この 欧州委員会 デジタル技術に対する規制権限を持つ EU の立法機関です。 EC の規制案である eIDAS 第 45 条は、業界が 25 年以上にわたって慎重に進化させ、強化してきたインターネット セキュリティの領域を意図的に弱体化させるものです。この条項は事実上、EU 27か国政府にインターネット利用に対する監視権限を大幅に拡大することを認めるものとなる。
この規則では、すべてのインターネット ブラウザに対し、EU 加盟国の各国政府の機関 (または規制対象機関) からの追加のルート証明書を信頼することが求められます。技術者以外の読者のために、ルート証明書とは何か、インターネットの信頼がどのように進化してきたか、およびこれに対する第 45 条の規定について説明します。次に、この件に関する技術コミュニティからのコメントをいくつか紹介します。
この記事の次のセクションでは、インターネットの信頼インフラストラクチャがどのように機能するかについて説明します。この背景は、提案された条項がどれほど急進的なものであるかを理解するために必要です。この説明は、技術に詳しくない読者でも理解できるようにすることを目的としています。
問題の規制はインターネットのセキュリティに関するものです。ここでの「インターネット」とは主に、Web サイトにアクセスするブラウザを意味します。インターネット セキュリティは、多くの異なる側面で構成されています。第 45 条は修正を意図している 公開鍵インフラストラクチャ (PKI), 90 年代半ばからインターネット セキュリティの一部として組み込まれてきました。 PKI は最初に採用され、その後 25 年間にわたって改良され、ユーザーと発行者に次の保証を提供してきました。
- ブラウザとウェブサイト間の会話のプライバシー: ブラウザと Web サイトは、インターネット (によって運営されるネットワークのネットワーク) 上で会話します。 インターネットサービスプロバイダ, Tier 1 通信事業者、または 携帯キャリア デバイスがモバイルの場合。ネットワーク自体は本質的に安全でも信頼できるものでもありません。あなたの おせっかいなホーム ISP, 空港ラウンジにいる旅行者 飛行機を待っている場所、または 広告主にリードを販売したいと考えているデータベンダー あなたをスパイしたいかもしれません。保護がなければ、悪意のある者がパスワード、クレジット カード残高、健康情報などの機密データを閲覧する可能性があります。
- Web サイトから送信されたとおりにページが表示されることを保証します: Web ページを表示すると、発行者とブラウザの間で改ざんされた可能性がありますか?検閲官は、あなたに見せたくないコンテンツを削除したいと考えるかもしれません。 「誤情報」とラベル付けされたコンテンツは、新型コロナウイルスのヒステリーの最中に広く抑圧されました。クレジット カードを盗んだハッカーは、不正請求の証拠を削除したいと考えている可能性があります。
- 表示されている Web サイトが実際にブラウザのロケーション バーにある Web サイトであることを保証します: 銀行に接続するとき、同じように見える偽のバージョンではなく、その銀行の Web サイトが表示されていることがどのようにしてわかりますか?ブラウザのロケーションバーを確認します。ブラウザが騙されて、本物と同じように見える偽の Web サイトが表示される可能性はありますか?ブラウザはどのようにして、正しいサイトに接続していることを確実に知ることができるのでしょうか?
インターネットの初期には、これらの保証は存在しませんでした。 2010年に、 アドオン ストアで入手可能なブラウザ プラグイン ユーザーがカフェのホットスポットで他の人の Facebook グループ チャットに参加できるようになりました。 PKI のおかげで、これらのことをかなり確信できるようになりました。
これらのセキュリティ機能は、以下に基づいたシステムで保護されています。 デジタル証明書。デジタル証明書は ID の一種であり、運転免許証のインターネット版です。ブラウザがサイトに接続すると、サイトはブラウザに証明書を提示します。証明書には暗号キーが含まれています。ブラウザと Web サイトは一連の暗号計算を使用して連携して、安全な通信を確立します。
ブラウザと Web サイトは連携して、次の 3 つのセキュリティ保証を提供します。
- プライバシー: 会話を暗号化します。
- 暗号化デジタル署名: それを確保するために コンテンツは飛行中に変更されません.
- 発行者の確認: PKI によって提供される信頼のチェーンを通じて、以下で詳しく説明します。
優れたアイデンティティは偽造が困難である必要があります。古代の世界では、 シールのワックス鋳造 この目的を果たしました。人間のアイデンティティは生体認証に依存してきました。あなたの顔は最も古い形態の 1 つです。非デジタルの世界では、アルコール飲料の注文など、年齢制限のある設定にアクセスする必要がある場合、写真付き身分証明書の提示が求められます。
デジタル時代以前のもう 1 つの生体認証は、新しいペンとインクの署名を ID の裏にある元の署名と照合することでした。これらの古いタイプの生体認証が偽造しやすくなるにつれて、人間の身元確認も適応してきました。現在では、銀行が携帯電話に認証コードを送信するのが一般的です。このアプリでは、顔認識や指紋などのコードを表示するには、携帯電話で生体認証の ID チェックに合格する必要があります。
生体認証に加えて、ID を信頼できるものにする 2 番目の要素は発行者です。広く受け入れられる ID は、ID を申請する人が本人であることを発行者が確認できるかどうかに依存します。広く受け入れられている ID 形式のほとんどは、陸運局などの政府機関によって発行されます。発行機関が、納税、雇用記録、水道事業サービスの利用など、対象者が誰でどこにいるかを追跡する信頼できる手段を持っている場合、その機関は、ID に記載されている人物が本人であることを確認できる可能性が高くなります。あの人。
オンラインの世界では、政府はほとんどの場合、本人確認に関与していません。証明書は、として知られる民間企業によって発行されます。 認証局 (CA)。証明書は以前は非常に高価でしたが、手数料は大幅に下がって、 いくつかは無料です。最もよく知られている CA は、Verisign、DigiCert、GoDaddy です。 ライアン・ハーストのショー 99 つの主要 CA (ISRG、DigiCert、Sectigo、Google、GoDaddy、Microsoft、IdenTrust) がすべての証明書の XNUMX% を発行します。
ブラウザは、証明書の名前フィールドがドメイン名と一致する場合にのみ、証明書を身元証明として受け入れます。ドメイン名はブラウザのロケーション バーに表示されます。たとえ名前が一致したとしても、証明書が「apple.com」はApple社として知られる家電事業に属していますか?いいえ。ID システムは完全に安全ではありません。未成年者の飲酒 偽のIDを入手できる。人間の ID と同様に、デジタル証明書も偽造される可能性や、他の理由で無効になる可能性があります。無料のオープンソース ツールを使用するソフトウェア エンジニアは、次のコマンドを使用して「apple.com」という名前のデジタル証明書を作成できます。 いくつかの Linux コマンド.
PKI システムは CA に依存して、Web サイトの所有者にのみ証明書を発行します。証明書を取得するワークフローは次のようになります。
- Web サイトの発行者は、ドメインの証明書を優先 CA に申請します。
- CA は、証明書要求がそのサイトの実際の所有者からのものであることを検証します。 CA はどのようにしてこれを確立するのでしょうか? CA は、リクエストを行うエンティティに対して、特定のコンテンツを特定の URL で公開することを要求します。これを実行できるということは、そのエンティティが Web サイトを制御していることを証明します。
- Web サイトがドメインの所有権を証明すると、CA は 暗号デジタル署名 独自の秘密暗号キーを使用して証明書に追加します。署名により、CA が発行者として識別されます。
- 署名された証明書は、リクエストを行った個人またはエンティティに送信されます。
- 発行者は証明書を Web サイトにインストールするため、ブラウザーに証明書が表示されることがあります。
暗号化デジタル署名 「デジタルメッセージまたは文書の信頼性を検証するための数学的スキーム」です。これらは、DocuSign や同様のベンダーが提供するオンライン文書署名と同じものではありません。署名が偽造された可能性がある場合、証明書は信頼できなくなります。偽造をより困難にする目的で、時間の経過とともに暗号キーのサイズが増加してきました。暗号研究者は、現在の署名を偽造することは事実上不可能であると考えています。もう 1 つの脆弱性は、CA の秘密鍵が盗まれた場合です。その後、窃盗者はその CA の有効な署名を生成する可能性があります。
証明書がインストールされると、Web 会話のセットアップ中に使用されます。 この 登録する 説明して それはどうなるか:
証明書が既知の良好な CA によって発行され、すべての詳細が正しい場合、そのサイトは信頼されており、ブラウザーは Web サイトとの安全な暗号化された接続を確立しようとするため、サイトでのアクティビティが表示されなくなります。ネットワーク上の盗聴者に。証明書が信頼されていない CA によって発行された場合、証明書が Web サイトのアドレスと一致しない場合、または一部の詳細が間違っている場合、ブラウザーは、ユーザーが希望する実際の Web サイトに接続していないという懸念から Web サイトを拒否します。 、なりすまし者と話している可能性があります。
ブラウザは Web サイトを信頼しているため、ブラウザを信頼できます。証明書が「既知の良好な」CA によって発行されたため、ブラウザは Web サイトを信頼します。しかし、「既知の良好な CA」とは何でしょうか?ほとんどのブラウザは、オペレーティング システムによって提供される CA に依存します。信頼できる CA のリストは、デバイスおよびソフトウェア ベンダーによって決定されます。主要なコンピュータおよびデバイス ベンダー (Microsoft、Apple、Android 携帯電話メーカー、オープン ソース Linux ディストリビュータ) は、一連のルート証明書を使用してオペレーティング システムをデバイスにプリロードします。
これらの証明書は、精査され、信頼できるとみなされた CA を識別します。このルート証明書のコレクションは「トラスト ストア」と呼ばれます。身近な例を挙げると、この記事の執筆に使用している Windows PC の信頼されたルート証明書ストアには 70 個のルート証明書があります。 Appleのサポートサイト MacOS の Sierra バージョンによって信頼されるすべてのルートをリストします。.
コンピューターや電話のベンダーはどの CA が信頼できるかをどのように判断するのでしょうか? CA の品質を評価するための監査およびコンプライアンス プログラムがあります。合格したもののみが含まれます。たとえば、次を参照してください。 Chromeブラウザ (デバイス上のトラスト ストアを使用するのではなく、独自のトラスト ストアを提供します)。 EFF (同社は自らを「デジタル世界で市民の自由を守る主要な非営利団体」と称しています。) 説明して:
ブラウザは「ルート プログラム」を動作させて、信頼する CA のセキュリティと信頼性を監視します。これらのルート プログラムは、「鍵素材をどのように保護する必要があるか」から「ドメイン名制御の検証をどのように実行する必要があるか」、「証明書の署名にどのようなアルゴリズムを使用する必要があるか」に至るまで、さまざまな要件を課します。
CA がベンダーに受け入れられた後、ベンダーは CA を監視し続けます。 CA が必要なセキュリティ標準を維持できない場合、ベンダーは CA をトラスト ストアから削除します。認証局は、他の理由で不正になったり失敗したりする可能性があり、実際にそうなります。 この 登録する レポート:
証明書とそれを発行する CA は必ずしも信頼できるとは限らず、ブラウザ メーカーは長年にわたり、発行主体または関連当事者が Web を傍受していることが判明した場合、トルコ、フランス、中国、カザフスタンなどに拠点を置く CA から CA ルート証明書を削除してきました。渋滞。
2022年、研究者のイアン・キャロル氏は報告した。 e-Tugra 認証局のセキュリティ上の懸念。キャロル氏は、認証情報が脆弱であるなど、「社内のセキュリティ慣行に関して懸念される多くの憂慮すべき問題を発見しました」。キャロル氏のレポートは、主要なソフトウェア ベンダーによって検証されました。その結果、e-Tugraは 信頼できる証明書ストアから削除されました.
この 認証局障害のタイムライン 他にもそのような事件について語ります。
現在存在する PKI には、既知の穴がまだいくつかあります。 eIDAS 第 45 条を理解する上で重要な問題が XNUMX つあるため、次に説明します。 CA の信頼は、その CA とビジネスを行う Web サイトに限定されません。ブラウザは、任意の Web サイトの信頼できる CA からの証明書を受け入れます。 CA が、サイトの所有者によって要求されていない Web サイトを悪意のある攻撃者に発行することを妨げるものは何もありません。このような証明書は、誰に発行されたかという理由から、法的な意味で詐欺になります。ただし、ブラウザーの観点からは、証明書の内容は技術的に有効です。
各 Web サイトを優先 CA に関連付ける方法があれば、他の CA からのそのサイトの証明書は直ちに不正であると認識されるでしょう。 証明書の固定 は、この方向に一歩前進したもう 1 つの標準です。しかし、その協会はどのように出版され、その出版社はどのように信頼されるのでしょうか?
このプロセスの各層で、技術的ソリューションは外部の信頼源に依存します。しかし、その信頼はどのようにして確立されるのでしょうか?より高いレベルのさらに信頼できる情報源に依存することでしょうか?この質問は、「カメ、ずっと下まで問題の本質。 PKI には、セキュリティ業界とその顧客の評判、可視性、透明性という重要な要素があります。信頼は、継続的な監視、オープンスタンダード、ソフトウェア開発者、CA を通じてこのレベルで構築されます。
不正な証明書が発行されました。 2013年にArsTechnicaが報じた。 GoogleになりすましたSSL証明書の鋳造をフランス当局が摘発:
2011 年…セキュリティ研究者 Google.com の偽の証明書を発見しました これにより、攻撃者は Web サイトのメール サービスやその他のサービスになりすますことができます。この偽造証明書は、攻撃者がオランダに拠点を置く DigiNotar のセキュリティを突破し、証明書発行システムを制御した後に発行されました。
Secure Sockets Layer (SSL) 資格情報は、有効な認証局によってデジタル署名されていました。実際、証明書は、ブラウザーの製造元と認証局サービスによって確立された規則に違反して発行された、不正な複製でした。
不正な証明書の発行が発生する可能性があります。不正な CA が発行することはできますが、それほど遠くまではいきません。不正な証明書が検出されます。不正な CA はコンプライアンス プログラムに失敗し、トラスト ストアから削除されます。受け入れられなければ、CA は廃業してしまいます。 証明書の透明性は、より新しい標準であり、不正な証明書をより迅速に検出できます。
なぜ CA は不正行為に走るのでしょうか?悪意のある人は、不正な証明書からどのような利益を得ることができますか?証明書だけでは、たとえ信頼できる CA によって署名されたとしても、それほど大きな効果はありません。しかし、悪者が ISP と協力したり、ブラウザが使用するネットワークにアクセスしたりすると、証明書によって悪者は PKI のセキュリティ保証をすべて破ることができます。
ハッカーは、 中間者攻撃 (MITM) 会話の中で。攻撃者はブラウザと実際の Web サイトの間に侵入する可能性があります。このシナリオでは、ユーザーは攻撃者と直接会話し、攻撃者はコンテンツを実際の Web サイトとの間で中継します。攻撃者は、不正な証明書をブラウザに提示します。信頼できる CA によって署名されているため、ブラウザはそれを受け入れます。攻撃者は、どちらかの当事者が送信した内容を、もう一方の側が受信する前に閲覧したり、変更したりする可能性があります。
ここで、EU の邪悪な eIDAS 第 45 条について説明します。この提案された規制では、すべてのブラウザが EU によって指定された CA からの証明書のバスケットを信頼することが求められます。正確には XNUMX で、各加盟国に XNUMX つです。これらの証明書は呼び出されます 認定された Web サイト認証証明書。 「QWAC」という頭字語には残念な同音異義語があります。 いんちき – あるいは、EC が私たちを荒らしているのかもしれません。
QWAC は政府機関、またはマイケル・レクテンワルドの言うところのいずれかによって発行されることになる。 政府機関:「企業や企業、その他の国家付属機関は、別名『民間』とも呼ばれるが、国家の言説や命令を強制するという点で、実際には国家機関として活動している。」
この計画により、EU加盟国政府は自国民に対して中間者攻撃を行える段階に一歩近づくことになる。また、ネットワークにアクセスする必要もあります。政府はそれを行う立場にあります。 ISP が国有企業として運営されている場合は、すでに ISP を所有しているでしょう。 ISP が民間企業の場合、ローカル 当局 警察の権限を利用してアクセスする可能性があります。
公の場での会話で強調されていない点の 27 つは、EU 加盟 XNUMX か国のいずれかのブラウザは、すべての QWAC をそれぞれ XNUMX つずつ受け入れる必要があるということです。 EU加盟国。これは、たとえばスペインのブラウザは、クロアチア、フィンランド、オーストリアの団体からの QWAC を信頼する必要があることを意味します。オーストリアの Web サイトにアクセスするスペイン語ユーザーは、インターネットのオーストリア部分を経由する必要があります。上記で提起された問題はすべて、EU 内のすべての国に当てはまります。
『The Register』というタイトルの記事 悪質な eIDAS: ヨーロッパは暗号化された HTTPS 接続を傍受し、スパイする準備ができています これが機能する可能性がある方法の 1 つを説明します。
[T]政府は、友好的な CA に [QWAC] 証明書のコピーを要求して、政府が Web サイトになりすますことができます。または、ブラウザーが信頼してサイトに対して受け入れる他の証明書を要求することもできます。したがって、政府は中間者攻撃を使用して、Web サイトとそのユーザーの間の暗号化された HTTPS トラフィックを傍受して復号することができ、政府はいつでも人々がそのサイトで何をしているかを正確に監視できるようになります。
暗号化のシールドを突破した監視には、ユーザーのパスワードを保存し、それを別の機会に使用して国民の電子メール アカウントにアクセスすることが含まれる可能性があります。監視に加えて、政府はコンテンツをインラインで変更する可能性があります。たとえば、検閲したい物語を削除することができます。彼らは煩わしいものを添付する可能性があります 乳母の州の事実確認 と コンテンツの警告 反対意見に対して。
現状では、CA はブラウザ コミュニティの信頼を維持する必要があります。現在、ブラウザーは、サイトで期限切れの証明書、または信頼できない証明書が表示されている場合にユーザーに警告を発します。第 45 条では、信頼濫用者の警告や排除は禁止される。ブラウザーは QWAC を信頼することが義務付けられているだけでなく、第 45 条では、ブラウザーが QWAC によって署名された証明書であるという警告を表示することを禁止しています。
eIDAS の最後のチャンス (Mozilla ロゴを表示する Web サイト) は第 45 条に反対しています。
EU 加盟国はいずれも、Web ブラウザで配布する暗号キーを指定することができ、ブラウザは政府の許可なしにこれらのキーの信頼を取り消すことを禁じられています。
…加盟国が認可する鍵とその使用方法に関して加盟国が下す決定には、独立したチェックやバランスは存在しません。法の支配の遵守を考えると、これは特に問題です。 均一ではない すべての加盟国にわたって、文書化された事例とともに 秘密警察による強制 政治的目的のため。
で 数百人のセキュリティ研究者とコンピュータ科学者が署名した公開書簡:
第 45 条では、暗号化された Web トラフィック接続を確立する際に規制で明示的に許可されていない限り、EU Web 証明書のセキュリティ チェックも禁止しています。ベースラインとして強制する必要がある一連の最小限のセキュリティ対策を指定する代わりに、ETSI の許可なしには改善できないセキュリティ対策の上限を事実上指定します。これは、テクノロジーの急速な発展に対応して新しいサイバーセキュリティテクノロジーが開発および導入されるという、確立された世界的規範に反しています。
私たちのほとんどは、信頼できる CA のリストを厳選するためにベンダーに依存しています。ただし、ユーザーは、自分のデバイス上で自由に証明書を追加または削除できます。 Microsoft Windows には、 これを行うためのツール。 Linux では、ルート証明書は単一のディレクトリにあるファイルです。ファイルを削除するだけで CA が信頼されなくなる可能性があります。これも禁止になるのでしょうか?著名な安全保障評論家スティーブ・ギブソン氏は、 コラムニスト、およびのホスト 長期にわたる Security Now ポッドキャスト 尋ねる:
しかし EU は、ブラウザはこれらの証明もテストもされていない新しい認証局と、その認証局が発行する証明書を、例外なく、また求償権なしに尊重する必要があると述べています。ということは、Firefox のインスタンスは、これらの証明書を削除しようとする試みを拒否する法的義務があるということですか?
ギブソン氏は、一部の企業が自社のプライベート ネットワーク内で従業員に対して同様の監視を実施していると指摘しています。こうした労働条件についてどう思うかはともかく、業界によっては、監査やコンプライアンスの正当な理由から、従業員が会社のリソースを使って何をしているのかを追跡、記録している場合もあります。しかし、ギブソンとしては、 続ける,
問題は、EU とその加盟国が民間組織の従業員とは大きく異なることです。従業員がスパイされたくないときはいつでも、自分のスマートフォンを使用して雇用主のネットワークを回避できます。そしてもちろん、雇用主のプライベート ネットワークはまさにプライベート ネットワークです。 EU は、逃げ場のない公共インターネット全体に対してこれを実行したいと考えています。
これで、この提案の急進的な性質が確立されました。 EC はこの変化を促すためにどのような理由を提示しているのかを問う時が来ました。 ECは、PKIに基づく本人確認は十分ではないとしている。そして、それを改善するにはこれらの変更が必要であるということです。
ECの主張に真実はあるのでしょうか?現在の PKI では、ほとんどの場合、Web サイトの制御を証明するための要求のみが必要です。それは確かなことではありますが、たとえば、Web プロパティ「apple.com」が、カリフォルニア州クパチーノに本社を置く Apple Inc として知られる家電会社によって所有されているという保証はありません。悪意のあるユーザーは、有名な企業の名前に似たドメインの有効な証明書を取得する可能性があります。一部のユーザーが名前が完全に一致していないことに十分に注意していないことに依存した攻撃に、有効な証明書が使用される可能性があります。これは起こった 決済プロセッサ Stripe.
自分たちが本当に同じ法人であることを世界に証明したいと考えているパブリッシャーに対して、一部の CA は次のようなサービスを提供しています。 拡張検証 (EV) 証明書。 「拡張」部分は、事業所の住所、勤務用電話番号、事業許可または法人設立、および継続企業に特有のその他の属性など、事業自体に対する追加の検証で構成されます。 EV は CA によるより多くの作業を必要とするため、より高い価格で出品されています。
ブラウザでは、異なる色やより頑丈な鍵のアイコンなど、EV の強調表示された視覚的なフィードバックが表示されていました。近年、EVは市場であまり人気がありません。彼らはほとんど絶滅してしまいました。多くのブラウザでは差分フィードバックが表示されなくなりました。
依然として存在する弱点にもかかわらず、PKI は時間の経過とともに著しく改善されました。欠陥が理解されるにつれて、それらは対処されてきました。暗号化アルゴリズムが強化され、ガバナンスが改善され、脆弱性がブロックされました。業界関係者の合意によるガバナンスは非常にうまく機能しています。このシステムは技術的にも制度的にも進化し続けます。規制当局による介入以外に、それ以外のことを期待する理由はありません。
私たちは、EV の精彩のない歴史から、市場が企業の本人確認をそれほど気にしていないことを学びました。ただし、インターネット ユーザーがそれを望んでいれば、それを提供するために既存の PKI を破る必要はありません。既存のワークフローにいくつかの小さな調整を加えるだけで十分です。一部のコメント投稿者は、 TLSハンドシェイク; Web サイトでは追加の証明書が 1 つ表示されます。プライマリ証明書は現在と同様に機能します。 QWAC によって署名された 2 番目の証明書は、EC が要求する追加の ID 標準を実装します。
EC が主張する eIDAS の理由はまったく信頼できません。与えられた理由が信じがたいだけでなく、ECは、人身売買、子供の安全、マネーロンダリングという重大な脅威に直面しているため、安全の名の下に重要な自由を犠牲にしなければならないといういつもの神聖な愚痴さえ気にしません。 、脱税、または(私の個人的なお気に入り) 気候変動。 EUが私たちにガスライティングを行っていることは否定できません。
EC が自分たちの真の動機を正直に語らないとしたら、彼らは何を求めているのでしょうか?ギブソンは見る 邪悪な意図:
そして、彼らが [ブラウザに QWAC を信頼するよう強制する] ことを望む考えられる理由は 1 つだけです。それは、企業内で行われているのとまったく同じように、インターネットの Web トラフィックをその場で傍受できるようにするためです。そしてそれは認められています。
(ギブソン氏が言う「ウェブトラフィック傍受」とは、上記の MITM 攻撃のことです。)他の論評では、言論の自由と政治的抗議に対する邪悪な影響が強調されています。ハースト 長いエッセイの中で 滑りやすい勾配の議論を行う:
自由民主主義がウェブ上のテクノロジーに対するこの種の管理を確立すると、その結果にもかかわらず、より権威主義的な政府が罰を受けずに追随する土壌が築かれます。
モジラ テックダートで引用 (オリジナルへのリンクなし) ほぼ同じことを言っています:
政府支援の認証局を自動的に信頼するようにブラウザに強制することは、権威主義政権が使用する重要な戦術であり、これらの主体は EU の行動の正当化効果によって勇気づけられるでしょう…
ギブソンも似たようなの作ってるよ 観察:
そして、これによって他にどのような扉が開かれるのかという非常に現実的な不安があります。もし EU が国民が使用する独立した Web ブラウザの信頼条件を首尾よく指示できることを世界の他の国々に示した場合、他の国々は同様の法律に従うことになるでしょう。 ?これからは、誰もが自分の国の証明書を追加することを要求するだけで済みます。これはまさに間違った方向に私たちを導いてしまいます。
この提案された第 45 条は、EU 諸国におけるユーザーのプライバシーに対する攻撃です。もしこれが採用されれば、インターネットセキュリティだけでなく、進化したガバナンスシステムにとっても大きな後退となるだろう。私はスティーブ・ギブソンの次の意見に同意します。
完全に不明瞭で、私がどこにも遭遇したことがないのは、EU が他の組織のソフトウェアの設計に影響を与えることができると考えている権限の説明です。それが結局のところそうなるからです。
提案された第 45 条に対する反応は非常に否定的でした。 EFF の 第 45 条により Web セキュリティは 12 年ロールバックされます 「これはインターネットを使用するすべての人のプライバシーにとって大惨事ですが、特に EU 内でインターネットを使用する人にとっては大惨事です。」と書いています。
eIDAS の取り組みは、セキュリティ コミュニティにとって 4 つの警報を発するものです。オープンソースの Firefox Web ブラウザのメーカーである Mozilla が、 業界共同声明 それに反対している。この声明には、Mozilla 自体、Cloudflare、Fastly、Linux Foundation を含むインターネット インフラストラクチャ企業のオールスター名簿が署名しています。
から 公開書簡 上記の通り:
最終版に近い文章を読んだ後、私たちは第 45 条の提案されている文章に深い懸念を抱いています。現在の提案は、暗号化された情報を傍受する技術的手段を政府に提供することにより、自国民と EU 全体の居住者の両方を監視する政府の能力を根本的に拡大します。ウェブトラフィックに影響を与えるだけでなく、欧州国民が依存している既存の監視メカニズムも弱体化させます。
これはどこへ行くのですか?この規制はかなり前から提案されていた。最終決定は 2023 年 XNUMX 月に予定されていました。それ以降、Web 検索ではこのトピックに関する新しい情報は見つかりませんでした。
ここ数年、あらゆる形態のあからさまな検閲が増加しています。コロナウイルスの狂気の最中に、政府と業界が協力して 検閲産業複合体 より効果的に誤った物語を宣伝し、反体制派を抑圧するためです。ここ数年、懐疑論者や独立系の声が反撃してきた。 法廷で、そして作成することによって 中立的な視点 プラットフォーム。
言論の検閲は引き続き大きな危険を伴いますが、作家やジャーナリストの権利は他の多くの権利よりもよく保護されています。米国では、 憲法修正第一条 言論の明確な保護と政府を批判する自由がある。裁判所は、非常に具体的な法文言によって保護されていない権利や自由は公正な競争であると考えるかもしれません。これが、レジスタンスが他の権力乱用を阻止する他の取り組みよりも言論面で大きな成功を収めた理由かもしれない。 検疫 そして人口ロックダウン。
政府は、十分に防御された敵ではなく、インターネット インフラストラクチャの他の層に攻撃を移しています。ドメイン登録、DNS、証明書、支払い処理業者、ホスティング、アプリ ストアなどのこれらのサービスは、主にプライベート マーケットプレイスのトランザクションで構成されています。これらのサービスは、ほとんどの場合、特定の企業から特定のサービスを購入する権利がないため、言論ほど保護されていません。また、DNS や PKI などの技術的なサービスは、Web パブリッシングほど一般の人々に理解されていません。
PKI システムは評判と合意に基づいて機能するため、特に攻撃に対して脆弱です。システム全体を支配する単一の権威は存在しません。プレーヤーは、透明性、コンプライアンス、失敗の正直な報告を通じて評判を獲得する必要があります。そのため、この種の破壊的な攻撃に対して脆弱になります。 EU PKI が規制当局の手に落ちたら、他の国々も追随すると思います。 PKI が危険にさらされているだけではありません。スタックの他の層が規制当局によって攻撃される可能性があることが証明されれば、それらも同様に標的となるでしょう。
の下で公開 Creative Commons Attribution4.0国際ライセンス
再版の場合は正規リンクをオリジナルに戻してください。 褐色砂岩研究所 記事と著者。