eIDAS ЕС: эксперты предупреждают, что VPN не защитят конфиденциальность европейцев, если закон будет принят
16 февраля 2024 г.Несколько месяцев назад мы уже сообщали, как Попытки ЕС исправить Интернет, как ожидается, обернутся кошмаром конфиденциальности и безопасности для граждан. Теперь эксперты сообщили TechRadar, что даже VPN-сервисы не смогут спасти нашу онлайн-анонимность, если закон будет принят в его нынешнем виде.
Известный как eIDAS 2.0, печально известное предлагаемое постановление представляет собой пересмотр предыдущего закона ЕС о цифровой идентификации. Этот процесс начался в 2020 году и вот-вот завершится. Закон направлен на две цели: изменение того, как веб-браузеры обеспечивают безопасность. и аутентификацию на веб-сайте при запуске приложения для идентификации (EU ID Wallet) для всех европейцев.
Поставщики безопасного браузера, например Mozilla, а также криптографы, ученые-компьютерщики и защитники конфиденциальности предупреждают о том, как эти предлагаемые положения ставят под угрозу безопасность и конфиденциальность граждан по всему блоку. В этой статье я сосредоточусь исключительно на вопросах аутентификации браузера.
Статья 45 об усилении онлайн-слежки
«Мы все в широком сообществе безопасности шокированы. Я не думаю, что Европейский парламент знал, что они делали», — сказал мне Гарри Хэлпин, генеральный директор и соучредитель Nym Technologies. «Это все очень опасные вещи, удивительно, что принято такое идиотское правило».
Хэлпин — ученый-компьютерщик с долгим опытом борьбы за лучшую конфиденциальность после того, как на собственном опыте испытал на себе воздействие агрессивного государственного надзора. В течение последних 15 лет он находился в списке наблюдения за свое прошлое участие в группах массовых активистов по борьбе с изменением климата. В ноябре прошлого года он запустил NymVPN для обеспечения большей анонимности в Интернете, чем существующие решения. Теперь его усилия могут оказаться устаревшими – по крайней мере, во всем ЕС.
Однако давайте сделаем шаг назад, чтобы понять, в чем на самом деле заключается проблема. Как упоминалось ранее, Европейская комиссия пытается изменить способ, которым веб-браузеры управляют аутентификацией веб-сайтов, причем Халпин назвал это «сумасшедшим подходом». Но как выглядит это изменение?
Вы, вероятно, видели маленький замок, расположенный слева от URL-адреса веб-сайта в строке поиска браузера (см. изображение выше). Это означает, что веб-сайт, к которому вы собираетесь получить доступ, защищен соединением HTTPS, то есть соединение между браузером и сервером, предоставляющим услугу, зашифровано.
Нажав на замок, вы можете прочитать информацию о том, кто выдал так называемый корневой сертификат, подтвердив безопасность соединения. Это организация, которая гарантирует, что веб-сайт является именно тем, чем он заявлен.
Что eIDAS хочет изменить, что вызывает множество опасений в отрасли, так это то, как обращаться с этими сертификатами. Как объяснила компьютерный инженер и профессор EPFL Кармела Тронкосо, закон даст государствам ЕС право выдавать такие доказательства доверия, которые веб-браузеры должны будут принимать как правдивые. Поставщикам браузеров также будет запрещено удалять эти сертификаты (как это происходит в настоящее время) даже в тех случаях, когда они заметят вредоносную деятельность, если только государство-член не разрешит это.
«[Закон] меняет баланс сил, перенося эти проверки безопасности на государства-члены. Мы считаем это чрезвычайно опасным», - сказал мне Тронкосо. «На карту поставлена безопасность всего Интернета, потому что речь идет не о безопасности двух страниц, а о безопасности всего».
Сокращение от виртуальная частная сеть, VPN – это программное обеспечение безопасности, которое подделывает ваш IP-адрес и шифрует интернет-соединения. Проще говоря, он шифрует все передаваемые данные, перенаправляя ваше соединение через один из своих международных серверов. Он широко используется для обхода географических ограничений в Интернете и повышения конфиденциальности при просмотре веб-страниц.
Это означает, что правительства смогут перехватывать весь наш интернет-трафик. «Режим наблюдения хуже, чем тот, что есть в Китае и России», — сказал Халпин. «Я не думаю, что кто-то в здравом уме примет это».
Возможно, еще хуже то, что он также утверждает, что даже самые приложение Secure VPN сможет предотвратить это.
Это потому, что правительство будет действовать как посредник между нашей машиной и веб-сайтом, «посреди нашей связи», как выразился Хэлпин.
«VPN находится на более низком уровне — он защищает сетевое соединение, но есть также веб-сайт или приложение, которые работают поверх сети», — сказал он. «Тогда не будет иметь большого значения, использую ли я VPN, потому что данное правительство может перехватывать трафик на уровне веб-браузера. Они могут на законных основаниях перехватывать весь трафик через ваш веб-браузер, даже если он зашифрован, и они этого не делают». Я не хочу, чтобы вы или даже Google знали об этом».
В то же время Халпин считает, что VPN все же может принести некоторые преимущества — теоретически. Например, вы можете подделать свой IP-адрес, притворившись, что находитесь не в Европе, и загрузить более конфиденциальный и безопасный браузер. «Это относительно безумие, но вполне может случиться», - сказал он.
Что дальше?
Хотя Европейская комиссия отвергла подобные опасения по поводу безопасности, на момент написания она согласилась лишь с предварительным текстом.
Вот почему команда норвежского браузера Opera настроена более оптимистично. Несмотря на то, что вице-президент по информационным технологиям и безопасности Кристиан Зубель согласился с мнением представителей отрасли в том, что в его нынешней форме закон не улучшит безопасность Интернета, он сказал мне: «Я искренне верю, что мы можем проснуться завтра и увидеть другую версию [закона». текст]."
Тем не менее, эксперты ожидают, что окончательное соглашение будет обнародовано к концу марта, поскольку парламент настаивает на закрытии всех открытых законодательных процессов перед предстоящими европейскими выборами, запланированными на июнь.
Несомненно то, что статья 45 пересмотренной редакции eIDAS не открывает путь только к усилению надзора. Риск того, что онлайн-цензура может усилиться, также высок, как и потенциальные кибератаки. «С точки зрения кибербезопасности Европа становится опасным местом для любых действий через Интернет», — сказал мне Халпин.
Однако стоит отметить, что законодатели, похоже, прислушались к крикам внутри отрасли — по крайней мере, частично. Фактически они не изменили само положение, а скорее добавили предварительное описание, которое должно прояснить неясности и предоставить поставщикам браузеров больше свободы в обеспечении веб-безопасности. Несмотря на то, что это хорошее начало, еще неизвестно, какую ценность это в конечном итоге будет иметь с юридической точки зрения.
Оригинал