Попытки ЕС исправить Интернет могут обернуться кошмаром для конфиденциальности и безопасности
21 сентября 2023 г.Европейский Союз печально известен своей приверженностью регулированию Интернета, как в лучшую, так и в худшую сторону. GDPR был поддержан странами всего мира как план защиты граждан' цифровая конфиденциальность. С 25 августа Digital Закон о рынке и Закон о цифровых услугах ввели новые обязательства в отношении цифровых услуг. В то же время предложение по контролю чата вызывает много критики за его атака на шифрование во имя онлайн-безопасности.
Среди этих широко обсуждаемых законопроектов одно предложение, возможно, осталось незамеченным: пересмотр закона ЕС о цифровой идентификации (eIDAS). Процесс начался в октябре 2020 года и в настоящее время находится на стадии пробных переговоров, поскольку законодатели стремятся «исправить» веб-безопасность среди стран-членов. Однако эксперты предупреждают о непредвиденных последствиях, таких как усиление слежки, цензуры и ложной безопасности.
«Европейская комиссия ведет технологии безопасности по неправильному пути… шаг, который рискует создать небезопасное будущее для Интернета», — написал безопасный браузер поставщика Mozilla в недавнем отчет: Закон о непредвиденных последствиях. Итак, что же пытается изменить предлагаемая редакция и что поставлено на карту для пользователей в ЕС?
Статья 45.2 и навесные замки на веб-сайтах
Вы, вероятно, видели маленький замок, расположенный слева от URL-адреса веб-сайта в строке поиска браузера. Это указывает на то, что доступ к этому конкретному сайту защищен соединением HTTPS, то есть соединение между браузером и сервером, предоставляющим услугу, зашифровано. Сегодня 90% соединений осуществляются по протоколу HTTPS.
Однако замок безопасности появился только в 2019 году. До этого в строке URL отображалось так называемое сертификаты расширенной проверки (EV). Проблема здесь заключалась в том, что де-факто каждый мог выдать эти сертификаты и обмануть пользователей, заставив их думать, что веб-сайт безопасен, хотя это не так. Проблема, которая продолжает наказывать неосведомленных, которые полагают, что замок означает безопасное место, а не реальность: безопасное соединение.
Браузеры вообще перестали их отображать и вместо этого начали запускать программы корневого хранилища, чтобы самостоятельно решать, маркировать соединение как безопасное или нет. Все были счастливы, кроме центров сертификации — людей, которые продавали эти сертификаты.
Теперь законодатели ЕС настаивают на пересмотре статьи 45, чтобы вернуть сертификаты электромобилей. Новый закон затем введет обязательство отображать идентификационную информацию в браузере, одновременно требуя от ЕС вести собственный список центров сертификации (здесь он называется поставщиком доверенных услуг).
Удбхав Тивари, руководитель глобальной продуктовой политики Mozilla, рассказал TechRadar: «По сути, они хотят создать параллельную инфраструктуру, в которой вместо того, чтобы браузеры принимали решения, правительства ЕС решали, кто может, а кто не может выдавать сертификаты и какие сертификаты». должно быть отображено».
Этот шаг призван сделать Интернет более безопасным. Тем не менее, глобальные эксперты и представители гражданского общества предупреждают, что это может привести к совершенно противоположному результату, поскольку «установится потолок для сертификатов веб-сайтов, а не нижний предел или фундамент», сказал Тивари, и будут предоставлены новые широкие полномочия правительствам. «Это самая большая вещь, против которой мы выступаем», - добавил он.
Как подробно описала Mozilla в своем отчете, такое положение позволит правительствам ЕС, среди прочего, с легкостью проводить кампании массовой слежки и цензуры. Это также ослабит веб-безопасность, подорвав шифрование и создав у пользователей ложное чувство безопасности.
🛡️ То, что происходит в России со Сбербанком, служит предупреждением для регулирования ЕС eIDAS. Обходя проверки безопасности браузера, eIDAS может позволить государственным центрам сертификации осуществлять наблюдение. #securityriskahead #eidas28 апреля 2023 г.
Самое тревожное, что это создаст «опасный глобальный прецедент», сказал TechRadar Тасос Стампелос, глава отдела государственной политики ЕС в Mozilla. Он сказал: «Другие страны увидят Европу и затем смогут использовать это для реализации любых вредоносных целей».
Статья 45.2, похоже, также не учитывает динамический характер угроз безопасности. Как объяснил старший вице-президент по сильному Интернету в Internet Society Джозеф Лоренцо Холл, поставщики веб-браузеров будут «скованы наручниками» и лишены возможности от выполнения «того, что мы обычно делаем очень быстро, чтобы защитить пользователей Интернета».
Вот почему Кампания #SecurityRiskAhead призывает законодателей ЕС договориться об исключении кибербезопасности для браузеров. корневые хранилища, чтобы предоставить поставщикам свободу реагировать на проблемы. «Кибератаки происходят в считанные часы и могут длиться менее суток», — сказал Тивари. «Нам нужна способность действовать очень быстро».
Идентификатор кошелька
Однако проблемы с версиями eIDAS на этом не заканчиваются. Еще один спорный вопрос касается I Я крайне обеспокоен направлением переговоров по трилогу #eIDAS. Мы видим массированную атаку на основные принципы конфиденциальности в тексте, предложенном @EU_Commission и @eu2023es Президентством. Кошелек EU ID рискует стать кошмаром конфиденциальности, использовать который небезопасно!!!3 сентября 2023 г.
Кроме того, существуют вопросы консенсуса среди стран-членов ЕС как местных органов власти. Подходы к уникальным идентификационным номерам резко меняются в разных странах.
Например, в Германии в настоящее время неконституционно иметь единый номер, идентифицирующий человека во всех государственных органах. В то время как другие страны, известные своим более жестким контролем над населением, такие как Венгрия, приветствуют это предложение, поскольку оно может сделать граждан' отслеживать еще проще.
Тивари сказал: «Этот разговор очень продолжается.
Что дальше?
Как уже упоминалось, изменения в eIDAS в настоящее время находятся на стадии пробных переговоров между представителями Европейского парламента, Совета Европейского Союза и Европейской комиссии. Целью этого процесса является достижение предварительного соглашения, которое частично было достигнуто 29 июня, но не полностью удовлетворяет мнение экспертов. требует пока.
«Одна из самых больших проблем заключается в том, что принципы, согласованные еще в июне, не обязательно отражены в техническом тексте», — сказал нам Стампелос. «Мы считаем, что если формулировка неверна, то все, чего мы достигли в отношении освобождения от кибербезопасности, будет отменено».
Сейчас эксперты настаивают на внесении небольших, но важных изменений в последний текст (в частности, в декларативную часть 32 и параграф 2 статьи 45), чтобы устранить любые двусмысленности и гарантировать, что браузеры смогут в полной мере воспользоваться своим освобождением от кибербезопасности.
Что сейчас можно сказать наверняка, так это то, что существует сильное политическое давление с целью свернуть этот проект, который длится уже три года. Пока что Комиссия ЕС, похоже, прислушивается, по крайней мере частично, к мнению экспертов. обеспокоенность. Тем не менее, секретный характер продолжающихся переговоров может, тем не менее, привести к принятию опасного закона.
По этому поводу Стампелос сказал: «Здесь есть обе стороны. Мы говорим: «Оно слабое, сделайте его сильнее для нас», а они говорят: «Оно слабое, сделайте его сильнее для нас». Никто не знает, какая сторона в конечном итоге победит».
Оригинал