկայքի համար կընդունի հավաստագիր ցանկացած վստահելի CA-ից: Ոչինչ չի խանգարում CA-ին վատ դերասանի համար վեբկայք տրամադրել, որը չի պահանջվել կայքի սեփականատիրոջ կողմից: Նման վկայականը իրավական իմաստով կեղծ կլինի այն պատճառով, թե ում է տրվել: Բայց սերտիֆիկատի բովանդակությունը տեխնիկապես վավեր կլինի դիտարկիչի տեսանկյունից:
Եթե յուրաքանչյուր վեբկայք կապակցելու միջոց կար իր նախընտրած CA-ի հետ, ապա այդ կայքի ցանկացած վկայագիր ցանկացած այլ CA-ից անմիջապես կճանաչվեր որպես խարդախ: Վկայագրի ամրացում ևս մեկ չափանիշ է, որը քայլ է անում այս ուղղությամբ: Բայց ինչպե՞ս կհրատարակվեր այդ ասոցիացիան և ինչպե՞ս կվստահվեր այդ հրատարակչին։
Այս գործընթացի յուրաքանչյուր շերտում տեխնիկական լուծումը հիմնված է վստահության արտաքին աղբյուրի վրա: Բայց ինչպե՞ս է հաստատվում այդ վստահությունը։ Հաջորդ ավելի բարձր հարթության վրա էլ ավելի վստահելի աղբյուրի վրա հենվելով: Այս հարցը ցույց է տալիս «կրիաներ, մինչև վերջԽնդրի բնույթը. PKI-ն ունի կրիա ներքևում՝ անվտանգության ոլորտի և նրա հաճախորդների հեղինակությունը, տեսանելիությունը և թափանցիկությունը: Վստահությունը կառուցվում է այս մակարդակում մշտական մոնիտորինգի, բաց ստանդարտների, ծրագրակազմ մշակողների և CA-ների միջոցով:
Տրվել են կեղծ վկայականներ. 2013 թվականին ArsTechnica-ն հայտնել է Ֆրանսիական գործակալությունը բռնել է SSL վկայականներ՝ Google-ի նմանակում:
2011 թվականին…անվտանգության հետազոտողներ հայտնաբերեց կեղծ վկայական Google.com-ի համար որը հարձակվողներին հնարավորություն է տվել անձնավորել կայքի փոստային ծառայությունը և այլ առաջարկներ: Կեղծ վկայականը թողարկվել է այն բանից հետո, երբ հարձակվողները խոցել են Նիդեռլանդներում գործող DigiNotar-ի անվտանգությունը և վերահսկողություն հաստատել նրա վկայականներ տրամադրող համակարգերի վրա:
Անվտանգ վարդակների շերտի (SSL) հավատարմագրերը թվային ստորագրված են վավեր վկայականի մարմնի կողմից… Փաստորեն, վկայագրերը չարտոնված կրկնօրինակներ են, որոնք տրվել են դիտարկիչի արտադրողների և սերտիֆիկատի մարմնի ծառայությունների կողմից սահմանված կանոնների խախտմամբ:
Հնարավոր է կեղծ վկայականի տրամադրում: Խարդախ CA-ն կարող է թողարկել այն, բայց նրանք հեռու չեն գնա: Վատ վկայականը կհայտնաբերվի: Վատ CA-ն կխափանի համապատասխանության ծրագրերը և կհեռացվի վստահության խանութներից: Առանց ընդունման, CA-ն կդադարի գործել: Վկայականի թափանցիկություն, ավելի նոր ստանդարտ, թույլ է տալիս ավելի արագ հայտնաբերել կեղծ վկայականները:
Ինչու՞ CA-ն սրիկա կդառնա: Ի՞նչ առավելություն կարող է ստանալ վատ մարդը չարտոնված վկայականից: Միայն վկայականով, ոչ շատ, նույնիսկ երբ ստորագրված է վստահելի CA-ի կողմից: Բայց եթե վատ տղան կարող է միավորվել ISP-ի հետ կամ այլ կերպ մուտք գործել այն ցանցը, որն օգտագործում է դիտարկիչը, վկայագիրը վատ դերակատարին հնարավորություն է տալիս կոտրել PKI-ի անվտանգության բոլոր երաշխիքները:
Հաքերը կարող էր տեղադրել ա մարդ-միջին հարձակում (MITM) զրույցի վրա։ Հարձակվողը կարող էր մտցնել բրաուզերի և իրական կայքի միջև: Այս սցենարում օգտատերը ուղղակիորեն կխոսի հարձակվողի հետ, իսկ հարձակվողը բովանդակությունը հետ ու առաջ կփոխանցի իրական կայքի հետ: Հարձակվողը զննարկիչին կներկայացնի կեղծ վկայականը: Քանի որ այն ստորագրված էր վստահելի CA-ի կողմից, զննարկիչը կընդուներ այն: Հարձակվողը կարող էր դիտել և նույնիսկ փոփոխել այն, ինչ ուղարկվել է կողմերից մեկին, նախքան մյուս կողմից այն ստանալը:
Այժմ մենք հասնում ենք ԵՄ չարաբաստիկ eIDAS-ին՝ 45-րդ հոդվածին: Այս առաջարկվող կանոնակարգը պահանջում է, որ բոլոր բրաուզերները վստահեն ԵՄ-ի կողմից նշանակված CA-ների վկայագրերի զամբյուղին: Ավելի ստույգ քսանյոթ. մեկական անդամ յուրաքանչյուր ազգի համար: Այս վկայականները պետք է կոչվեն Որակավորված վեբ կայքի նույնականացման վկայագրեր. «QWAC» հապավումն ունի դժբախտ հոմոֆոն քվարկեր – կամ գուցե ԵՀ-ն է մեզ տրոլինգ անում:
QWAC-ները կթողարկվեն կա՛մ պետական գործակալությունների կողմից, կա՛մ ինչպես է կոչում Մայքլ Ռեկտենվալդը կառավարական մարմիններ«Կորպորացիաները և ընկերությունները և պետության այլ կցորդները, որոնք այլ կերպ կոչվում են «մասնավոր», բայց իրականում գործում են որպես պետական ապարատներ, քանի որ նրանք պարտադրում են պետական պատմվածքները և թելադրանքները»:
Այս սխեման ԵՄ անդամ երկրների կառավարություններին մեկ քայլ ավելի կմոտեցնի այն կետին, որտեղ նրանք կարող են միջանկյալ հարձակվել սեփական քաղաքացիների վրա: Նրանք նաև պետք է մուտք գործեն ցանցեր: Կառավարությունները կարող են դա անել: Եթե ISP-ն ղեկավարվի որպես պետական ձեռնարկություն, ապա նրանք արդեն կունենային այն: Եթե ISP-ները մասնավոր ընկերություններ են, ապա տեղական իշխանությունները կարող է օգտագործել ոստիկանության լիազորությունները՝ մուտք ստանալու համար:
Մի կետ, որը չի ընդգծվել հանրային զրույցի ժամանակ, այն է, որ ԵՄ անդամ 27 երկրներից որևէ մեկում զննարկիչը պետք է ընդունի յուրաքանչյուր QWAC-ը, յուրաքանչյուրից մեկը: ԵՄ անդամ. Սա նշանակում է, որ զննարկիչը, օրինակ, Իսպանիայում, պետք է վստահի Խորվաթիայի, Ֆինլանդիայի և Ավստրիայի կազմակերպությունների QWAC-ին: Ավստրիական կայք այցելող իսպանացի օգտատերը պետք է անցնի ինտերնետի ավստրիական մասերով: Վերը բարձրացված խնդիրները բոլորը կիրառելի են ԵՄ-ի բոլոր երկրներում:
Գրանցամատյանը՝ վերնագրված հոդվածում Վատ eIDAS. Եվրոպան պատրաստ է գաղտնալսելու և լրտեսելու ձեր գաղտնագրված HTTPS կապերը բացատրում է մի եղանակ, որը կարող է աշխատել.
[T]Այդ կառավարությունը կարող է իր բարեկամ CA-ից խնդրել [QWAC] վկայագրի պատճենը, որպեսզի կառավարությունը կարողանա անձնավորել վեբկայքը, կամ խնդրել այլ վկայագրերի բրաուզերները, որոնք կվստահեն և կընդունեն կայքը: Այսպիսով, օգտագործելով մարդ-միջին հարձակումը, այդ կառավարությունը կարող է գաղտնալսել և վերծանել գաղտնագրված HTTPS տրաֆիկը կայքի և նրա օգտատերերի միջև՝ թույլ տալով ռեժիմին ցանկացած պահի վերահսկել, թե մարդիկ ինչ են անում այդ կայքի հետ:
Ներթափանցելով գաղտնագրման վահանը՝ մոնիտորինգը կարող է ներառել օգտատերերի գաղտնաբառերի պահպանումը, այնուհետև դրանք այլ ժամանակ օգտագործել՝ քաղաքացիների էլփոստի հաշիվներին մուտք գործելու համար: Ի լրումն մոնիտորինգի, կառավարությունները կարող են փոփոխել բովանդակությունը ներդիրում: Օրինակ, նրանք կարող են հեռացնել այն պատմությունները, որոնք ցանկանում են գրաքննել: Նրանք կարող են կցել annoying դայակ պետական փաստերի ստուգումներ և բովանդակության նախազգուշացումներ հակասական կարծիքներին:
Ինչպես ներկայումս առկա է, CA-ները պետք է պահպանեն զննարկիչների համայնքի վստահությունը: Բրաուզերները ներկայումս զգուշացնում են օգտվողին, եթե կայքը ներկայացնում է ժամկետանց կամ այլ կերպ անվստահելի վկայական: 45-րդ հոդվածի համաձայն՝ նախազգուշացումները կամ վստահությունը չարաշահողների վտարումը արգելվելու է։ Բրաուզերները ոչ միայն պարտավոր են վստահել QWAC-ներին, այլև 45-րդ հոդվածն արգելում է բրաուզերներին նախազգուշացնել QWAC-ի կողմից ստորագրված վկայագրի վերաբերյալ:
Վերջին հնարավորությունը eIDAS-ի համար (Mozilla-ի տարբերանշանը ցուցադրող կայք) պաշտպանում է 45-րդ հոդվածը.
ԵՄ անդամ ցանկացած երկիր հնարավորություն ունի գաղտնագրային բանալիներ նշանակել վեբ բրաուզերներում բաշխման համար, և բրաուզերներին արգելվում է չեղարկել վստահությունը այդ բանալիների նկատմամբ առանց կառավարության թույլտվության:
…Չկա անկախ ստուգում կամ հավասարակշռություն անդամ պետությունների կողմից ընդունված որոշումների վերաբերյալ՝ կապված նրանց կողմից լիազորված բանալիների և դրանց կիրառման հետ: Սա հատկապես մտահոգիչ է, եթե հաշվի առնենք, որ հավատարիմ մնալով օրենքի գերակայությանը միատարր չի եղել բոլոր անդամ երկրներում՝ փաստագրված դեպքերով հարկադրանքը գաղտնի ոստիկանության կողմից քաղաքական նպատակներով։
Հոդված 45-ը նաև արգելում է ԵՄ վեբ վկայագրերի անվտանգության ստուգումները, եթե գաղտնագրված վեբ տրաֆիկի միացումներ հաստատելիս ուղղակիորեն թույլատրված չէ կանոնակարգով: Անվտանգության նվազագույն միջոցների մի շարք սահմանելու փոխարեն, որոնք պետք է կիրառվեն որպես ելակետ, այն փաստացիորեն սահմանում է անվտանգության միջոցների վերին սահմանը, որը չի կարող բարելավվել առանց ETSI-ի թույլտվության: Սա հակասում է լավ հաստատված համաշխարհային նորմերին, որտեղ կիբերանվտանգության նոր տեխնոլոգիաները մշակվում և տեղակայվում են՝ ի պատասխան տեխնոլոգիայի արագընթաց զարգացումների:
Մեզանից շատերն ապավինում են մեր վաճառողներին՝ վստահելի CA-ների ցանկը մշակելու համար: Այնուամենայնիվ, որպես օգտատեր, դուք կարող եք ավելացնել կամ հեռացնել վկայագրեր, ինչպես ցանկանում եք, ձեր սեփական սարքերում: Microsoft Windows-ն ունի ա գործիք դա անելու համար. Linux-ում արմատային վկայականները ֆայլեր են, որոնք տեղակայված են մեկ գրացուցակում: CA-ն կարող է անվստահելի լինել՝ պարզապես ֆայլը ջնջելով: Սա էլ է՞ արգելվելու։ Սթիվ Գիբսոնը, նշել է անվտանգության փորձագետ, թղթակից, և հյուրընկալող երկարաժամկետ «Security Now» փոդքաստ հարցնում է:
Բայց ԵՄ-ն հայտարարում է, որ բրաուզերներից կպահանջվի հարգել այս նոր, չապացուցված և չստուգված հավաստագրերի մարմինները և, հետևաբար, նրանց կողմից տրված ցանկացած վկայական՝ առանց բացառության և առանց դիմելու: Արդյո՞ք դա նշանակում է, որ Firefox-ի իմ օրինակը իրավաբանորեն պարտավորված կլինի հրաժարվել այդ վկայագրերը հեռացնելու իմ փորձից:
Գիբսոնը նշում է, որ որոշ կորպորացիաներ նմանատիպ հսկողություն են իրականացնում իրենց աշխատակիցների նկատմամբ սեփական մասնավոր ցանցում: Անկախ նրանից, թե ինչ կարծիք ունեք այդ աշխատանքային պայմանների մասին, որոշ ոլորտներ ունեն աուդիտի և համապատասխանության օրինական պատճառներ՝ հետևելու և գրանցելու, թե ինչ են անում իրենց աշխատակիցները ընկերության ռեսուրսներով: Սակայն, ինչպես Գիբսոնը շարունակում,
Խնդիրն այն է, որ ԵՄ-ն և նրա անդամ երկրները խիստ տարբերվում են մասնավոր կազմակերպության աշխատակիցներից։ Ամեն անգամ, երբ աշխատողը չի ցանկանում, որ իրեն լրտեսեն, նա կարող է օգտագործել իր սեփական սմարթֆոնը՝ իրենց գործատուի ցանցը շրջանցելու համար: Եվ, իհարկե, գործատուի մասնավոր ցանցը հենց դա է՝ մասնավոր ցանց: ԵՄ-ն ցանկանում է դա անել ողջ հանրային ինտերնետի համար, որից փախուստ չի լինի։
Այժմ մենք հաստատել ենք այս առաջարկի արմատական բնույթը։ Ժամանակն է հարցնել՝ ի՞նչ պատճառներ է առաջարկում ԸՕ-ն այս փոփոխությունը դրդելու համար։ ԵՀ-ն ասում է, որ PKI-ի ներքո ինքնության ստուգումը համարժեք չէ: Եվ որ այդ փոփոխություններն անհրաժեշտ են այն բարելավելու համար:
Ճշմարտություն կա՞ ԵՀ-ի պնդումների մեջ։ Ընթացիկ PKI-ն շատ դեպքերում պահանջում է միայն կայքի վերահսկողությունն ապացուցելու հարցում: Թեև դա ինչ-որ բան է, այն չի երաշխավորում, օրինակ, որ «apple.com» վեբ գույքը պատկանում է սպառողական էլեկտրոնիկայի ընկերությանը, որը հայտնի է որպես Apple Inc, որի գլխավոր գրասենյակը գտնվում է Կուպերտինոյում, Կալիֆորնիա: Վնասակար օգտատերը կարող է վավեր վկայագիր ստանալ հայտնի բիզնեսի անվանը նման տիրույթի անվան համար: Վավեր վկայականը կարող է օգտագործվել հարձակման ժամանակ, որը հիմնված է այն բանի վրա, որ որոշ օգտատերեր բավականաչափ չեն նայում՝ նկատելու, որ անունը այնքան էլ չի համընկնում: Սա պատահեց վճարային պրոցեսոր Stripe.
Հրատարակիչների համար, ովքեր ցանկանում են աշխարհին ապացուցել, որ իրենք իսկապես նույն կորպորատիվ կազմակերպությունն են, որոշ CA-ներ առաջարկել են. Ընդլայնված վավերացման (EV) վկայագրեր. «Ընդլայնված» մասը բաղկացած է լրացուցիչ վավերացումներից բուն բիզնեսի դեմ, ինչպիսիք են բիզնեսի հասցեն, աշխատանքային հեռախոսահամարը, բիզնեսի լիցենզիան կամ միավորումը և շարունակական գործունեությանը բնորոշ այլ հատկանիշներ: EV-ները նշված են ավելի բարձր գնով, քանի որ նրանք պահանջում են ավելի շատ աշխատանք CA-ի կողմից:
Բրաուզերներն օգտագործվում էին EV-ի համար ընդգծված տեսողական արձագանքներ ցուցադրելու համար, օրինակ՝ տարբեր գույնի կամ ավելի ամուր կողպեքի պատկերակ: Վերջին տարիներին Էլեկտրոնային մեքենաներն առանձնապես հայտնի չեն շուկայում: Նրանք հիմնականում մահացել են։ Շատ բրաուզերներ այլևս չեն ցուցադրում դիֆերենցիալ արձագանքը:
Չնայած դեռևս առկա թուլություններին, PKI-ն զգալիորեն բարելավվել է ժամանակի ընթացքում: Քանի որ թերությունները հասկացվել են, դրանք լուծվել են: Կրիպտոգրաֆիկ ալգորիթմներն ուժեղացվել են, կառավարումը բարելավվել է, խոցելի տեղերն արգելափակվել են։ Արդյունաբերության խաղացողների կոնսենսուսով կառավարումը բավականին լավ է աշխատել: Համակարգը կշարունակի զարգանալ ինչպես տեխնոլոգիական, այնպես էլ ինստիտուցիոնալ առումով: Բացի կարգավորիչների միջամտությունից, այլ բան ակնկալելու պատճառ չկա:
EV-ների անփայլ պատմությունից մենք սովորել ենք, որ շուկան այնքան էլ չի հետաքրքրվում կորպորատիվ ինքնության ստուգմամբ: Այնուամենայնիվ, եթե ինտերնետի օգտատերերը ցանկանային դա, չէր պահանջի կոտրել գոյություն ունեցող PKI-ն՝ այն նրանց տրամադրելու համար: Որոշ փոքր փոփոխություններ գոյություն ունեցող աշխատանքային հոսքերում բավական կլինեն: Որոշ մեկնաբաններ առաջարկել են փոփոխել TLS ձեռքսեղմում; կայքը կներկայացնի մեկ լրացուցիչ վկայական: Առաջնային վկայականը կաշխատի այնպես, ինչպես հիմա: Երկրորդական վկայականը, որը ստորագրված է QWAC-ի կողմից, կիրականացնի ինքնության լրացուցիչ չափանիշներ, որոնք ԵՀ-ն ասում է, որ ցանկանում է:
EC-ի ենթադրյալ պատճառները eIDAS-ի համար պարզապես արժանահավատ չեն: Բերված պատճառները ոչ միայն անհավանական են, այլև ԵՀ-ն նույնիսկ չի անհանգստանում սովորական ողբալով այն մասին, թե ինչպես մենք պետք է զոհաբերենք կարևոր ազատությունները հանուն անվտանգության, քանի որ մենք կանգնած ենք մարդկանց թրաֆիքինգի, երեխաների անվտանգության, փողերի լվացման լուրջ սպառնալիքի հետ: , հարկերից խուսափելու կամ (իմ անձնական սիրելի) կլիմայի փոփոխությունը. Չի կարելի հերքել, որ ԵՄ-ն մեզ գազով է գցում.
Եթե ԵՀ-ն ազնիվ չէ նրանց իրական դրդապատճառների վերաբերյալ, ապա ինչի՞ց են նրանք հետապնդում: Գիբսոնը տեսնում է չար մտադրություն:
Եվ կա միայն մեկ հնարավոր պատճառ, որով նրանք ցանկանում են [պարտադրել բրաուզերներին վստահել QWAC-ներին], այն է՝ թույլատրել վեբ վեբ տրաֆիկի գաղտնալսումը թռիչքի ժամանակ, ճիշտ այնպես, ինչպես դա տեղի է ունենում կորպորացիաների ներսում: Եվ դա ընդունված է:
(Այն, ինչ Գիբսոնը նկատի ունի «վեբ տրաֆիկի գաղտնալսում» ասելով, վերը նկարագրված MITM-ի հարձակումն է:) Մեկ այլ մեկնաբանություն ընդգծում է ազատ խոսքի և քաղաքական բողոքի չարաբաստիկ հետևանքները: Հերստ երկարատև շարադրության մեջ ներկայացնում է սայթաքուն փաստարկ.
Երբ լիբերալ դեմոկրատիան այս կարգի հսկողություն է սահմանում համացանցում տեխնոլոգիաների նկատմամբ, չնայած դրա հետևանքներին, դա հիմք է ստեղծում ավելի ավտորիտար կառավարությունների համար՝ անպատիժ հետևելու օրինակին:
Mozilla մեջբերված է techdirt-ում (բնօրինակին հղում չկա) քիչ թե շատ նույնն է ասում.
Բրաուզերներին ինքնաբերաբար վստահելու կառավարության կողմից աջակցվող հավաստագրերի մարմիններին պարտադրելը ավտորիտար ռեժիմների կողմից օգտագործվող հիմնական մարտավարությունն է, և այդ դերակատարները կխթանեն ԵՄ գործողությունների օրինականացնող ազդեցությունը…
Գիբսոնը նման բան է անում դիտարկումը:
Եվ հետո կա շատ իրական ուրվականը, թե ինչ այլ դռներ է սա բացում. Եթե ԵՄ-ն ցույց տա մնացած աշխարհին, որ կարող է հաջողությամբ թելադրել վստահության պայմանները իր քաղաքացիների կողմից օգտագործվող անկախ վեբ բրաուզերների համար, ինչ կհետևեն մյուս երկրները նմանատիպ օրենքներով: ? Այժմ բոլորը պարզապես պետք է պահանջեն, որ իրենց երկրի վկայականները ավելացվեն: Սա մեզ տանում է ճիշտ սխալ ուղղությամբ:
Այս առաջարկվող 45-րդ հոդվածը հարձակում է ԵՄ երկրներում օգտատերերի գաղտնիության վրա: Եթե այն ընդունվի, դա հսկայական հետընթաց կլինի ոչ միայն ինտերնետի անվտանգության, այլև զարգացած կառավարման համակարգում: Ես համաձայն եմ Սթիվ Գիբսոնի հետ, որ.
Այն, ինչ լիովին անհասկանալի է, և ինչ ես ոչ մի տեղ չեմ հանդիպել, այն իրավասության բացատրությունն է, որով ԵՄ-ն պատկերացնում է, որ ի վիճակի է թելադրել այլ կազմակերպության ծրագրային ապահովման ձևավորումը: Որովհետև դա հենց դրան է հանգում:
Առաջարկվող 45-րդ հոդվածին արձագանքը զանգվածաբար բացասական է եղել: EFF-ը ներս Հոդված 45-ը կվերացնի վեբ անվտանգությունը 12 տարով գրում է. «Սա աղետ է բոլորի գաղտնիության համար, ովքեր օգտվում են ինտերնետից, բայց հատկապես նրանց համար, ովքեր ինտերնետից օգտվող են ԵՄ-ում»:
eIDAS-ի ջանքերը չորս ազդանշանային հրդեհ են անվտանգության համայնքի համար: Mozilla-ն՝ բաց կոդով Firefox վեբ բրաուզերի արտադրողը, հրապարակել է Արդյունաբերության համատեղ հայտարարություն հակադրվելով դրան։ Հայտարարությունը ստորագրված է ինտերնետային ենթակառուցվածքային ընկերությունների բոլոր աստղերի ցուցակի կողմից, ներառյալ հենց Mozilla-ն, Cloudflare-ը, Fastly-ն և Linux Foundation-ը:
-ից բաց նամակ վերը նշված:
Վերջնական տեքստը կարդալուց հետո մենք խորապես մտահոգված ենք 45-րդ հոդվածի առաջարկվող տեքստով: Ներկայիս առաջարկը արմատապես ընդլայնում է կառավարությունների կարողությունը՝ հսկելու և՛ իրենց քաղաքացիներին, և՛ բնակիչներին ԵՄ ողջ տարածքում՝ տրամադրելով նրանց գաղտնագրված գաղտնալսման տեխնիկական միջոցներ: վեբ-թրաֆիկը, ինչպես նաև խաթարում է առկա վերահսկողության մեխանիզմները, որոնց վրա հենվում են եվրոպացի քաղաքացիները:
Ո՞ւր է գնում սա: Կանոնակարգն առաջարկվել է որոշ ժամանակով։ Վերջնական որոշումը նախատեսված էր 2023 թվականի նոյեմբեր ամսին: Վեբ որոնումները ցույց չեն տալիս այս թեմայի վերաբերյալ նոր տեղեկություններ այդ ժամանակվանից:
Վերջին մի քանի տարիների ընթացքում բացահայտ գրաքննությունն իր բոլոր ձևերով աճել է: Covid-ի խելագարության ժամանակ կառավարությունն ու արդյունաբերությունը համագործակցեցին՝ ստեղծելու ա գրաքննություն-արդյունաբերական համալիր ավելի արդյունավետ կերպով խթանել կեղծ պատմությունները և ճնշել այլախոհներին: Այս վերջին մի քանի տարիների ընթացքում թերահավատներն ու անկախ ձայները հակադարձել են, դատարաններում, և ստեղծելով տեսակետ-չեզոք ծրագրերը.
Թեև խոսքի գրաքննությունը շարունակում է մնալ մեծ վտանգ, գրողների և լրագրողների իրավունքները ավելի լավ պաշտպանված են, քան շատ այլ իրավունքներ: ԱՄՆ-ում, որ Առաջին փոփոխություն ունի խոսքի բացահայտ պաշտպանություն և իշխանությունը քննադատելու ազատություն: Դատարանները կարող են այն կարծիքին լինել, որ ցանկացած իրավունք կամ ազատություն, որը պաշտպանված չէ խիստ հատուկ կանոնադրական լեզվով, արդար խաղ է: Սա կարող է լինել պատճառը, որ դիմադրությունն ավելի շատ հաջողություն է ունեցել խոսքում, քան իշխանության այլ չարաշահումները կասեցնելու այլ ջանքեր, ինչպիսիք են կարանտիններ և բնակչության արգելափակումները:
Լավ պաշտպանված թշնամու փոխարեն կառավարություններն իրենց հարձակումները տեղափոխում են ինտերնետ ենթակառուցվածքի այլ շերտեր: Այս ծառայությունները, ինչպիսիք են տիրույթի գրանցումը, DNS-ը, վկայագրերը, վճարային պրոցեսորները, հոսթինգը և հավելվածների խանութները, հիմնականում բաղկացած են մասնավոր շուկայական գործարքներից: Այս ծառայությունները շատ ավելի քիչ լավ պաշտպանված են, քան խոսքը, քանի որ, մեծ մասամբ, որևէ մեկի իրավունքը չկա գնել կոնկրետ ծառայություն որոշակի բիզնեսից: Իսկ ավելի շատ տեխնիկական ծառայությունները, ինչպիսիք են DNS-ը և PKI-ն, հանրության կողմից ավելի քիչ են հասկանում, քան վեբ հրապարակումը:
PKI համակարգը հատկապես խոցելի է հարձակման համար, քանի որ այն աշխատում է համբավով և կոնսենսուսով: Չկա մեկ իշխանություն, որը ղեկավարում է ամբողջ համակարգը: Խաղացողները պետք է հեղինակություն ձեռք բերեն թափանցիկության, համապատասխանության և ձախողումների մասին ազնիվ զեկուցման միջոցով: Եվ դա դարձնում է այն խոցելի այս տեսակի խանգարող հարձակման համար: Եթե ԵՄ PKI-ն ընկնի կարգավորիչների ձեռքը, ես ակնկալում եմ, որ մյուս երկրները կհետևեն դրան: PKI-ն ոչ միայն վտանգի տակ է: Երբ ապացուցվի, որ ստեկի մյուս շերտերը կարող են հարձակվել կարգավորիչների կողմից, դրանք նույնպես թիրախ կդառնան:
Հրատարակված է Ա Creative Commons Attribution 4.0 միջազգային լիցենզիա
Վերատպումների համար խնդրում ենք կանոնական հղումը վերադարձնել բնօրինակին Բրաունսթոունի ինստիտուտ Հոդված և հեղինակ.