研究人員和非政府組織強烈反對一項允許「監控任何歐洲公民的網路流量」的歐洲法律

注意“造成嚴重後果的私生活歐洲公民」。在一個公開信11 月 2 日星期四發布，來自約 30 個國家的 335 名網路安全和密碼學專家以及非政府組織對這一問題發出了警報。未來的修訂一項名為電子IDAS（「電子身分識別與信任服務」）。在一個單獨聲明, 10 個其他組織 «誰建構並保護互聯網» 包括 Mozilla 和 Linux 基金會在內的幾個小時後也發布了類似的消息。未來的歐洲法律目前正在三部曲中討論——議會、歐盟委員會和歐盟理事會之間的談判。

即將公佈的最新版本（文本尚未發布）引起了這些研究人員和組織的極大關注。理論上，2014年這項規定的未來修訂應該會帶來“為公民和企業提供充分的技術保障」。它將確保公民與政府機構和產業的數位互動（…），同時保護公民的隱私», 寫信的作者，致歐洲議會和歐盟理事會成員。但在實踐中，未來的監管很可能會導致所有人的安全性降低»，他們後悔了。

在他們看來，第 45 條將為 Chrome 或 Firefox 等網頁瀏覽器引入有關安全證書的新規則。到現在為止都可以自由選擇。而根據最新版本的文字，“任何成員國”可以在網頁瀏覽器上強加安全性憑證。那«將對歐洲公民的隱私、歐洲貿易的安全以及整個互聯網產生嚴重後果»，這封公開信的作者和簽名者感到震驚。具體來說，各州“可以單獨決定對任何歐洲公民的網路流量進行監控”,他們哀嘆。

如今認證系統如何運作？

要理解這一點，我們必須回到這些認證體系的運作方式。 “當您瀏覽網頁時，有時您會在網頁瀏覽器 URL 旁邊看到一個小掛鎖，這意味著兩件事。首先，連接是安全的»，巴黎綜合理工學院網路安全教授 Olivier Blazy 解釋道，聯絡方式為01網。所有發送的資料（例如您的使用者名稱和密碼或銀行詳細資料）都將被加密的，這意味著只有您和該網站才能訪問它。

«這個小掛鎖還表明您正在與正確的網站交談»，布拉齊教授補充道。如果您造訪特定網頁，您需要確保您造訪的是合法網站，而不是聲稱是真實網站的虛假網站。 “為此，我們擁有所謂的證書，其作用有點像公證人的簽名。對於頒發它的認證機構來說，這意味著：“我已經驗證了這個網站，你可以信任它”“，他繼續說道。

如今，公司已被視為值得信賴的公司，可以保證完成驗證工作：這些公司就是認證機構。後者必須尊重“立法，並輔以公共程序和安全界的持續警惕，以揭露可疑活動», 在信的作者下方劃線。

這些當局可以進行三個層級的驗證。他們可以驗證請求憑證的人實際上控制著您嘗試訪問的網域 - 因此他們能夠更新相關網站上的頁面。他們還可以付費進行更深入的檢查，例如確保請求證書的人的身份。

«然而，正式而言，歐洲法規的修訂旨在捍衛QWAC（合格網站認證證書），這是一種執行這些擴展驗證的歐洲證書»，布拉齊教授解釋。

成員國可以對瀏覽器強制使用憑證

例如，瀏覽器會信任讓我們加密（針對基礎等級）或 Verisign（更高等級）。過去，有時會出現問題，例如“Verisign 對自稱是 Microsoft 的人員進行了認證。該公司為一家假公司生成了證書，該公司可能在某些機器上故意引入了安全漏洞»，網路安全專家回憶道。但整體而言，現行製度有效，即使它依賴於“非常脆弱的平衡。因此我們非常一旦法律試圖改變這種功能，請務必小心»，奧利維爾·布拉齊強調。

«擁有一個單一的、商定的、運作良好的、開放的、全球性的、標準的網站信任機制只會更安全、更清晰、更透明。»，英美網路安全專家亞歷克‧穆菲特 (Alec Muffett) 在一篇文章中指出他們博客上的門票這個星期四。 “在線信任需要全球共識和標準來實現強有力和安全的通信»，他繼續說道，他實質上說，而不是讓各國對這些認證證書負責的歐洲區域法規。

然而，目前正在討論的歐洲法規修訂版將要求領航員必須接受來自 27 個成員國之一以及歐盟批准的任何第三國頒發的證書。因此，這些國家將「隨意插入憑證的可能性»，對公開信的簽署者表示遺憾。 Safari 或 Mozilla 等瀏覽器無權拒絕它們，包括當它們偵測到安全問題（例如來自外國的干擾）時。

是否對幹擾和監視敞開了大門？

如果採用這個未來的系統，事情會如何運作？ “想像一下，您正在嘗試存取某個平台上的客戶帳戶。如果您造訪正確的公司網站並擁有您的登入名稱和密碼，那麼一切都會順利進行»，奧利維爾·布拉齊 (Olivier Blazy) 解釋道。 “但是，如果明天某個外國創建了該公司網站的鏡像並將您重定向到該網站，那麼您的瀏覽器（已對其施加了證書）會告訴您這是合法網站。您將發送您的登入資訊。發出憑證的外國將能夠解密流量並恢復您發送的數據»，對專家表示遺憾。

«憑證擁有者可以透過用他們控制的替代品替換網站的加密金鑰來有效攔截使用者的網路流量。», 寫公開信的作者。 “這是完全可以預見的副作用。在一切進展順利的民主國家，這一點不會被利用。但由於這是一項適用於歐洲範圍的規則，因此只要一個歐盟國家稍微偏離一點，情況就可能變得非常戲劇性。»，警報奧利維爾·布拉齊。

«如果實施該規定，公民將不得不信任成員國定義的所有認證機構，而別無選擇», 解釋公開信的簽署者，他們在因裡亞理工學院、牛津大學、馬克斯普朗克研究所、史丹佛大學和自由軟體基金會工作。他們補充說，該文本將允許歐洲政府攔截與歐盟公民瀏覽有關的所有信息，包括銀行資訊、敏感資訊、醫療記錄甚至家庭照片。

足以傷害“歐洲和世界各地的線上信任和安全。為此原因，“必須緊急修改立法文本，以避免這些嚴重後果”，這封信的作者爭辯道。

“最後一個嘗試這種不自由、考慮不周、甚至瘋狂的提議的國家是哈薩克斯坦。”2019 年，網路安全專家 Alec Muffett 在他的部落格上發表了演講。當時，當地政府希望在所有網頁瀏覽器上強制使用哈薩克官方 SSL/TLS 憑證。這位工程師回憶道，當時的目標是能夠監視網路使用者。

為了避免達到這一點，公開信的作者與網路組織聯合聲明的作者一樣，要求歐洲當局審查他們的副本。未來的法律代表對網路安全至關重要的系統的危險幹預»，他們寫道。聯絡方式01網，在本文發表時，歐洲議會和理事會都沒有回應我們的評論請求。該法規的修訂草案必須在未來幾天內完成，然後由歐洲議會投票。

另請閱讀：掃描加密訊息以打擊兒童色情：未來歐洲法律背後的工業遊說團體？

🔴為了不錯過01net的任何新聞，請關注我們谷歌新聞等WhatsApp。

來源 ： 11月2日公開信