Η Ευρωπαϊκή Επιτροπή είναι νομοθετικό όργανο της ΕΕ με ρυθμιστική αρμοδιότητα σε θέματα ψηφιακής τεχνολογίας. Το άρθρο 45 του eIDAS της ΕΚ, ένας προτεινόμενος κανονισμός, θα αποδυναμώσει σκόπιμα τομείς της ασφάλειας του διαδικτύου που ο κλάδος έχει προσεκτικά εξελίξει και σκληρύνει για πάνω από 25 χρόνια. Το άρθρο θα παραχωρούσε ουσιαστικά στις 27 κυβερνήσεις της ΕΕ εξαιρετικά διευρυμένες εξουσίες παρακολούθησης της χρήσης του διαδικτύου.
Ο κανόνας θα απαιτούσε από όλα τα προγράμματα περιήγησης στο διαδίκτυο να εμπιστεύονται ένα πρόσθετο πιστοποιητικό ρίζας από έναν οργανισμό (ή μια εποπτευόμενη οντότητα) από κάθε εθνική κυβέρνηση κάθε κράτους μέλους της ΕΕ. Για τους μη τεχνικούς αναγνώστες, θα εξηγήσω τι είναι ένα πιστοποιητικό ρίζας, πώς έχει εξελιχθεί η εμπιστοσύνη στο διαδίκτυο και τι κάνει το άρθρο 45 σε αυτό. Και στη συνέχεια θα επισημάνω ορισμένα από τα σχόλια της τεχνολογικής κοινότητας σχετικά με το θέμα αυτό.
Στην επόμενη ενότητα αυτού του άρθρου θα εξηγήσω πώς λειτουργεί η υποδομή εμπιστοσύνης του διαδικτύου. Αυτό το υπόβαθρο είναι απαραίτητο για να κατανοήσουμε πόσο ριζοσπαστικό είναι το προτεινόμενο άρθρο. Η εξήγηση προορίζεται να είναι προσιτή σε έναν μη τεχνικό αναγνώστη.
Ο εν λόγω κανονισμός αφορά την ασφάλεια του διαδικτύου. Εδώ, με τον όρο “διαδίκτυο” εννοούνται, σε μεγάλο βαθμό, οι φυλλομετρητές που επισκέπτονται ιστότοπους. Η ασφάλεια του Διαδικτύου αποτελείται από πολλές διαφορετικές πτυχές. Το άρθρο 45 σκοπεύει να τροποποιήσει την υποδομή δημόσιου κλειδιού (PKI), που αποτελεί μέρος της ασφάλειας του διαδικτύου από τα μέσα της δεκαετίας του ’90. Η PKI έχει αρχικά υιοθετηθεί και στη συνέχεια βελτιωθεί σε μια περίοδο 25 ετών, ώστε να παρέχει στους χρήστες και τους εκδότες τις ακόλουθες εγγυήσεις:
Απόρρητο της συνομιλίας μεταξύ του προγράμματος περιήγησης και του δικτυακού τόπου: Οι φυλλομετρητές και οι ιστότοποι συνομιλούν μέσω του διαδικτύου, ενός δικτύου δικτύων που διαχειρίζονται οι πάροχοι υπηρεσιών διαδικτύου και οι μεταφορείς της κατηγορίας 1, ή οι μεταφορείς κινητής τηλεφωνίας εάν η συσκευή είναι κινητή. Το ίδιο το δίκτυο δεν είναι εγγενώς ασφαλές ούτε αξιόπιστο. Ο αδιάκριτος πάροχος υπηρεσιών διαδικτύου του σπιτιού σας, ένας ταξιδιώτης στην αίθουσα αναμονής του αεροδρομίου όπου περιμένετε την πτήση σας ή ένας πωλητής δεδομένων που θέλει να πουλήσει στοιχεία σε διαφημιστές μπορεί να θέλει να σας κατασκοπεύσει. Χωρίς καμία προστασία, ένας κακός δράστης θα μπορούσε να δει εμπιστευτικά δεδομένα, όπως έναν κωδικό πρόσβασης, το υπόλοιπο της πιστωτικής κάρτας ή πληροφορίες για την υγεία.
Εγγυηθείτε ότι βλέπετε τη σελίδα ακριβώς με τον τρόπο που σας την έστειλε ο ιστότοπος: Όταν βλέπετε μια ιστοσελίδα, θα μπορούσε να έχει αλλοιωθεί μεταξύ του εκδότη και του προγράμματος περιήγησής σας; Ένας λογοκριτής μπορεί να θέλει να αφαιρέσει περιεχόμενο που δεν θέλει να βλέπετε. Το περιεχόμενο που χαρακτηριζόταν ως “παραπληροφόρηση” καταστέλλεται ευρέως κατά τη διάρκεια της υστερίας των κοβιδίων. Ένας χάκερ που είχε κλέψει την πιστωτική σας κάρτα μπορεί να θέλει να αφαιρέσει τα αποδεικτικά στοιχεία των δόλιων χρεώσεών του.
Εγγυηθείτε ότι ο ιστότοπος που βλέπετε είναι πραγματικά αυτός που εμφανίζεται στη γραμμή τοποθεσίας του προγράμματος περιήγησης: Όταν συνδέεστε σε μια τράπεζα πώς ξέρετε ότι βλέπετε τον ιστότοπο αυτής της τράπεζας και όχι μια ψεύτικη έκδοση που μοιάζει πανομοιότυπη; Ελέγχετε τη γραμμή τοποθεσίας στο πρόγραμμα περιήγησής σας. Θα μπορούσε το πρόγραμμα περιήγησής σας να ξεγελαστεί και να σας εμφανίσει έναν ψεύτικο ιστότοπο που φαίνεται πανομοιότυπος με τον πραγματικό; Πώς το πρόγραμμα περιήγησής σας γνωρίζει – με βεβαιότητα – ότι είναι συνδεδεμένο με τον σωστό ιστότοπο;
Στις πρώτες μέρες του διαδικτύου, καμία από αυτές τις διαβεβαιώσεις δεν υπήρχε. Το 2010, ένα πρόσθετο του προγράμματος περιήγησης που ήταν διαθέσιμο στο κατάστημα πρόσθετων πρόσθετων επέτρεπε στον χρήστη να συμμετέχει σε ομαδική συνομιλία στο Facebook κάποιου άλλου σε ένα hotspot καφετέριας. Τώρα – χάρη στο PKI, μπορείτε να είστε αρκετά σίγουροι για αυτά τα πράγματα.
Αυτά τα χαρακτηριστικά ασφαλείας προστατεύονται με ένα σύστημα που βασίζεται σε ψηφιακά πιστοποιητικά. Τα ψηφιακά πιστοποιητικά είναι μια μορφή ταυτότητας – η διαδικτυακή έκδοση της άδειας οδήγησης. Όταν ένα πρόγραμμα περιήγησης συνδέεται σε έναν ιστότοπο, ο ιστότοπος παρουσιάζει ένα πιστοποιητικό στο πρόγραμμα περιήγησης. Το πιστοποιητικό περιέχει ένα κρυπτογραφικό κλειδί. Το πρόγραμμα περιήγησης και ο ιστότοπος συνεργάζονται με μια σειρά κρυπτογραφικών υπολογισμών για να δημιουργήσουν ασφαλή επικοινωνία.
Μαζί, το πρόγραμμα περιήγησης και ο ιστότοπος παρέχουν τις τρεις εγγυήσεις ασφαλείας:
ιδιωτικότητα: με την κρυπτογράφηση της συνομιλίας.
κρυπτογραφικές ψηφιακές υπογραφές: για να εξασφαλιστεί ότι το περιεχόμενο δεν τροποποιείται κατά τη διάρκεια της πτήσης.
επαλήθευση του εκδότη: μέσω της αλυσίδας εμπιστοσύνης που παρέχει η PKI, την οποία θα εξηγήσω λεπτομερέστερα παρακάτω.
Μια καλή ταυτότητα θα πρέπει να είναι δύσκολο να πλαστογραφηθεί. Στον αρχαίο κόσμο, η χύτευση μιας σφραγίδας από κερί εξυπηρετούσε αυτόν τον σκοπό. Οι ταυτότητες για τους ανθρώπους βασίστηκαν σε βιομετρικά στοιχεία. Το πρόσωπό σας είναι μία από τις παλαιότερες μορφές. Στον μη ψηφιακό κόσμο, όταν χρειάζεται να αποκτήσετε πρόσβαση σε ένα περιβάλλον με περιορισμένη ηλικία, όπως για παράδειγμα να παραγγείλετε ένα αλκοολούχο ποτό, θα σας ζητηθεί ταυτότητα με φωτογραφία.
Ένα άλλο βιομετρικό από την εποχή πριν από την ψηφιακή εποχή ήταν η αντιστοίχιση της φρέσκιας υπογραφής σας με στυλό και μελάνι με την πρωτότυπη υπογραφή σας στο πίσω μέρος της ταυτότητάς σας. Καθώς αυτοί οι παλαιότεροι τύποι βιομετρικών στοιχείων γίνονται ευκολότερα παραποιήσιμοι, η επαλήθευση της ανθρώπινης ταυτότητας έχει προσαρμοστεί. Τώρα, είναι σύνηθες για μια τράπεζα να σας στέλνει έναν κωδικό επικύρωσης στο κινητό σας. Η εφαρμογή απαιτεί να περάσετε έναν βιομετρικό έλεγχο ταυτότητας στο κινητό σας τηλέφωνο για να δείτε τον κωδικό, όπως η αναγνώριση προσώπου ή το δακτυλικό σας αποτύπωμα.
Εκτός από ένα βιομετρικό, ο δεύτερος παράγοντας που καθιστά μια ταυτότητα αξιόπιστη είναι ο εκδότης. Οι ταυτότητες που είναι ευρέως αποδεκτές εξαρτώνται από την ικανότητα του εκδότη να επαληθεύει ότι το άτομο που υποβάλλει αίτηση για ταυτότητα είναι αυτό που λέει ότι είναι. Οι περισσότερες από τις ευρύτερα αποδεκτές μορφές ταυτότητας εκδίδονται από κυβερνητικές υπηρεσίες, όπως το Τμήμα Μηχανοκίνητων Οχημάτων. Εάν ο οργανισμός έκδοσης διαθέτει αξιόπιστα μέσα για να εντοπίζει ποιοι και πού είναι οι υποκείμενοι, όπως οι φορολογικές πληρωμές, τα αρχεία απασχόλησης ή η χρήση υπηρεσιών κοινής ωφέλειας νερού, τότε υπάρχει μεγάλη πιθανότητα ο οργανισμός να μπορεί να επαληθεύσει ότι το πρόσωπο που αναφέρεται στην ταυτότητα είναι αυτό το πρόσωπο.
Στον διαδικτυακό κόσμο, οι κυβερνήσεις, ως επί το πλείστον, δεν έχουν εμπλακεί στην επαλήθευση της ταυτότητας. Τα πιστοποιητικά εκδίδονται από επιχειρήσεις του ιδιωτικού τομέα, γνωστές ως αρχές έκδοσης πιστοποιητικών (CA). Ενώ τα πιστοποιητικά ήταν αρκετά ακριβά, τα τέλη έχουν μειωθεί σημαντικά σε σημείο που ορισμένα είναι δωρεάν. Οι πιο γνωστές CA είναι οι Verisign, DigiCert και GoDaddy. Ο Ryan Hurst δείχνει ότι οι επτά μεγάλες CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft και IdenTrust) εκδίδουν το 99% όλων των πιστοποιητικών.
Το πρόγραμμα περιήγησης θα δεχτεί ένα πιστοποιητικό ως απόδειξη ταυτότητας μόνο εάν το πεδίο ονόματος στο πιστοποιητικό ταιριάζει με το όνομα τομέα, το οποίο το πρόγραμμα περιήγησης εμφανίζει στη γραμμή τοποθεσίας. Ακόμα και αν τα ονόματα ταιριάζουν, αυτό παρέχει ότι ένα πιστοποιητικό που λέει “apple.com” ανήκει στην επιχείρηση καταναλωτικών ηλεκτρονικών ειδών που είναι γνωστή ως Apple, Inc. Τα συστήματα ταυτότητας δεν είναι αλεξίσφαιρα. Οι ανήλικοι πότες μπορούν να αποκτήσουν πλαστές ταυτότητες. Όπως οι ανθρώπινες ταυτότητες, έτσι και τα ψηφιακά πιστοποιητικά μπορεί να είναι πλαστά ή άκυρα για άλλους λόγους. Ένας μηχανικός λογισμικού που χρησιμοποιεί δωρεάν εργαλεία ανοικτού κώδικα μπορεί να δημιουργήσει ένα ψηφιακό πιστοποιητικό με όνομα “apple.com” με μερικές εντολές Linux.
Το σύστημα PKI βασίζεται στις CAs για την έκδοση οποιουδήποτε πιστοποιητικού μόνο στον ιδιοκτήτη του ιστότοπου. Η ροή εργασίας για την απόκτηση ενός πιστοποιητικού έχει ως εξής:
Ο εκδότης ενός δικτυακού τόπου υποβάλλει αίτηση στην CA της προτίμησής του για ένα πιστοποιητικό, για έναν τομέα.
Η CA επαληθεύει ότι η αίτηση πιστοποιητικού προέρχεται από τον πραγματικό ιδιοκτήτη του εν λόγω δικτυακού τόπου. Πώς το διαπιστώνει αυτό η CA; Η CA απαιτεί από την οντότητα που υποβάλλει την αίτηση να δημοσιεύσει ένα συγκεκριμένο κομμάτι περιεχομένου σε μια συγκεκριμένη διεύθυνση URL. Η ικανότητα να το κάνει αυτό αποδεικνύει ότι η οντότητα έχει τον έλεγχο του ιστότοπου.
Μόλις ο ιστότοπος αποδείξει την κυριότητα του τομέα, η CA επισυνάπτει μια κρυπτογραφική ψηφιακή υπογραφή στο πιστοποιητικό χρησιμοποιώντας το δικό της ιδιωτικό κρυπτογραφικό κλειδί. Η υπογραφή προσδιορίζει την CA ως τον εκδότη.
Το υπογεγραμμένο πιστοποιητικό διαβιβάζεται στο πρόσωπο ή την οντότητα που υποβάλλει την αίτηση.
Ο εκδότης εγκαθιστά το πιστοποιητικό του στον ιστότοπό του, ώστε να μπορεί να παρουσιαστεί στους φυλλομετρητές.
Οι κρυπτογραφικές ψηφιακές υπογραφές είναι “ένα μαθηματικό σχήμα για την επαλήθευση της αυθεντικότητας ψηφιακών μηνυμάτων ή εγγράφων”. Δεν είναι το ίδιο πράγμα με την ηλεκτρονική υπογραφή εγγράφων που παρέχεται από το DocuSign και παρόμοιους προμηθευτές. Εάν η υπογραφή μπορούσε να πλαστογραφηθεί, τότε τα πιστοποιητικά δεν θα ήταν αξιόπιστα. Με την πάροδο του χρόνου το μέγεθος των κρυπτογραφικών κλειδιών αυξήθηκε με στόχο να γίνει πιο δύσκολη η πλαστογράφηση. Οι ερευνητές της κρυπτογραφίας πιστεύουν ότι οι σημερινές υπογραφές, από πρακτική άποψη, είναι αδύνατο να πλαστογραφηθούν. Μια άλλη ευπάθεια είναι η κλοπή των μυστικών κλειδιών της CA. Ο κλέφτης θα μπορούσε τότε να παράγει έγκυρες υπογραφές της εν λόγω CA.
Μόλις εγκατασταθεί το πιστοποιητικό, τότε χρησιμοποιείται κατά τη διάρκεια της εγκατάστασης μιας διαδικτυακής συνομιλίας. Το Register εξηγεί πώς γίνεται αυτό:
Εάν το πιστοποιητικό έχει εκδοθεί από μια γνωστή καλή CA και όλες οι λεπτομέρειες είναι σωστές, τότε ο ιστότοπος είναι αξιόπιστος και το πρόγραμμα περιήγησης θα προσπαθήσει να δημιουργήσει μια ασφαλή, κρυπτογραφημένη σύνδεση με τον ιστότοπο, ώστε η δραστηριότητά σας με τον ιστότοπο να μην είναι ορατή σε έναν υποκλοπέα στο δίκτυο. Εάν το πιστοποιητικό έχει εκδοθεί από μια μη αξιόπιστη CA, ή το πιστοποιητικό δεν ταιριάζει με τη διεύθυνση του ιστότοπου, ή κάποιες λεπτομέρειες είναι λανθασμένες, το πρόγραμμα περιήγησης θα απορρίψει τον ιστότοπο από την ανησυχία του ότι δεν συνδέεται με τον πραγματικό ιστότοπο που επιθυμεί ο χρήστης και ότι μπορεί να μιλάει με κάποιον πλαστογράφο.
Μπορούμε να εμπιστευτούμε το πρόγραμμα περιήγησης επειδή το πρόγραμμα περιήγησης εμπιστεύεται τον ιστότοπο. Το πρόγραμμα περιήγησης εμπιστεύεται τον ιστότοπο επειδή το πιστοποιητικό εκδόθηκε από μια “γνωστή καλή” CA. Αλλά τι είναι μια “γνωστή καλή CA”; Τα περισσότερα προγράμματα περιήγησης βασίζονται στις CA που παρέχονται από το λειτουργικό σύστημα. Ο κατάλογος των αξιόπιστων CAs αποφασίζεται από τους προμηθευτές συσκευών και λογισμικού. Οι μεγαλύτεροι προμηθευτές υπολογιστών και συσκευών – Microsoft, Apple, κατασκευαστές τηλεφώνων Android και οι διανομείς Linux ανοικτού κώδικα – προφορτώνουν το λειτουργικό σύστημα στις συσκευές τους με ένα σύνολο πιστοποιητικών ρίζας.
Αυτά τα πιστοποιητικά προσδιορίζουν τις CA που έχουν ελέγξει και θεωρούν αξιόπιστες. Αυτή η συλλογή πιστοποιητικών ρίζας ονομάζεται “αποθήκη εμπιστοσύνης”. Για να πάρω ένα παράδειγμα που βρίσκεται κοντά μου, ο υπολογιστής Windows που χρησιμοποιώ για να γράψω αυτό το κομμάτι έχει 70 πιστοποιητικά ρίζας στο Trusted Root Certificate Store. Ο ιστότοπος υποστήριξης της Apple παραθέτει όλες τις ρίζες που εμπιστεύεται η έκδοση Sierra του MacOS.
Πώς αποφασίζουν οι προμηθευτές υπολογιστών και τηλεφώνων ποιες CA είναι αξιόπιστες; Διαθέτουν προγράμματα ελέγχου και συμμόρφωσης για την αξιολόγηση της ποιότητας των CAs. Μόνο όσες περνούν τα κριτήρια περιλαμβάνονται. Δείτε για παράδειγμα το πρόγραμμα περιήγησης Chrome (το οποίο παρέχει το δικό του κατάστημα εμπιστοσύνης αντί να χρησιμοποιεί αυτό της συσκευής). Η EFF (η οποία περιγράφει τον εαυτό της ως “η κορυφαία μη κερδοσκοπική οργάνωση που υπερασπίζεται τις πολιτικές ελευθερίες στον ψηφιακό κόσμο”) εξηγεί:
Τα προγράμματα περιήγησης λειτουργούν “προγράμματα ρίζας” για να παρακολουθούν την ασφάλεια και την αξιοπιστία των CA που εμπιστεύονται. Αυτά τα προγράμματα ρίζας επιβάλλουν μια σειρά από απαιτήσεις που ποικίλλουν από το “πώς πρέπει να διασφαλίζεται το βασικό υλικό” έως το “πώς πρέπει να γίνεται η επικύρωση του ελέγχου του ονόματος τομέα” έως το “ποιοι αλγόριθμοι πρέπει να χρησιμοποιούνται για την υπογραφή πιστοποιητικών”.
Αφού μια CA γίνει αποδεκτή από έναν προμηθευτή, ο προμηθευτής συνεχίζει να την παρακολουθεί. Οι πωλητές θα αφαιρούν τις CA από το κατάστημα εμπιστοσύνης σε περίπτωση που η CA δεν τηρεί τα απαραίτητα πρότυπα ασφαλείας. Οι αρχές έκδοσης πιστοποιητικών μπορούν, και το κάνουν, να αποτύχουν ή να αποτύχουν για άλλους λόγους. Η Register αναφέρει:
Τα πιστοποιητικά και οι CA που τα εκδίδουν δεν είναι πάντα αξιόπιστα και οι κατασκευαστές προγραμμάτων περιήγησης κατά τη διάρκεια των ετών έχουν αφαιρέσει πιστοποιητικά ρίζας CA από CA που εδρεύουν στην Τουρκία, τη Γαλλία, την Κίνα, το Καζακστάν και αλλού, όταν διαπιστώθηκε ότι η εκδότρια οντότητα ή ένα συνδεδεμένο μέρος υπέκλεπτε την κυκλοφορία του διαδικτύου.
Το 2022, ο ερευνητής Ian Carroll ανέφερε ανησυχίες ασφαλείας με την αρχή πιστοποιητικών e-Tugra. Ο Carroll “διαπίστωσε μια σειρά από ανησυχητικά ζητήματα που με ανησυχούν ως προς τις πρακτικές ασφαλείας εντός της εταιρείας τους”, όπως τα αδύναμα διαπιστευτήρια. Οι αναφορές του Carroll επαληθεύτηκαν από τους μεγαλύτερους προμηθευτές λογισμικού. Ως αποτέλεσμα, η e-Tugra αφαιρέθηκε από τα αξιόπιστα καταστήματα πιστοποιητικών τους.
Το Χρονολόγιο των αποτυχιών των Αρχών Πιστοποιητικών αναφέρει και άλλα τέτοια περιστατικά.
Υπάρχουν ακόμη κάποια γνωστά κενά στο PKI όπως υπάρχει σήμερα. Επειδή ένα συγκεκριμένο ζήτημα είναι σημαντικό για την κατανόηση του άρθρου 45 του eIDAS, θα το εξηγήσω στη συνέχεια. Η εμπιστοσύνη μιας CA δεν περιορίζεται σε εκείνους τους δικτυακούς τόπους που συνεργάζονται με την εν λόγω CA. Ένα πρόγραμμα περιήγησης θα δεχτεί ένα πιστοποιητικό από οποιαδήποτε αξιόπιστη CA για οποιονδήποτε ιστότοπο. Τίποτα δεν εμποδίζει την CA να εκδώσει έναν ιστότοπο σε έναν κακό δράστη που δεν ζητήθηκε από τον ιδιοκτήτη του ιστότοπου. Ένα τέτοιο πιστοποιητικό θα ήταν δόλιο με τη νομική έννοια λόγω του σε ποιον εκδόθηκε. Αλλά το περιεχόμενο του πιστοποιητικού θα ήταν τεχνικά έγκυρο από την άποψη του προγράμματος περιήγησης.
Εάν υπήρχε τρόπος να συσχετιστεί κάθε δικτυακός τόπος με την προτιμώμενη CA, τότε οποιοδήποτε πιστοποιητικό για τον εν λόγω δικτυακό τόπο από οποιαδήποτε άλλη CA θα αναγνωριζόταν αμέσως ως δόλιο. Η καρφίτσα πιστοποιητικού είναι ένα άλλο πρότυπο που κάνει ένα βήμα προς αυτή την κατεύθυνση. Αλλά πώς θα δημοσιευόταν αυτή η συσχέτιση και πώς θα ήταν αξιόπιστος ο εκδότης;
Σε κάθε επίπεδο αυτής της διαδικασίας, η τεχνική λύση βασίζεται σε μια εξωτερική πηγή εμπιστοσύνης. Αλλά πώς δημιουργείται αυτή η εμπιστοσύνη; Βασιζόμενοι σε μια ακόμη πιο αξιόπιστη πηγή στο επόμενο υψηλότερο επίπεδο; Το ερώτημα αυτό καταδεικνύει τη φύση του προβλήματος ως “χελώνες, σε όλη τη διαδρομή προς τα κάτω”. Το PKI έχει μια χελώνα στο κάτω μέρος: τη φήμη, την ορατότητα και τη διαφάνεια της βιομηχανίας ασφάλειας και των πελατών της. Η εμπιστοσύνη οικοδομείται σε αυτό το επίπεδο μέσω της συνεχούς παρακολούθησης, των ανοικτών προτύπων, των προγραμματιστών λογισμικού και των CAs.
Έχουν εκδοθεί πλαστά πιστοποιητικά. Το 2013, το ArsTechnica ανέφερε ότι η γαλλική υπηρεσία πιάστηκε να κόβει πιστοποιητικά SSL που παρίσταναν την Google:
Το 2011… ερευνητές ασφαλείας εντόπισαν ένα ψεύτικο πιστοποιητικό για το Google.com που έδινε στους επιτιθέμενους τη δυνατότητα να υποδυθούν την υπηρεσία ηλεκτρονικού ταχυδρομείου του ιστότοπου και άλλες προσφορές. Το πλαστό πιστοποιητικό κόπηκε αφού οι επιτιθέμενοι διέρρηξαν την ασφάλεια της ολλανδικής DigiNotar και απέκτησαν τον έλεγχο των συστημάτων έκδοσης πιστοποιητικών της.
Τα πιστοποιητικά SSL (Secure Sockets Layer) ήταν ψηφιακά υπογεγραμμένα από έγκυρη αρχή έκδοσης πιστοποιητικών… Στην πραγματικότητα, τα πιστοποιητικά ήταν μη εξουσιοδοτημένα αντίγραφα που εκδόθηκαν κατά παράβαση των κανόνων που έχουν θεσπιστεί από τους κατασκευαστές προγραμμάτων περιήγησης και τις υπηρεσίες αρχών έκδοσης πιστοποιητικών.
Η δόλια έκδοση πιστοποιητικών μπορεί να συμβεί. Μια απατεώνισσα CA μπορεί να εκδώσει ένα τέτοιο πιστοποιητικό, αλλά δεν θα πάει μακριά. Το κακό πιστοποιητικό θα εντοπιστεί. Η κακή CA θα αποτύχει σε προγράμματα συμμόρφωσης και θα αφαιρεθεί από τα καταστήματα εμπιστοσύνης. Χωρίς αποδοχή, η CA θα κλείσει την επιχείρησή της. Η διαφάνεια πιστοποιητικών, ένα πιο πρόσφατο πρότυπο, επιτρέπει την ταχύτερη ανίχνευση των δόλιων πιστοποιητικών.
Γιατί μια CA να γίνει αθέμιτη; Ποιο πλεονέκτημα μπορεί να αποκομίσει ο κακός από ένα μη εξουσιοδοτημένο πιστοποιητικό; Με το πιστοποιητικό από μόνο του, όχι πολλά, ακόμη και όταν υπογράφεται από μια αξιόπιστη CA. Αλλά αν ο κακός μπορεί να συνεργαστεί με έναν ISP ή να αποκτήσει με άλλο τρόπο πρόσβαση στο δίκτυο που χρησιμοποιεί το πρόγραμμα περιήγησης, το πιστοποιητικό δίνει στον κακό τη δυνατότητα να παραβιάσει όλες τις εγγυήσεις ασφαλείας του PKI.
Ο χάκερ θα μπορούσε να πραγματοποιήσει μια επίθεση man-in-the-middle (MITM) στη συνομιλία. Ο επιτιθέμενος θα μπορούσε να παρεμβληθεί μεταξύ του προγράμματος περιήγησης και του πραγματικού ιστότοπου. Σε αυτό το σενάριο, ο χρήστης θα μιλούσε απευθείας στον επιτιθέμενο και ο επιτιθέμενος θα αναμετέδιδε το περιεχόμενο μπρος-πίσω με τον πραγματικό ιστότοπο. Ο επιτιθέμενος θα παρουσίαζε το πλαστό πιστοποιητικό στο πρόγραμμα περιήγησης. Επειδή είχε υπογραφεί από μια αξιόπιστη CA, το πρόγραμμα περιήγησης θα το αποδεχόταν. Ο επιτιθέμενος θα μπορούσε να δει και ακόμη και να τροποποιήσει ό,τι έστειλε οποιοδήποτε από τα δύο μέρη πριν το λάβει η άλλη πλευρά.
Τώρα ερχόμαστε στο δυσοίωνο eIDAS της ΕΕ, άρθρο 45. Αυτός ο προτεινόμενος κανονισμός απαιτεί από όλους τους φυλλομετρητές να εμπιστεύονται ένα καλάθι πιστοποιητικών από CAs που ορίζονται από την ΕΕ. Είκοσι επτά για την ακρίβεια: ένα για κάθε κράτος μέλος. Αυτά τα πιστοποιητικά θα ονομάζονται πιστοποιητικά αναγνωρισμένου ελέγχου ταυτότητας ιστότοπου. Το ακρωνύμιο “QWAC” έχει μια ατυχή ομοιοφωνία με την κομπογιαννίτιδα – ή ίσως η Ευρωπαϊκή Επιτροπή μας τρολάρει.
Τα QWAC θα εκδίδονται είτε από κυβερνητικές υπηρεσίες, είτε από αυτό που ο Michael Rectenwald αποκαλεί κυβερνητικές αρχές: “εταιρείες και εταιρείες και άλλα βοηθήματα του κράτους που κατά τα άλλα αποκαλούνται “ιδιωτικά”, αλλά στην πραγματικότητα λειτουργούν ως κρατικοί μηχανισμοί, δεδομένου ότι επιβάλλουν κρατικές αφηγήσεις και υπαγορεύσεις”.
Αυτό το σύστημα θα έφερνε τις κυβερνήσεις των κρατών μελών της ΕΕ ένα βήμα πιο κοντά στο σημείο όπου θα μπορούσαν να κάνουν man-in-the-middle επιθέσεις εναντίον των ίδιων των πολιτών τους. Θα πρέπει επίσης να έχουν πρόσβαση στα δίκτυα. Οι κυβερνήσεις είναι σε θέση να το κάνουν αυτό. Εάν ο πάροχος υπηρεσιών διαδικτύου διοικείται ως κρατική επιχείρηση, τότε θα το έχουν ήδη. Εάν οι ISP είναι ιδιωτικές επιχειρήσεις, τότε οι τοπικές αρχές θα μπορούσαν να χρησιμοποιήσουν αστυνομικές εξουσίες για να αποκτήσουν πρόσβαση.
Ένα σημείο που δεν έχει τονιστεί στη δημόσια συζήτηση είναι ότι ένα πρόγραμμα περιήγησης σε οποιοδήποτε από τα 27 κράτη μέλη της ΕΕ θα πρέπει να δέχεται κάθε QWAC, ένα από κάθε κράτος μέλος της ΕΕ. Αυτό σημαίνει ότι ένα πρόγραμμα περιήγησης στην Ισπανία, για παράδειγμα, θα πρέπει να εμπιστεύεται ένα QWAC από οντότητες στην Κροατία, τη Φινλανδία και την Αυστρία. Ο Ισπανός χρήστης που επισκέπτεται έναν αυστριακό δικτυακό τόπο θα πρέπει να διέρχεται από αυστριακά τμήματα του διαδικτύου. Τα ζητήματα που αναφέρθηκαν παραπάνω θα ισχύουν για όλες τις χώρες εντός της ΕΕ.
Το Register, σε ένα άρθρο με τίτλο Bad eIDAS: Europe ready to intercept, spy on your encrypted HTTPS connections εξηγεί έναν τρόπο με τον οποίο αυτό θα μπορούσε να λειτουργήσει:
[Η] κυβέρνηση μπορεί να ζητήσει από τη φιλική της CA ένα αντίγραφο του πιστοποιητικού [του QWAC], ώστε η κυβέρνηση να μπορεί να υποδυθεί τον ιστότοπο – ή να ζητήσει κάποιο άλλο πιστοποιητικό που οι περιηγητές θα εμπιστεύονται και θα αποδέχονται για τον ιστότοπο. Έτσι, χρησιμοποιώντας μια επίθεση man-in-the-middle, αυτή η κυβέρνηση μπορεί να υποκλέψει και να αποκρυπτογραφήσει την κρυπτογραφημένη κυκλοφορία HTTPS μεταξύ του ιστότοπου και των χρηστών του, επιτρέποντας στο καθεστώς να παρακολουθεί ακριβώς τι κάνουν οι άνθρωποι σε αυτόν τον ιστότοπο ανά πάσα στιγμή.
Έχοντας διαπεράσει την ασπίδα της κρυπτογράφησης, η παρακολούθηση θα μπορούσε να περιλαμβάνει την αποθήκευση των κωδικών πρόσβασης των χρηστών και, στη συνέχεια, τη χρήση τους σε άλλη στιγμή για την πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου των πολιτών. Εκτός από την παρακολούθηση, οι κυβερνήσεις θα μπορούσαν να τροποποιούν το περιεχόμενο εν σειρά. Για παράδειγμα, θα μπορούσαν να αφαιρέσουν τις αφηγήσεις που θέλουν να λογοκρίνουν. Θα μπορούσαν να επισυνάψουν ενοχλητικούς ελέγχους γεγονότων και προειδοποιήσεις περιεχομένου σε αντίθετες απόψεις.
Όπως έχουν τα πράγματα σήμερα, οι CA πρέπει να διατηρήσουν την εμπιστοσύνη της κοινότητας των φυλλομετρητών. Οι φυλλομετρητές προειδοποιούν επί του παρόντος τον χρήστη εάν ένας ιστότοπος παρουσιάζει ένα ληγμένο ή άλλως αναξιόπιστο πιστοποιητικό. Σύμφωνα με το άρθρο 45, οι προειδοποιήσεις ή η απόρριψη των ατόμων που καταχρώνται την εμπιστοσύνη θα απαγορευτούν. Οι φυλλομετρητές όχι μόνο υποχρεούνται να εμπιστεύονται τους QWACs, αλλά το άρθρο 45 απαγορεύει στους φυλλομετρητές να εμφανίζουν προειδοποίηση ότι ένα πιστοποιητικό υπογεγραμμένο από QWAC.
Η Last Chance for eIDAS (ένας δικτυακός τόπος που εμφανίζει το λογότυπο της Mozilla) τάσσεται κατά του άρθρου 45:
Οποιοδήποτε κράτος μέλος της ΕΕ έχει τη δυνατότητα να ορίζει κρυπτογραφικά κλειδιά για διανομή σε προγράμματα περιήγησης στο διαδίκτυο και απαγορεύεται στα προγράμματα περιήγησης να ανακαλέσουν την εμπιστοσύνη σε αυτά τα κλειδιά χωρίς κυβερνητική άδεια.
…Δεν υπάρχει κανένας ανεξάρτητος έλεγχος ή ισορροπία στις αποφάσεις που λαμβάνουν τα κράτη μέλη όσον αφορά τα κλειδιά που εγκρίνουν και τη χρήση τους. Αυτό είναι ιδιαίτερα ανησυχητικό, δεδομένου ότι η τήρηση του κράτους δικαίου δεν ήταν ομοιόμορφη σε όλα τα κράτη μέλη, με καταγεγραμμένες περιπτώσεις εξαναγκασμού από τη μυστική αστυνομία για πολιτικούς σκοπούς.
Σε ανοιχτή επιστολή που υπογράφεται από αρκετές εκατοντάδες ερευνητές ασφάλειας και επιστήμονες πληροφορικής:
Το άρθρο 45 απαγορεύει επίσης τους ελέγχους ασφαλείας σε πιστοποιητικά διαδικτύου της ΕΕ, εκτός εάν επιτρέπεται ρητά από κανονισμό κατά τη δημιουργία κρυπτογραφημένων συνδέσεων διαδικτυακής κυκλοφορίας. Αντί να προσδιορίζει ένα σύνολο ελάχιστων μέτρων ασφαλείας που πρέπει να εφαρμόζονται ως βασική γραμμή, ουσιαστικά προσδιορίζει ένα ανώτερο όριο στα μέτρα ασφαλείας, το οποίο δεν μπορεί να βελτιωθεί χωρίς την άδεια του ETSI. Αυτό έρχεται σε αντίθεση με τους καθιερωμένους παγκόσμιους κανόνες, όπου νέες τεχνολογίες ασφάλειας στον κυβερνοχώρο αναπτύσσονται και αναπτύσσονται ως απάντηση στις ταχείες εξελίξεις της τεχνολογίας.
Οι περισσότεροι από εμάς βασιζόμαστε στους προμηθευτές μας για την επιμέλεια του καταλόγου των αξιόπιστων CAs. Ωστόσο, ως χρήστης, μπορείτε να προσθέτετε ή να αφαιρείτε πιστοποιητικά κατά βούληση στις δικές σας συσκευές. Τα Microsoft Windows διαθέτουν ένα εργαλείο για να το κάνετε αυτό. Στο Linux, τα πιστοποιητικά ρίζας είναι αρχεία που βρίσκονται σε έναν ενιαίο κατάλογο. Μια CA μπορεί να μην είναι αξιόπιστη απλά διαγράφοντας το αρχείο. Θα απαγορευτεί και αυτό; Ο Steve Gibson, γνωστός ειδήμων σε θέματα ασφάλειας, αρθρογράφος και οικοδεσπότης του μακροχρόνιου podcast Security Now ρωτά:
Όμως η ΕΕ δηλώνει ότι οι φυλλομετρητές θα πρέπει να τιμούν αυτές τις νέες, μη δοκιμασμένες και μη ελεγμένες αρχές πιστοποιητικών και, κατά συνέπεια, όλα τα πιστοποιητικά που εκδίδουν, χωρίς εξαίρεση και χωρίς προσφυγή. Αυτό σημαίνει ότι η δική μου περίπτωση του Firefox θα είναι νομικά υποχρεωμένη να αρνηθεί την προσπάθειά μου να αφαιρέσω αυτά τα πιστοποιητικά;
Ο Gibson σημειώνει ότι ορισμένες εταιρείες εφαρμόζουν παρόμοια επιτήρηση των υπαλλήλων τους εντός του ιδιωτικού τους δικτύου. Όποια κι αν είναι η γνώμη σας για αυτές τις συνθήκες εργασίας, ορισμένες βιομηχανίες έχουν νόμιμους λόγους ελέγχου και συμμόρφωσης να παρακολουθούν και να καταγράφουν τι κάνουν οι υπάλληλοί τους με τους πόρους της εταιρείας. Αλλά, όπως συνεχίζει ο Gibson,
Το πρόβλημα είναι ότι η ΕΕ και τα κράτη μέλη της διαφέρουν πολύ από τους υπαλλήλους ενός ιδιωτικού οργανισμού. Κάθε φορά που ένας εργαζόμενος δεν θέλει να κατασκοπεύεται, μπορεί να χρησιμοποιήσει το δικό του smartphone για να παρακάμψει το δίκτυο του εργοδότη του. Και φυσικά το ιδιωτικό δίκτυο ενός εργοδότη είναι ακριβώς αυτό, ένα ιδιωτικό δίκτυο. Η ΕΕ θέλει να το κάνει αυτό για ολόκληρο το δημόσιο διαδίκτυο, από το οποίο δεν θα υπάρχει διαφυγή.
Τώρα έχουμε διαπιστώσει τον ριζοσπαστικό χαρακτήρα αυτής της πρότασης. Ήρθε η ώρα να αναρωτηθούμε, ποιους λόγους προσφέρει η Ευρωπαϊκή Επιτροπή για να αιτιολογήσει αυτή την αλλαγή; Η ΕΚ λέει ότι η επαλήθευση ταυτότητας στο πλαίσιο της PKI δεν είναι επαρκής. Και ότι αυτές οι αλλαγές είναι απαραίτητες για τη βελτίωσή της.
Υπάρχει κάποια αλήθεια στους ισχυρισμούς της ΕΚ; Το σημερινό PKI στις περισσότερες περιπτώσεις απαιτεί από την αίτηση να αποδεικνύεται μόνο ο έλεγχος του δικτυακού τόπου. Αν και αυτό είναι κάτι, δεν εγγυάται, για παράδειγμα, ότι η διαδικτυακή ιδιοκτησία “apple.com” ανήκει στην εταιρεία καταναλωτικών ηλεκτρονικών ειδών γνωστή ως Apple Inc, με έδρα το Cupertino της Καλιφόρνια. Ένας κακόβουλος χρήστης μπορεί να αποκτήσει ένα έγκυρο πιστοποιητικό για ένα domain με όνομα παρόμοιο με αυτό μιας γνωστής επιχείρησης. Το έγκυρο πιστοποιητικό θα μπορούσε να χρησιμοποιηθεί σε μια επίθεση που βασίζεται σε ορισμένους χρήστες που δεν κοιτάζουν αρκετά προσεκτικά ώστε να παρατηρήσουν ότι το όνομα δεν ταιριάζει απόλυτα. Αυτό συνέβη στον επεξεργαστή πληρωμών Stripe.
Για τους εκδότες που θα ήθελαν να αποδείξουν στον κόσμο ότι είναι πραγματικά η ίδια εταιρική οντότητα, ορισμένες CAs έχουν προσφέρει πιστοποιητικά Extended Validation (EV). Το “εκτεταμένο” μέρος αποτελείται από πρόσθετες επικυρώσεις έναντι της ίδιας της επιχείρησης, όπως η διεύθυνση της επιχείρησης, ένας λειτουργικός αριθμός τηλεφώνου, μια άδεια λειτουργίας ή μια σύσταση επιχείρησης και άλλα χαρακτηριστικά που είναι τυπικά για μια επιχείρηση που λειτουργεί. Τα EV αναφέρονται σε υψηλότερη τιμή επειδή απαιτούν περισσότερη εργασία από την CA.
Τα προγράμματα περιήγησης συνήθιζαν να εμφανίζουν τονισμένη οπτική ανατροφοδότηση για ένα EV, όπως ένα διαφορετικό χρώμα ή ένα πιο ανθεκτικό εικονίδιο κλειδαριάς. Τα τελευταία χρόνια, τα EV δεν είναι ιδιαίτερα δημοφιλή στην αγορά. Έχουν ως επί το πλείστον εκλείψει. Πολλά προγράμματα περιήγησης δεν εμφανίζουν πλέον τη διαφοροποιημένη ανατροφοδότηση.
Παρά τις αδυναμίες που εξακολουθούν να υπάρχουν, η PKI έχει βελτιωθεί αισθητά με την πάροδο του χρόνου. Καθώς οι αδυναμίες έγιναν κατανοητές, αντιμετωπίστηκαν. Οι κρυπτογραφικοί αλγόριθμοι έχουν ενισχυθεί, η διακυβέρνηση έχει βελτιωθεί και οι ευπάθειες έχουν αποκλειστεί. Η διακυβέρνηση με συναίνεση των φορέων του κλάδου έχει λειτουργήσει αρκετά καλά. Το σύστημα θα συνεχίσει να εξελίσσεται, τόσο τεχνολογικά όσο και θεσμικά. Εκτός από την ανάμειξη των ρυθμιστικών αρχών, δεν υπάρχει λόγος να περιμένουμε το αντίθετο.
Έχουμε μάθει από το ατελές ιστορικό των ηλεκτρικών οχημάτων ότι η αγορά δεν ενδιαφέρεται τόσο πολύ για την επαλήθευση της εταιρικής ταυτότητας. Ωστόσο, αν οι χρήστες του Διαδικτύου το ήθελαν αυτό, δεν θα χρειαζόταν να σπάσει το υπάρχον PKI για να τους το δώσει. Θα αρκούσαν κάποιες μικρές προσαρμογές στις υπάρχουσες ροές εργασίας. Ορισμένοι σχολιαστές πρότειναν την τροποποίηση της χειραψίας TLS- ο δικτυακός τόπος θα παρουσίαζε ένα επιπλέον πιστοποιητικό. Το κύριο πιστοποιητικό θα λειτουργούσε όπως και τώρα. Το δευτερεύον πιστοποιητικό, υπογεγραμμένο από ένα QWAC, θα υλοποιούσε τα πρόσθετα πρότυπα ταυτότητας που η Ευρωπαϊκή Επιτροπή λέει ότι θέλει.
Οι υποτιθέμενοι λόγοι της ΕΚ για το eIDAS δεν είναι απλώς αξιόπιστοι. Όχι μόνο οι λόγοι που προβάλλονται δεν είναι αληθοφανείς, αλλά η ΕΚ δεν μπαίνει καν στον κόπο να κάνει τη συνήθη υποκριτική γκρίνια για το πώς πρέπει να θυσιάσουμε σημαντικές ελευθερίες στο όνομα της ασφάλειας, επειδή αντιμετωπίζουμε τη σοβαρή απειλή της [διαλέξτε μία] εμπορίας ανθρώπων, της ασφάλειας των παιδιών, του ξεπλύματος χρήματος, της φοροδιαφυγής ή (το προσωπικό μου αγαπημένο) της κλιματικής αλλαγής. Δεν υπάρχει καμία αμφιβολία ότι η ΕΕ μας εξαπατά.
Αν η Ευρωπαϊκή Επιτροπή δεν είναι ειλικρινής σχετικά με τα πραγματικά της κίνητρα, τότε τι επιδιώκει; Ο Gibson βλέπει μια κακόβουλη πρόθεση:
Και υπάρχει μόνο ένας πιθανός λόγος για να θέλουν [να επιβάλουν στους φυλλομετρητές να εμπιστεύονται τα QWAC], ο οποίος είναι να επιτρέψουν την υποκλοπή της διαδικτυακής κίνησης on-the-fly, ακριβώς όπως συμβαίνει μέσα στις εταιρείες. Και αυτό αναγνωρίζεται.
(Αυτό που εννοεί ο Gibson με τον όρο “υποκλοπή της διαδικτυακής κίνησης” είναι η επίθεση MITM που περιγράφηκε παραπάνω.) Άλλα σχόλια υπογράμμισαν τις δυσοίωνες συνέπειες για την ελευθερία του λόγου και την πολιτική διαμαρτυρία. Ο Hurst σε ένα μακροσκελές δοκίμιο προβάλλει ένα επιχείρημα για την ολισθηρή κλίση:
Όταν μια φιλελεύθερη δημοκρατία καθιερώνει αυτού του είδους τον έλεγχο της τεχνολογίας στο διαδίκτυο, παρά τις συνέπειές της, θέτει τις βάσεις για πιο αυταρχικές κυβερνήσεις να ακολουθήσουν το παράδειγμά της ατιμώρητα.
Η Mozilla που αναφέρεται στο techdirt (χωρίς σύνδεσμο στο πρωτότυπο) λέει πάνω κάτω τα ίδια:
[F]orcing browsers to automatically trust government-backed certificate authorities is a key tactic used by authoritarian regimes, and these actors would be emboldened by the legitimising effect of the EU’s actions…
Ο Gibson κάνει μια παρόμοια παρατήρηση:
Και μετά υπάρχει το πολύ πραγματικό φάσμα του τι άλλες πόρτες ανοίγει αυτό: Αν η ΕΕ δείξει στον υπόλοιπο κόσμο ότι μπορεί να υπαγορεύσει με επιτυχία τους όρους εμπιστοσύνης για τους ανεξάρτητους περιηγητές ιστού που χρησιμοποιούν οι πολίτες της, ποιες άλλες χώρες θα ακολουθήσουν με παρόμοιους νόμους; Τώρα ο καθένας μπορεί απλώς να απαιτεί να προστεθούν τα πιστοποιητικά της χώρας του. Αυτό μας οδηγεί ακριβώς προς τη λάθος κατεύθυνση.
Αυτό το προτεινόμενο άρθρο 45 αποτελεί επίθεση στην ιδιωτικότητα των χρηστών στα κράτη της ΕΕ. Εάν υιοθετηθεί, θα αποτελέσει τεράστια οπισθοδρόμηση όχι μόνο στην ασφάλεια του διαδικτύου, αλλά και στο εξελιγμένο σύστημα διακυβέρνησης. Συμφωνώ με τον Steve Gibson:
Αυτό που είναι εντελώς ασαφές, και αυτό που δεν έχω συναντήσει πουθενά, είναι μια εξήγηση της εξουσίας με την οποία η ΕΕ φαντάζεται ότι είναι σε θέση να υπαγορεύει το σχεδιασμό του λογισμικού άλλων οργανισμών. Διότι σε αυτό ακριβώς καταλήγει η υπόθεση.
Η ανταπόκριση στο προτεινόμενο άρθρο 45 ήταν μαζικά αρνητική. Η EFF στο άρθρο 45 θα γυρίσει πίσω την ασφάλεια του διαδικτύου κατά 12 χρόνια γράφει: “Πρόκειται για μια καταστροφή για την ιδιωτικότητα όλων όσων χρησιμοποιούν το διαδίκτυο, αλλά ιδιαίτερα για όσους χρησιμοποιούν το διαδίκτυο στην ΕΕ”.
Η προσπάθεια eIDAS είναι μια φωτιά τεσσάρων συναγερμών για την κοινότητα της ασφάλειας. Η Mozilla – κατασκευαστής του προγράμματος περιήγησης ιστού ανοικτού κώδικα Firefox – δημοσίευσε μια κοινή δήλωση της βιομηχανίας που αντιτίθεται σε αυτήν. Η δήλωση υπογράφεται από μια λίστα με όλα τα αστέρια των εταιρειών υποδομών διαδικτύου, συμπεριλαμβανομένης της ίδιας της Mozilla, της Cloudflare, της Fastly και του Linux Foundation.
Από την ανοιχτή επιστολή που αναφέρθηκε παραπάνω:
Αφού διαβάσαμε το σχεδόν τελικό κείμενο, ανησυχούμε βαθύτατα για το προτεινόμενο κείμενο του άρθρου 45. Η τρέχουσα πρόταση επεκτείνει ριζικά τη δυνατότητα των κυβερνήσεων να παρακολουθούν τόσο τους δικούς τους πολίτες όσο και τους κατοίκους σε ολόκληρη την ΕΕ, παρέχοντάς τους τα τεχνικά μέσα για την υποκλοπή της κρυπτογραφημένης διαδικτυακής κίνησης, καθώς και υπονομεύοντας τους υφιστάμενους μηχανισμούς εποπτείας στους οποίους βασίζονται οι Ευρωπαίοι πολίτες.
Πού οδηγεί αυτό; Ο κανονισμός έχει προταθεί εδώ και αρκετό καιρό. Η τελική απόφαση είχε προγραμματιστεί για τον Νοέμβριο του 2023. Οι αναζητήσεις στο διαδίκτυο δεν δείχνουν καμία νέα πληροφορία σχετικά με το θέμα αυτό από τότε.
Αυτά τα τελευταία χρόνια, η απόλυτη λογοκρισία σε όλες τις μορφές της έχει αυξηθεί. Κατά τη διάρκεια της κοβιδικής τρέλας, η κυβέρνηση και η βιομηχανία συνεργάστηκαν για να δημιουργήσουν ένα λογοκρισία-βιομηχανικό σύμπλεγμα για την αποτελεσματικότερη προώθηση ψευδών αφηγήσεων και την καταστολή των αντιφρονούντων. Τα τελευταία χρόνια, οι σκεπτικιστές και οι ανεξάρτητες φωνές αντιστάθηκαν, στα δικαστήρια και με τη δημιουργία ουδέτερων από άποψη πλατφορμών.
Ενώ η λογοκρισία του λόγου εξακολουθεί να αποτελεί μεγάλο κίνδυνο, τα δικαιώματα των συγγραφέων και των δημοσιογράφων προστατεύονται καλύτερα από πολλά άλλα δικαιώματα. Στις ΗΠΑ, η Πρώτη Τροποποίηση έχει ρητή προστασία του λόγου και της ελευθερίας άσκησης κριτικής στην κυβέρνηση. Τα δικαστήρια μπορεί να είναι της γνώμης ότι κάθε δικαίωμα ή ελευθερία που δεν προστατεύεται από εξαιρετικά συγκεκριμένη νομοθετική διατύπωση είναι ελεύθερο παιχνίδι. Αυτός μπορεί να είναι ο λόγος για τον οποίο η αντίσταση είχε μεγαλύτερη επιτυχία όσον αφορά την ομιλία από ό,τι άλλες προσπάθειες να σταματήσουν άλλες καταχρήσεις της εξουσίας, όπως οι καραντίνες και ο εγκλωβισμός πληθυσμών.
Αντί για έναν καλά αμυνόμενο εχθρό, οι κυβερνήσεις μετατοπίζουν τις επιθέσεις τους σε άλλα στρώματα της υποδομής του διαδικτύου. Αυτές οι υπηρεσίες, όπως η καταχώριση τομέων, ο DNS, τα πιστοποιητικά, οι επεξεργαστές πληρωμών, η φιλοξενία και τα καταστήματα εφαρμογών, αποτελούνται σε μεγάλο βαθμό από ιδιωτικές συναλλαγές στην αγορά. Αυτές οι υπηρεσίες προστατεύονται πολύ λιγότερο καλά από τον λόγο, επειδή, ως επί το πλείστον, δεν υπάρχει δικαίωμα για οποιονδήποτε να αγοράσει μια συγκεκριμένη υπηρεσία από μια συγκεκριμένη επιχείρηση. Και οι πιο τεχνικές υπηρεσίες, όπως οι DNS και PKI, είναι λιγότερο κατανοητές από το κοινό από ό,τι οι δημοσιεύσεις στο διαδίκτυο.
Το σύστημα PKI είναι ιδιαίτερα ευάλωτο σε επιθέσεις επειδή λειτουργεί με τη φήμη και τη συναίνεση. Δεν υπάρχει μια ενιαία αρχή που να κυβερνά ολόκληρο το σύστημα. Οι παίκτες πρέπει να κερδίσουν τη φήμη τους μέσω της διαφάνειας, της συμμόρφωσης και της ειλικρινούς αναφοράς αποτυχιών. Και αυτό το καθιστά ευάλωτο σε αυτού του είδους τις διασπαστικές επιθέσεις. Αν το PKI της ΕΕ πέσει στα χέρια των ρυθμιστικών αρχών, περιμένω να ακολουθήσουν και άλλες χώρες. Δεν κινδυνεύει μόνο το PKI. Μόλις αποδειχθεί ότι και άλλα επίπεδα της στοίβας μπορούν να δεχθούν επίθεση από τις ρυθμιστικές αρχές, θα αποτελέσουν επίσης στόχο.
Επιλεξτε να γινετε οι πρωτοι που θα εχετε προσβαση στην Πληροφορια του Stranger Voice