EU Inataka Kupeleleza Matumizi ya Mtandao ya Wazungu

The Tume ya Ulaya ni chombo cha sheria cha Umoja wa Ulaya chenye mamlaka ya udhibiti wa teknolojia ya kidijitali. Kifungu cha 45 cha eIDAS cha EC, kanuni inayopendekezwa, itadhoofisha kwa makusudi maeneo ya usalama wa mtandao ambayo tasnia imebadilika kwa uangalifu na kuwa ngumu kwa zaidi ya miaka 25. Kifungu hiki kitazipa serikali 27 za Umoja wa Ulaya mamlaka zaidi ya upelelezi juu ya matumizi ya intaneti. 

Sheria hiyo itahitaji vivinjari vyote vya mtandao kuamini cheti cha ziada cha msingi kutoka kwa wakala (au huluki inayodhibitiwa) kutoka kwa kila serikali ya kitaifa ya kila moja ya nchi wanachama wa Umoja wa Ulaya. Kwa wasomaji wasio wa kiufundi, nitaelezea cheti cha msingi ni nini, jinsi uaminifu wa mtandao umebadilika, na Kifungu cha 45 kinafanya nini kwa hili. Na kisha nitaangazia baadhi ya maoni kutoka kwa jumuiya ya teknolojia kuhusu suala hili. 

Sehemu inayofuata ya kifungu hiki itaelezea jinsi miundombinu ya uaminifu ya mtandao inavyofanya kazi. Usuli huu ni muhimu ili kuelewa jinsi Ibara inayopendekezwa ilivyo kali. Ufafanuzi unakusudiwa kupatikana kwa msomaji asiye wa kiufundi.

Kanuni inayohusika inashughulikia usalama wa mtandao. Hapa, "mtandao" ina maana, kwa kiasi kikubwa, vivinjari vinavyotembelea tovuti. Usalama wa mtandao una vipengele vingi tofauti. Kifungu cha 45 kinakusudia kurekebisha miundombinu muhimu ya umma (PKI), sehemu ya usalama wa mtandao tangu katikati ya miaka ya 90. PKI imepitishwa mara ya kwanza, na kisha kuboreshwa kwa kipindi cha miaka 25, ili kuwapa watumiaji na wachapishaji uhakikisho ufuatao: 

• Faragha ya mazungumzo kati ya kivinjari na tovuti: Vivinjari na tovuti huzungumza kupitia mtandao, mtandao wa mitandao unaoendeshwa na Watoa Huduma wa Mtandaoni, na Watoa huduma wa daraja la 1; Au wabebaji wa seli ikiwa kifaa ni cha rununu. Mtandao wenyewe si salama wala wa kuaminika. Wako nosy nyumbani ISP, msafiri katika mapumziko ya uwanja wa ndege ambapo unasubiri ndege yako, au mchuuzi wa data anayetaka kuuza anaongoza kwa watangazaji anaweza kutaka kukupeleleza. Bila ulinzi wowote, muigizaji mbaya anaweza kutazama data ya siri kama vile nenosiri, salio la kadi ya mkopo au maelezo ya afya. 
• Thibitisha kuwa unatazama ukurasa kama vile tovuti ilikutumia: Unapotazama ukurasa wa wavuti, je, unaweza kuathiriwa kati ya mchapishaji na kivinjari chako? Kidhibiti kinaweza kutaka kuondoa maudhui ambayo hataki uone. Maudhui yaliyoitwa "habari potofu" yalikandamizwa sana wakati wa hofu ya covid. Mdukuzi ambaye alikuwa ameiba kadi yako ya mkopo anaweza kutaka kuondoa ushahidi wa mashtaka yake ya ulaghai. 
• Hakikisha kuwa tovuti unayoona ndiyo iliyo kwenye upau wa eneo wa kivinjari: Unapounganisha benki unajuaje kuwa unaona tovuti ya benki hiyo, sio toleo la uwongo linalofanana? Unaangalia upau wa eneo kwenye kivinjari chako. Je, kivinjari chako kinaweza kudanganywa kukuonyesha tovuti ghushi inayoonekana kufanana na ile halisi? Je, kivinjari chako kinajuaje - kwa hakika - kwamba kimeunganishwa kwenye tovuti sahihi? 

Katika siku za mwanzo za mtandao, hakuna uhakikisho wowote uliokuwepo. Mwaka 2010, programu-jalizi ya kivinjari inayopatikana kwenye duka la programu-jalizi imemwezesha mtumiaji kushiriki kwenye gumzo la kikundi cha Facebook la mtu mwingine kwenye hotspot ya mkahawa. Sasa - shukrani kwa PKI, unaweza kuwa na uhakika wa mambo haya. 

Vipengele hivi vya usalama vinalindwa kwa msingi wa mfumo vyeti vya digital. Vyeti vya kidijitali ni aina ya kitambulisho - toleo la mtandao la leseni ya udereva. Wakati kivinjari kinaunganisha kwenye tovuti, tovuti huwasilisha cheti kwa kivinjari. Cheti kina ufunguo wa kriptografia. Kivinjari na tovuti hufanya kazi pamoja na mfululizo wa hesabu za siri ili kuweka mawasiliano salama.

Kwa pamoja, kivinjari na tovuti hutoa dhamana tatu za usalama:

• faragha: kwa kusimba mazungumzo.
• saini za dijiti za kriptografia: kuhakikisha kuwa maudhui hayajarekebishwa kwa kukimbia. 
• uthibitishaji wa mchapishaji: kupitia mlolongo wa uaminifu uliotolewa na PKI, nitaelezea kwa undani zaidi hapa chini. 

Utambulisho mzuri unapaswa kuwa mgumu kughushi. Katika ulimwengu wa zamani, kutupwa kwa nta kwa muhuri ilitumikia kusudi hili. Vitambulisho vya wanadamu vimetegemea bayometriki. Uso wako ni moja ya fomu za zamani zaidi. Katika ulimwengu usio wa kidijitali, unapohitaji kufikia mipangilio ya vikwazo vya umri, kama vile kuagiza kinywaji chenye kileo, utaombwa kitambulisho cha picha.

Bayometriki nyingine ya kabla ya enzi ya dijitali ilikuwa kulinganisha sahihi yako mpya ya kalamu na wino dhidi ya sahihi yako asili nyuma ya kitambulisho chako. Kadiri aina hizi za zamani za bayometriki zinavyozidi kuwa rahisi kughushi, uthibitishaji wa utambulisho wa binadamu umebadilika. Sasa, ni kawaida kwa benki kukutumia nambari ya kuthibitisha kwenye simu yako ya mkononi. Programu inakuhitaji upitishe ukaguzi wa utambulisho wa kibayometriki kwenye simu yako ya mkononi ili kuona msimbo kama vile utambuzi wa uso au alama ya kidole chako. 

Mbali na kibayometriki, jambo la pili linalofanya kitambulisho kuaminika ni mtoaji. Vitambulisho ambavyo vinakubalika sana hutegemea uwezo wa mtoaji wa kuthibitisha kwamba mtu anayeomba kitambulisho ni yule wanayesema. Aina nyingi za kitambulisho zinazokubalika zaidi hutolewa na mashirika ya serikali, kama vile Idara ya Magari. Iwapo shirika linalotoa lina njia za kuaminika za kufuatilia ni nani na wapi masomo yake ni, kama vile malipo ya kodi, rekodi za ajira, au matumizi ya huduma za matumizi ya maji, basi kuna uwezekano mkubwa wakala huyo kuthibitisha kuwa mtu aliyetajwa kwenye kitambulisho mtu huyo.

Katika ulimwengu wa mtandaoni, serikali, kwa sehemu kubwa, hazijahusika katika uthibitishaji wa utambulisho. Vyeti hutolewa na makampuni ya sekta binafsi yanayojulikana kama mamlaka ya cheti (CAs). Ingawa vyeti vilitumika kuwa ghali sana, ada zimeshuka sana hadi kufikia mahali wengine wako huru. CA zinazojulikana zaidi ni Verisign, DigiCert na GoDaddy. Ryan Hurst inaonyesha CAs saba kuu (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft, na IdenTrust) hutoa 99% ya vyeti vyote.

Kivinjari kitakubali cheti kama uthibitisho wa utambulisho ikiwa tu sehemu ya jina kwenye cheti inalingana na jina la kikoa, ambalo kivinjari kinaonyesha kwenye upau wa eneo. Hata kama majina yanalingana, hiyo inathibitisha kwamba cheti kinasema "apple.com” ni mali ya biashara ya matumizi ya kielektroniki inayojulikana kama Apple, Inc.? Hapana. Mifumo ya utambulisho haiwezi kuzuia risasi. Wanywaji wa chini ya umri wanaweza kupata vitambulisho bandia. Kama vile vitambulisho vya binadamu, vyeti vya dijitali vinaweza pia kuwa ghushi, au batili kwa sababu nyinginezo. Mhandisi wa programu anayetumia zana huria huria anaweza kuunda cheti cha dijitali kiitwacho "apple.com" kwa kutumia amri chache za Linux. 

Mfumo wa PKI unategemea CAs kutoa cheti chochote kwa mmiliki wa tovuti pekee. Mtiririko wa kazi kupata cheti huenda kama hii:

1. Mchapishaji wa tovuti anatumika kwa CA anayopendelea kupata cheti, kwa kikoa. 
2. CA inathibitisha kwamba ombi la cheti linatoka kwa mmiliki halisi wa tovuti hiyo. Je, CA inaanzishaje hili? CA inadai kwamba huluki inayotuma ombi ichapishe kipande mahususi cha maudhui kwenye URL mahususi. Uwezo wa kufanya hivi unathibitisha kuwa huluki ina udhibiti wa tovuti.
3. Mara tu tovuti imethibitisha umiliki wa kikoa, CA inaambatanisha a saini ya dijiti ya kriptografia kwa cheti hutumia ufunguo wake wa siri wa siri. Sahihi inabainisha CA kama mtoaji. 
4. Cheti kilichotiwa saini huwasilishwa kwa mtu au taasisi inayofanya ombi. 
5. Mchapishaji husakinisha cheti chake kwenye tovuti yake, kwa hivyo kinaweza kuwasilishwa kwa vivinjari. 

Saini za dijiti za kriptografia ni "mpango wa hisabati wa kuthibitisha uhalisi wa ujumbe au hati za kidijitali." Si kitu sawa na utiaji saini wa hati mkondoni unaotolewa na DocuSign na wachuuzi sawa. Ikiwa saini inaweza kughushi, basi vyeti haviwezi kuaminika. Baada ya muda saizi ya funguo za kriptografia imeongezeka kwa lengo la kufanya ughushi kuwa mgumu zaidi. Watafiti wa cryptography wanaamini kuwa saini za sasa, kwa maneno ya vitendo, haziwezekani kughushi. Athari nyingine ni pale CA inapoibiwa funguo zake za siri. Mwizi basi angeweza kutoa saini halali za CA hiyo. 

Baada ya cheti kusakinishwa, basi hutumika wakati wa kusanidi mazungumzo ya wavuti. The Jiunge anaelezea jinsi hiyo inavyoendelea:

Ikiwa cheti kilitolewa na CA inayojulikana, na maelezo yote ni sahihi, basi tovuti inaaminika, na kivinjari kitajaribu kuanzisha muunganisho salama, uliosimbwa na tovuti ili shughuli yako na tovuti isionekane. kwa msikilizaji kwenye mtandao. Ikiwa cheti kilitolewa na CA isiyoaminika, au cheti hakilingani na anwani ya tovuti, au baadhi ya maelezo si sahihi, kivinjari kitakataa tovuti hiyo kwa wasiwasi kwamba haiunganishi kwenye tovuti halisi ambayo mtumiaji anataka. , na huenda anazungumza na mwigaji.

Tunaweza kuamini kivinjari kwa sababu kivinjari kinaamini tovuti. Kivinjari kinaamini tovuti kwa sababu cheti kilitolewa na "mtu anayejulikana" CA. Lakini ni nini "CA inayojulikana?" Vivinjari vingi hutegemea CA zinazotolewa na mfumo wa uendeshaji. Orodha ya CA za kuaminika huamuliwa na wachuuzi wa kifaa na programu. Wauzaji wakuu wa kompyuta na vifaa - Microsoft, Apple, watengenezaji simu za Android, na wasambazaji huria wa Linux - pakia mapema mfumo wa uendeshaji kwenye vifaa vyao kwa seti ya vyeti vya mizizi.

Vyeti hivi vinabainisha CAs walizohakiki na zinachukuliwa kuwa za kuaminika. Mkusanyiko huu wa vyeti vya mizizi huitwa "duka la uaminifu." Ili kuchukua mfano karibu nami, Kompyuta ya Windows ninayotumia kuandika kipande hiki ina vyeti 70 vya mizizi kwenye Duka lake la Cheti cha Kuaminika cha Mizizi. Tovuti ya usaidizi ya Apple huorodhesha mizizi yote inayoaminika na toleo la Sierra la MacOS. 

Je, wachuuzi wa kompyuta na simu huamua vipi ni CA zinazoaminika? Wana programu za ukaguzi na kufuata ili kutathmini ubora wa CA. Ni wale tu wanaopita wamejumuishwa. Angalia kwa mfano, kivinjari cha Chrome (ambayo hutoa hifadhi yake ya uaminifu badala ya kutumia iliyo kwenye kifaa). EFF (ambayo inajieleza kama "shirika kuu lisilo la faida linalotetea uhuru wa raia katika ulimwengu wa kidijitali") anaelezea:

Vivinjari huendesha "programu za mizizi" ili kufuatilia usalama na uaminifu wa CA wanazoziamini. Programu hizo za mizizi huweka mahitaji kadhaa kutoka kwa "jinsi gani nyenzo muhimu inapaswa kulindwa" hadi "jinsi lazima uthibitishaji wa udhibiti wa jina la kikoa ufanyike" hadi "algorithms gani lazima itumike kutia sahihi cheti."

Baada ya CA kukubaliwa na muuzaji, muuzaji anaendelea kuifuatilia. Wachuuzi wataondoa CA kwenye duka la uaminifu iwapo CA itashindwa kushikilia viwango muhimu vya usalama. Mamlaka ya cheti inaweza, na kufanya, kufanya uhuni, au kushindwa kwa sababu zingine. The Jiunge taarifa:

Vyeti na CA zinazozitoa si za kuaminika kila wakati na watengenezaji wa vivinjari kwa miaka mingi wameondoa vyeti vya mizizi ya CA kutoka kwa CAs zilizoko Uturuki, Ufaransa, Uchina, Kazakhstan na kwingineko wakati huluki inayotoa au mshirika anayehusishwa ilipatikana kuwa inaingilia wavuti. trafiki. 

Mnamo 2022, mtafiti Ian Carroll aliripoti Maswala ya usalama na mamlaka ya cheti cha e-Tugra. Carroll "alipata masuala kadhaa ya kutisha ambayo yananitia wasiwasi kuhusu mbinu za usalama ndani ya kampuni yao," kama vile sifa dhaifu. Ripoti za Carroll zilithibitishwa na wachuuzi wakuu wa programu. Kama matokeo, e-Tugra ilikuwa kuondolewa kwenye maduka yao ya cheti wanaoaminika. 

The Muda wa Kushindwa kwa Mamlaka ya Cheti inasimulia matukio mengine kama hayo. 

Bado kuna shimo zinazojulikana katika PKI kama ilivyo sasa. Kwa sababu suala moja mahususi ni muhimu kwa uelewaji wa Kifungu cha 45 cha eIDAS, nitaeleza hilo baadaye. Imani ya CA haipatikani kwa tovuti hizo zinazofanya biashara zao na CA hiyo. Kivinjari kitakubali cheti kutoka kwa CA yoyote inayoaminika kwa tovuti yoyote. Hakuna chochote kinachozuia CA kutoa tovuti kwa mwigizaji mbaya ambayo haikuombwa na mmiliki wa tovuti. Hati kama hiyo itakuwa ya ulaghai kwa maana ya kisheria kwa sababu ya nani ilitolewa. Lakini yaliyomo kwenye cheti yatakuwa halali kitaalam kutoka kwa mtazamo wa kivinjari. 

Iwapo kulikuwa na njia ya kuhusisha kila tovuti na CA inayopendelewa, basi cheti chochote cha tovuti hiyo kutoka kwa CA nyingine yoyote kingetambuliwa mara moja kuwa ya ulaghai. Ubandikaji wa cheti ni kiwango kingine ambacho kinachukua hatua katika mwelekeo huu. Lakini ushirika huo ungechapishwaje na mchapishaji huyo angeaminiwaje? 

Katika kila safu ya mchakato huu, suluhisho la kiufundi linategemea chanzo cha nje cha uaminifu. Lakini uaminifu huo umewekwaje? Kwa kutegemea chanzo kinachoaminika zaidi kwenye ndege inayofuata ya juu? Swali hili linaonyesha "kasa, chini kabisa” asili ya tatizo. PKI ina kobe chini: sifa, mwonekano, na uwazi wa sekta ya usalama na wateja wake. Uaminifu hujengwa katika kiwango hiki kupitia ufuatiliaji wa mara kwa mara, viwango vya wazi, wasanidi programu, na CA. 

Vyeti vya udanganyifu vimetolewa. Mnamo 2013, ArsTechnica iliripoti Wakala wa Ufaransa walinasa wakitengeneza vyeti vya SSL wakiiga Google:

Mnamo 2011…watafiti wa usalama nimeona cheti ghushi cha Google.com ambayo iliwapa washambuliaji uwezo wa kuiga huduma ya barua pepe ya tovuti na matoleo mengine. Cheti ghushi kilitengenezwa baada ya wavamizi kutoboa usalama wa DigiNotar yenye makao yake Uholanzi na kupata udhibiti wa mifumo yake ya utoaji cheti.

Vitambulisho vya safu ya soketi salama (SSL) vilitiwa saini kidijitali na mamlaka halali ya cheti...Kwa hakika, vyeti vilikuwa nakala zisizoidhinishwa ambazo zilitolewa kwa ukiukaji wa sheria zilizowekwa na watengenezaji wa vivinjari na huduma za mamlaka ya cheti.

Utoaji wa cheti cha ulaghai unaweza kutokea. CA mbovu inaweza kutoa moja, lakini hawatafika mbali. Cheti kibaya kitatambuliwa. CA mbovu itafeli programu za kufuata na kuondolewa kwenye maduka ya uaminifu. Bila kukubalika, CA itaacha kufanya kazi. Uwazi wa Cheti, kiwango cha hivi majuzi zaidi, huwezesha ugunduzi wa haraka zaidi wa vyeti vya ulaghai. 

Kwa nini CA iende tapeli? Je, mtu mbaya anaweza kupata faida gani kutoka kwa cheti kisichoidhinishwa? Na cheti pekee, sio sana, hata wakati umetiwa saini na CA inayoaminika. Lakini ikiwa mtu mbaya anaweza kuungana na ISP, au vinginevyo kufikia mtandao unaotumiwa na kivinjari, cheti humpa mwigizaji mbaya uwezo wa kuvunja dhamana zote za usalama za PKI. 

Mdukuzi anaweza kuweka a shambulio la mtu wa kati (MITM) kwenye mazungumzo. Mshambulizi anaweza kujiingiza kati ya kivinjari na tovuti halisi. Katika hali hii, mtumiaji atakuwa anazungumza moja kwa moja na mshambulizi, na mvamizi angetuma yaliyomo nyuma na mbele na tovuti halisi. Mshambulizi angewasilisha cheti cha ulaghai kwa kivinjari. Kwa sababu ilitiwa saini na CA inayoaminika, kivinjari kingeikubali. Mshambulizi anaweza kutazama na hata kurekebisha kile ambacho upande wowote ulituma kabla ya upande mwingine kukipokea.

Sasa tunakuja kwenye eIDAS mbaya ya EU, Kifungu cha 45. Udhibiti huu unaopendekezwa unahitaji vivinjari vyote kuamini kapu la vyeti kutoka kwa CA zilizoteuliwa na EU. Ishirini na saba kuwa sahihi: moja kwa kila taifa mwanachama. Vyeti hivi vitaitwa Vyeti Vilivyohitimu vya Uthibitishaji wa Tovuti. Kifupi "QWAC" ina homofoni ya bahati mbaya Quackery - au labda EC inatukanyaga.

QWACs zingetolewa ama na mashirika ya serikali, au kile ambacho Michael Rectenwald anaita serikali: "mashirika na makampuni na washirika wengine wa serikali ambao huitwa kwa njia nyingine 'binafsi,' lakini wanafanya kazi kama vyombo vya serikali, kwa kuwa wanatekeleza masimulizi na maagizo ya serikali." 

Mpango huu ungeleta serikali wanachama wa EU hatua moja karibu na mahali ambapo wanaweza kushambulia raia wao wa kati. Pia wangehitaji kufikia mitandao. Serikali ziko katika nafasi ya kufanya hivyo. Ikiwa ISP inaendeshwa kama biashara inayomilikiwa na serikali, basi watakuwa nayo tayari. Ikiwa ISPs ni makampuni ya kibinafsi, basi ya ndani mamlaka inaweza kutumia mamlaka ya polisi kupata ufikiaji. 

Jambo moja ambalo halijasisitizwa katika mazungumzo ya hadhara ni kwamba kivinjari katika mataifa 27 wanachama wa Umoja wa Ulaya kitahitajika kukubali kila QWAC moja, moja kutoka kila moja. Mwanachama wa EU. Hii inamaanisha kuwa kivinjari katika, kwa mfano, Uhispania, kitalazimika kuamini QWAC kutoka kwa mashirika nchini Kroatia, Ufini na Austria. Mtumiaji wa Uhispania anayetembelea tovuti ya Austria atalazimika kupita sehemu za mtandao za Austria. Masuala yaliyotolewa hapo juu yote yatatumika katika nchi zote ndani ya Umoja wa Ulaya. 

Daftari, katika kipande chenye kichwa EIDAS mbaya: Ulaya iko tayari kukatiza, kupeleleza miunganisho yako ya HTTPS iliyosimbwa kwa njia fiche inaelezea njia moja ambayo hii inaweza kufanya kazi:

[T] serikali inaweza kuuliza CA yake rafiki kwa nakala ya cheti cha [QWAC] ili serikali iweze kuiga tovuti - au iombe baadhi ya vivinjari vingine vya cheti vitaamini na kukubali kwa tovuti. Kwa hivyo, kwa kutumia shambulio la mtu katikati, serikali hiyo inaweza kuzuia na kusimbua trafiki iliyosimbwa ya HTTPS kati ya tovuti na watumiaji wake, na kuruhusu serikali kufuatilia kile hasa ambacho watu wanafanya na tovuti hiyo wakati wowote.

Baada ya kupenya ngao ya usimbaji fiche, ufuatiliaji unaweza kujumuisha kuhifadhi manenosiri ya watumiaji, na kisha kuyatumia wakati mwingine kufikia akaunti za barua pepe za raia. Kando na ufuatiliaji, serikali zinaweza kurekebisha yaliyomo ndani ya mtandao. Kwa mfano, wanaweza kuondoa masimulizi wanayotaka kuhakiki. Wanaweza ambatanisha annoying ukaguzi wa ukweli wa hali ya nanny na maonyo ya maudhui kwa maoni yanayopingana.

Jinsi mambo yalivyo kwa sasa, lazima CAs zidumishe uaminifu wa jumuiya ya kivinjari. Vivinjari kwa sasa vinamwonya mtumiaji iwapo tovuti itawasilisha cheti ambacho muda wake umeisha au ambacho hakiaminiki. Chini ya Kifungu cha 45, maonyo au kuondolewa kwa watumizi wanaotumia imani vibaya kutakatazwa. Sio tu kwamba vivinjari vimepewa mamlaka ya kuamini QWAC, lakini Kifungu cha 45 kinakataza vivinjari kuonyesha onyo kwamba cheti kilichotiwa saini na QWAC. 

Nafasi ya Mwisho ya eIDAS (tovuti inayoonyesha nembo ya Mozilla) inatetea dhidi ya Kifungu cha 45: 

Nchi yoyote mwanachama wa Umoja wa Ulaya ina uwezo wa kuteua funguo za kriptografia ili zisambazwe katika vivinjari vya wavuti na vivinjari haviruhusiwi kubatilisha uaminifu katika funguo hizi bila kibali cha serikali. 

…Hakuna cheki huru au usawa katika maamuzi yanayofanywa na nchi wanachama kuhusiana na funguo wanazoidhinisha na matumizi wanayoziweka. Hili linatia wasiwasi hasa ikizingatiwa kwamba kuna ufuasi wa sheria haikuwa sare katika nchi zote wanachama, na matukio ya kumbukumbu ya kulazimishwa na polisi wa siri kwa malengo ya kisiasa.

Katika barua ya wazi iliyosainiwa na watafiti mia kadhaa wa usalama na wanasayansi wa kompyuta:

Kifungu cha 45 pia kinapiga marufuku ukaguzi wa usalama kwenye vyeti vya wavuti vya Umoja wa Ulaya isipokuwa kama inaruhusiwa waziwazi na kanuni wakati wa kuanzisha miunganisho ya trafiki iliyosimbwa kwa njia fiche. Badala ya kubainisha seti ya hatua za chini zaidi za usalama ambazo ni lazima zitekelezwe kama msingi, inabainisha kwa ufasaha kiwango cha juu cha hatua za usalama ambacho hakiwezi kuboreshwa bila idhini ya ETSI. Hii inapingana na kanuni zilizowekwa vizuri za kimataifa ambapo teknolojia mpya za usalama wa mtandao zinatengenezwa na kupelekwa kwa kukabiliana na maendeleo ya kasi ya teknolojia. 

Wengi wetu hutegemea wachuuzi wetu kuratibu orodha ya CA zinazoaminika. Hata hivyo, kama mtumiaji, unaweza kuongeza au kuondoa vyeti upendavyo kwenye vifaa vyako. Microsoft Windows ina a chombo cha kufanya hivi. Kwenye Linux, cheti cha mizizi ni faili zilizo kwenye saraka moja. CA inaweza kuwa haiaminiki kwa kufuta faili tu. Je, hili nalo litakatazwa? Steve Gibson, mchambuzi wa masuala ya usalama, mwandishi, na mwenyeji wa podcast ya Usalama Sasa ya muda mrefu anauliza:

Lakini EU inasema kwamba vivinjari vitahitajika kuheshimu mamlaka hizi mpya za cheti, ambazo hazijathibitishwa na ambazo hazijajaribiwa na hivyo vyeti vyovyote watakavyotoa, bila ubaguzi na bila kutegemea. Je, hiyo inamaanisha kuwa mfano wangu wa Firefox utalazimika kukataa jaribio langu la kuondoa vyeti hivyo?

Gibson anabainisha kuwa mashirika mengine hutekeleza ufuatiliaji sawa wa wafanyikazi wao ndani ya mtandao wao wa kibinafsi. Bila kujali maoni yako kuhusu hali hizo za kazi, baadhi ya viwanda vina sababu halali za ukaguzi na kufuata ili kufuatilia na kurekodi kile wafanyakazi wao wanafanya na rasilimali za kampuni. Lakini, kama Gibson kuendelea,

Shida ni kwamba EU na mataifa wanachama wake ni tofauti sana na wafanyikazi wa shirika la kibinafsi. Wakati wowote mfanyakazi hataki kuchunguzwa, anaweza kutumia simu yake mahiri ili kukwepa mtandao wa mwajiri wao. Na bila shaka mtandao wa kibinafsi wa mwajiri ni huo tu, mtandao wa kibinafsi. EU inataka kufanya hivi kwa mtandao mzima wa umma ambao haungeepuka.

Sasa tumeanzisha asili kali ya pendekezo hili. Ni wakati wa kuuliza, ni sababu gani EC inatoa kuhamasisha mabadiliko haya? EC inasema kuwa uthibitishaji wa kitambulisho chini ya PKI hautoshi. Na kwamba mabadiliko haya yanahitajika ili kuiboresha. 

Je, kuna ukweli wowote kwa madai ya EC? PKI ya sasa katika hali nyingi inahitaji tu ombi la kudhibitisha udhibiti wa tovuti. Ingawa hilo ni jambo, haihakikishi, kwa mfano, kwamba mali ya wavuti "apple.com" inamilikiwa na kampuni ya vifaa vya kielektroniki inayojulikana kama Apple Inc, yenye makao yake makuu Cupertino, California. Mtumiaji hasidi anaweza kupata cheti halali cha jina la kikoa sawa na la biashara inayojulikana. Cheti halali kinaweza kutumika katika shambulio ambalo lilitegemea baadhi ya watumiaji kutoangalia sana vya kutosha kutambua kwamba jina halilingani kabisa. Hii ilitokea kwa malipo processor Stripe.

Kwa wachapishaji ambao wangependa kuuthibitishia ulimwengu kwamba wao ni shirika lile lile, baadhi ya CAs wametoa Vyeti Vilivyorefushwa vya Uthibitishaji (EV).. Sehemu "iliyopanuliwa" inajumuisha uthibitishaji wa ziada dhidi ya biashara yenyewe, kama vile anwani ya biashara, nambari ya simu inayofanya kazi, leseni ya biashara au kampuni, na sifa zingine za kawaida za shughuli inayoendelea. EV zimeorodheshwa kwa bei ya juu kwa sababu zinahitaji kazi zaidi na CA. 

Vivinjari vilivyotumika kuonyesha maoni yaliyoangaziwa ya EV, kama vile rangi tofauti au ikoni thabiti ya kufuli. Katika miaka ya hivi karibuni, EVs hazijakuwa maarufu sana sokoni. Wengi wao wamekufa. Vivinjari vingi havionyeshi tena maoni tofauti. 

Licha ya udhaifu ambao bado upo, PKI imeimarika sana baada ya muda. Kadiri dosari zilivyoeleweka, zimeshughulikiwa. Algorithms ya kriptografia imeimarishwa, utawala umeboreshwa, na udhaifu umezuiwa. Utawala kwa makubaliano ya wachezaji wa tasnia umefanya kazi vizuri. Mfumo utaendelea kubadilika, kiteknolojia na kitaasisi. Zaidi ya kuingilia kati na wadhibiti, hakuna sababu ya kutarajia vinginevyo.

Tumejifunza kutokana na historia duni ya EVs kwamba soko halijali sana uthibitishaji wa utambulisho wa shirika. Walakini, ikiwa watumiaji wa mtandao walitaka hiyo, haingehitaji kuvunja PKI iliyopo ili kuwapa. Baadhi ya marekebisho madogo kwa mtiririko wa kazi uliopo yatatosha. Baadhi ya watoa maoni wamependekeza kurekebisha TLS kupeana mkono; tovuti ingewasilisha cheti kimoja cha ziada. Cheti cha msingi kingefanya kazi kama inavyofanya sasa. Cheti cha pili, kilichotiwa saini na QWAC, kitatekeleza viwango vya ziada vya utambulisho ambavyo EC inasema inataka.

Sababu zinazodaiwa na EC za eIDAS si za kuaminika. Sio tu kwamba sababu zilizotolewa hazikubaliki, EC haijisumbui hata na manung'uniko ya kawaida ya utakatifu kuhusu jinsi tunapaswa kutoa uhuru muhimu kwa jina la usalama kwa sababu tunakabiliwa na tishio kubwa la [chagua moja] biashara ya binadamu, usalama wa watoto, utakatishaji fedha. , ukwepaji kodi, au (kipenzi changu cha kibinafsi) mabadiliko ya tabia nchi. Hakuna kukataa kwamba EU inatuangazia gesi.

Ikiwa EC sio waaminifu kuhusu nia zao za kweli, basi wanafuata nini? Gibson anaona nia mbaya:

Na kuna sababu moja tu inayowezekana kwao kutaka [kulazimisha vivinjari kuamini QWACs], ambayo ni kuruhusu utekaji nyara wa trafiki ya mtandao wa mtandaoni, haswa kama inavyofanyika ndani ya mashirika. Na hiyo inakubaliwa. 

(Anachomaanisha Gibson kwa "kuzuia trafiki kwenye wavuti" ni shambulio la MITM lililofafanuliwa hapo juu.)Ufafanuzi mwingine umeangazia athari mbaya za uhuru wa kujieleza na maandamano ya kisiasa. Hurst katika insha ya muda mrefu hufanya hoja ya mteremko utelezi:

Wakati demokrasia huria inapoanzisha aina hii ya udhibiti wa teknolojia kwenye wavuti, licha ya matokeo yake, inaweka msingi kwa serikali nyingi za kimabavu kufuata mkondo huo bila kuadhibiwa.

Mozilla alinukuliwa katika techdirt (bila kiunga cha asili) inasema zaidi au chini sawa:

[F]kulazimisha vivinjari kuamini kiotomatiki mamlaka za cheti zinazoungwa mkono na serikali ni mbinu kuu inayotumiwa na serikali za kimabavu, na wahusika hawa wangetiwa moyo na athari ya uhalali wa vitendo vya Umoja wa Ulaya...

Gibson hufanya sawa uchunguzi:

Na kisha kuna mtazamo halisi wa milango mingine ambayo hii itafungua: Ikiwa EU itaonyesha ulimwengu wote kwamba inaweza kuamuru kwa mafanikio masharti ya uaminifu kwa vivinjari huru vya wavuti vinavyotumiwa na raia wake, nchi zingine zitafuata nini na sheria zinazofanana. ? Sasa kila mtu anaweza kuhitaji tu kwamba vyeti vya nchi yake waongezwe. Hii inatupeleka katika mwelekeo mbaya kabisa.

Kifungu hiki cha 45 kilichopendekezwa ni shambulio dhidi ya faragha ya watumiaji katika mataifa ya EU. Ikipitishwa, itakuwa ni kikwazo kikubwa si tu katika usalama wa mtandao, lakini katika mfumo wa utawala ulioboreshwa. Nakubaliana na Steve Gibson kwamba:

Ni nini haijulikani kabisa, na kile ambacho sijakutana nacho popote, ni maelezo ya mamlaka ambayo EU inafikiria inaweza kuamuru muundo wa programu za shirika lingine. Kwa sababu hiyo ndiyo inakuja chini.

Majibu kwa Kifungu cha 45 kilichopendekezwa yamekuwa hasi kwa kiasi kikubwa. EFF katika Kifungu cha 45 Kitarejesha Usalama wa Wavuti kwa Miaka 12 anaandika, "Hili ni janga kwa faragha ya kila mtu anayetumia mtandao, lakini hasa kwa wale wanaotumia mtandao katika Umoja wa Ulaya." 

Juhudi za eIDAS ni moto wa kengele nne kwa jumuiya ya usalama. Mozilla - watengenezaji wa chanzo huria cha kivinjari cha wavuti cha Firefox - ilichapisha Taarifa ya Pamoja ya Viwanda kupinga hilo. Taarifa hiyo imetiwa saini na orodha ya nyota zote za makampuni ya miundombinu ya mtandao ikiwa ni pamoja na Mozilla yenyewe, Cloudflare, Fastly, na Linux Foundation. 

Kutoka kwa wazi barua zilizotajwa hapo juu: 

Baada ya kusoma maandishi ya mwisho, tunatiwa wasiwasi sana na maandishi yaliyopendekezwa ya Kifungu cha 45. Pendekezo la sasa linapanua kwa kiasi kikubwa uwezo wa serikali wa kuwachunguza raia wao wenyewe na wakaazi kote katika Umoja wa Ulaya kwa kuwapa mbinu za kiufundi za kukatiza kwa njia fiche. trafiki ya wavuti, pamoja na kudhoofisha mifumo iliyopo ya uangalizi inayotegemewa na raia wa Uropa. 

Hii inaenda wapi? Udhibiti huo umependekezwa kwa muda. Uamuzi wa mwisho uliratibiwa kufanyika Novemba 2023. Utafutaji kwenye wavuti hauonyeshi taarifa mpya kuhusu mada hii tangu wakati huo. 

Katika miaka hii michache iliyopita, udhibiti wa moja kwa moja katika aina zake zote umeongezeka. Wakati wa kifafa cha covid, serikali na tasnia zilishirikiana kuunda a udhibiti-kiwanda tata ili kukuza masimulizi ya uwongo kwa ufanisi zaidi na kuwakandamiza wapinzani. Katika miaka hii michache iliyopita, wakosoaji na sauti huru zimepigana, katika mahakama, na kwa kuunda mtazamo-upande wowote majukwaa. 

Wakati udhibiti wa hotuba ukiendelea kuwa hatari kubwa, haki za waandishi na waandishi wa habari zinalindwa vyema kuliko haki nyingine nyingi. Nchini Marekani, Marekebisho ya kwanza ina ulinzi wa wazi wa hotuba na uhuru wa kuikosoa serikali. Mahakama inaweza kuwa na maoni kwamba haki au uhuru wowote usiolindwa na lugha mahususi ya kisheria ni mchezo wa haki. Hii inaweza kuwa sababu kwamba upinzani umekuwa na mafanikio zaidi kwenye hotuba kuliko juhudi zingine za kukomesha matumizi mabaya mengine ya madaraka kama vile karibi na kufuli kwa idadi ya watu. 

Badala ya kuwa adui anayelindwa vyema, serikali zinahamishia mashambulizi yao kwa tabaka zingine za miundombinu ya mtandao. Huduma hizi, kama vile usajili wa kikoa, DNS, vyeti, vichakataji malipo, upangishaji na maduka ya programu, hujumuisha kwa kiasi kikubwa miamala ya soko la kibinafsi. Huduma hizi hazilindwa vizuri kuliko hotuba kwa sababu, kwa sehemu kubwa, hakuna haki kwa mtu yeyote kununua huduma maalum kutoka kwa biashara fulani. Na huduma nyingi za kiufundi kama vile DNS na PKI hazieleweki vyema na umma kuliko uchapishaji wa wavuti.

Mfumo wa PKI huathirika hasa kwa sababu unafanya kazi kwa sifa na makubaliano. Hakuna mamlaka moja inayotawala mfumo mzima. Wachezaji lazima wajipatie sifa kupitia uwazi, utiifu na kuripoti kwa uaminifu kuhusu kushindwa. Na hiyo inafanya kuwa katika hatari ya aina hii ya shambulio la usumbufu. Ikiwa EU PKI itaangukia kwa wadhibiti, ninatarajia nchi zingine kufuata. Sio tu kwamba PKI iko hatarini. Mara tu itakapothibitishwa kuwa safu zingine za safu zinaweza kushambuliwa na vidhibiti, zitalengwa pia.