研究人員和非政府組織違反歐洲法律，該法律將允許“監視任何歐洲公民的互聯網流量”

當心嚴重的後果隱私歐洲公民»。在公開信11月2日（星期四）出版了335個網絡安全和加密專家，以及來自大約30個國家的非政府組織未來的修訂歐洲法規打電話Eidas（“電子識別和信託服務”）。在獨特的聲明，其他10個組織”誰建立和保護互聯網”，幾個小時後，Mozilla和Linux基金會也發表了類似的信息。目前，未來的歐洲法律是在三路徑上討論的 - 議會，委員會和歐盟理事會（EU）之間的談判。

桌子上的最新版本（尚未發布文本）涉及這些研究人員和這些組織的最高點。從理論上講，這些2014年法規的未來修訂將帶來“為公民和企業提供足夠的技術保證»。她會確保“公民與政府機構和行業（…）的數字互動，同時保護公民的隱私“寫這封信的作者，講話給歐洲議會和歐盟理事會。但實際上，未來的法規”對於每個人來說，最有可能的安全性很小»»，他們後悔。

在他們的取景器中，第45條將向Chrome或Firefox等網絡瀏覽器介紹有關安全證書的新規則到目前為止可以自由選擇。並根據文本的最後版本，“任何成員國”可以在網絡瀏覽器上徵收安全證書。那«將對歐洲公民的隱私，歐洲貿易和整個互聯網的安全造成嚴重影響»，向作者和簽署人發出公開字母的警報。具體，國家“可以單獨決定強加監視任何歐洲公民的互聯網流量的事實”，，，，他們很遺憾。

今天的認證系統如何工作？

要了解這一點，您必須回到這些認證系統的工作方式。 “”當您瀏覽網絡時，有時您的網絡瀏覽器URL旁邊有一個小掛鎖，這意味著兩件事。首先，連接是安全的”ÉcolePolytechnique的網絡安全教授Olivier Blazy解釋說01net.com。所有發送的數據，例如標識符和密碼或銀行數據量化，這意味著只有網站才能訪問它。

«這個小掛鎖還表明您正在與正確的網站交談Blazy教授補充說。如果您進入這樣的網頁，則必須確保在合法網站上，而不是在聲稱自己是真實的虛假網站上。 “”為此，我們擁有所謂的證書，它有點像公證簽名。這意味著發行它的認證機構：“我已經驗證了該網站，您可以信任它”他繼續。

如今，公司被認為值得信心，以確保已完成這項驗證工作：他們是認證機構。後者必須尊重”立法，以公共程序的補充和安全界不斷警惕，以揭示可疑活動»，強調了這封信的作者。

這些當局可以執行三個驗證級別。他們可以驗證該人要求證書控制我們試圖訪問的域，以便他能夠很好地更新有關網站上的頁面。他們還可以通過財務進行進一步的控制，以確保要求證書的人的身份。

«但是，正式地，對歐洲法規的修訂是為了捍衛QWAC（合格的網站身份驗證證書），該證書是一種執行這些廣泛驗證的歐洲證書布萊茲教授解釋說。

會員國可以在瀏覽器上徵收證書

例如，瀏覽器將信任讓我們加密（對於基本級別）或Verisign（更高級別）。過去，有時會出現問題，例如自稱是微軟的Verisign認證人員。該公司為一家虛假公司生成了證書，該公司能夠在某些機器上引入自願安全缺陷記住網絡安全專家。但總的來說，當前系統工作，即使它是基於”一個非常脆弱的平衡。所以我們做得非常一旦法律試圖更改此功能，請立即小心»，強調Olivier Blazy。

«擁有一個單一的信心機制，更安全，更清晰，更透明，同意，充分塗油，開放，全球和標準”，懇求Alec Muffett，網絡安全專家Alec Muffett他們博客的門票這個星期四。 “”在線信心需要全球共識和標準，以實現穩固和安全的溝通他說：“他繼續前進，不是歐洲地區法規，這將使各州對這些認證證書負責。

但是，目前正在討論的歐洲法規的修訂將要求導航員必須接受來自歐盟批准的27個成員國和任何第三方國家之一的證書。因此，這些國家將有”隨意插入證書的可能性“，登陸公開信的簽署者。像野生動物園（Safari）或莫茲拉（Mozilla）這樣的導航者無權拒絕他們，包括當他們發現安全問題是乾預外國地區的情況時。

門開了乾擾和監視？

如果採用這種未來的系統，事情將如何工作？ “”想像一下，您正在嘗試在這樣的平台上訪問客戶帳戶。如果您去合適的公司的網站，並且您擁有登錄和密碼，那麼一切都很好奧利維爾·布萊茲（Olivier Blazy）解釋說。 “”但是，如果明天，一個外國創建了該公司網站的鏡子，並將您重定向您，而您的瀏覽器（我們向其徵收證書的人）告訴您，這是合法的網站。您將發送連接信息。外國以證書的起源能夠破譯流量並恢復您發送的數據”，登陸專家。

«證書的所有者確實可以通過用他控制的替代網站替換網站的加密密鑰來攔截用戶網絡流量“寫公開字母的作者。 “”這是完全可預測的副作用。在一切進展順利的民主國家，它不會被利用。但是，由於這是適用於歐洲規模的規則，因此僅適用於一個歐盟國家，它可能會變得非常戲劇化»，被奧利維爾·布萊茲（Olivier Blazy）震驚。

«如果實施這些法規，公民必須在沒有選擇的情況下信任所有認證機構。»，解釋在Inria，Inria，牛津大學，Max-Planck Institute，Stanford，甚至是免費軟件基金會的ÉcolePolytechnique工作的公開信的簽署者。他們補充說，本文將允許歐洲政府攔截與歐盟公民導航有關的所有信息，包括銀行信息，敏感信息，醫療檔案甚至家庭照片。

破壞什麼”歐洲和全球的信心和在線安全”。為此原因，“必須緊急對立法文本進行重新設計，以避免這些嚴重的後果”，辯論這封信的作者。

“哈薩克斯坦是最後一個嘗試這樣一個自由主義，設計不佳，甚至瘋狂的提議的國家”，2019年，在他的博客上解決了網絡安全專家Alec Muffett的專家。當時，地方政府想在所有網絡瀏覽器上施加哈薩克SSL/TLS官方證書。工程師回憶說，目標是能夠監視互聯網用戶。

為了避免到達那裡，公開信的作者（例如網絡組織的聯合聲明）要求歐洲當局會符合其副本。未來的法律”代表了確保互聯網的基本系統的危險干預他們寫。聯繫01net.com，在本文發表時，歐洲議會和理事會都沒有回應我們的評論請求。法規審查項目必須在未來幾天，在由歐洲議會投票之前最終確定。

另請閱讀：掃描加密的消息傳遞以打擊兒童色情製品：未來歐洲法律背後的工業大廳？

🔴不要錯過任何01net新聞，請關注我們Google新聞等WhatsApp。

來源 ： 11月2日的公開信