ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และองค์กรพัฒนาเอกชน 335 รายมีความกังวลเกี่ยวกับการแก้ไขกฎหมายยุโรปเวอร์ชันล่าสุด ซึ่งเกี่ยวข้องกับใบรับรองความปลอดภัยของเว็บไซต์ พวกเขาเตือนในจดหมายเปิดผนึกและแถลงการณ์ร่วมว่าข้อความที่อยู่ระหว่างการสนทนาไม่เคารพสิทธิ์ในความเป็นส่วนตัวของผู้ใช้อินเทอร์เน็ต มันจะไม่ปลอดภัยในการสื่อสารออนไลน์ ที่แย่กว่านั้นคือจะทำให้รัฐบาลยุโรปสามารถตรวจสอบพลเมืองของตนเองและผู้อยู่อาศัยในสหภาพยุโรปได้
ให้ความสนใจกับ “ผลที่ตามมาอย่างร้ายแรงสำหรับชีวิตส่วนตัวพลเมืองยุโรป- ในกจดหมายเปิดผนึกเผยแพร่เมื่อวันพฤหัสบดีที่ 2 พฤศจิกายนนี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และการเข้ารหัส 335 คน รวมถึงองค์กรพัฒนาเอกชนจากกว่า 30 ประเทศต่างส่งเสียงเตือนเกี่ยวกับการแก้ไขในอนาคตของกฎเกณฑ์ของยุโรปที่เรียกว่าไอดาส(“บริการระบุตัวตนทางอิเล็กทรอนิกส์และความน่าเชื่อถือ”) ในกประกาศแยกต่างหาก, 10 องค์กรอื่นๆ «ผู้สร้างและรักษาความปลอดภัยอินเทอร์เน็ต» รวมถึงมูลนิธิ Mozilla และ Linux ก็เผยแพร่ข้อความที่คล้ายกันในไม่กี่ชั่วโมงต่อมา ขณะนี้กฎหมายยุโรปในอนาคตกำลังถูกหารือกันในไตรภาค - การเจรจาระหว่างรัฐสภา คณะกรรมาธิการ และสภาแห่งสหภาพยุโรป (EU)
และเวอร์ชันล่าสุดที่จะวางอยู่บนโต๊ะ (ข้อความที่ยังไม่ได้เผยแพร่) ถือเป็นข้อกังวลอย่างมากสำหรับนักวิจัยและองค์กรเหล่านี้ ตามทฤษฎีแล้ว การปรับปรุงกฎระเบียบปี 2014 นี้ในอนาคตน่าจะนำมาซึ่ง “การรับประกันทางเทคโนโลยีที่เพียงพอสำหรับประชาชนและธุรกิจ- มันจะปลอดภัยปฏิสัมพันธ์ทางดิจิทัลของพลเมืองกับสถาบันของรัฐและอุตสาหกรรม (...) พร้อมปกป้องความเป็นส่วนตัวของพลเมือง» เขียนผู้เขียนจดหมายจ่าหน้าถึงสมาชิกของรัฐสภายุโรปและสภาแห่งสหภาพยุโรป แต่ในทางปฏิบัติกฎระเบียบในอนาคตมักจะส่งผลให้ความปลอดภัยน้อยลงสำหรับทุกคน-พวกเขาเสียใจ
ในสายตาของพวกเขา บทความ 45 ซึ่งจะแนะนำกฎใหม่ให้กับเว็บเบราว์เซอร์ เช่น Chrome หรือ Firefox เกี่ยวกับใบรับรองความปลอดภัย ซึ่งพวกเขาจนถึงขณะนี้สามารถเลือกได้อย่างอิสระและตามข้อความฉบับล่าสุด“รัฐสมาชิกใดๆ”สามารถกำหนดใบรับรองความปลอดภัยบนเว็บเบราว์เซอร์ได้ ที่-จะมีผลกระทบร้ายแรงต่อความเป็นส่วนตัวของพลเมืองยุโรป ความปลอดภัยในการค้าของยุโรป และอินเทอร์เน็ตโดยรวม» ตื่นตระหนกกับผู้เขียนและผู้ลงนามในจดหมายเปิดผนึก รัฐอย่างเป็นรูปธรรม“สามารถตัดสินใจได้โดยลำพังเพื่อกำหนดให้มีการตรวจสอบการรับส่งข้อมูลทางอินเทอร์เน็ตของพลเมืองชาวยุโรป”-พวกเขาคร่ำครวญ
ระบบการรับรองทำงานอย่างไรในปัจจุบัน
เพื่อทำความเข้าใจเรื่องนี้ เราต้องย้อนกลับไปดูวิธีการทำงานของระบบการรับรองเหล่านี้ -เมื่อคุณท่องเว็บ บางครั้งคุณจะเห็นแม่กุญแจเล็กๆ อยู่ข้าง URL ของเว็บเบราว์เซอร์ ซึ่งหมายถึงสองสิ่ง ประการแรก การเชื่อมต่อมีความปลอดภัย» Olivier Blazy ศาสตราจารย์ด้านความปลอดภัยทางไซเบอร์ที่ École Polytechnique อธิบาย ซึ่งได้รับการติดต่อจาก01net.com- ข้อมูลทั้งหมดที่ส่งไป เช่น ชื่อผู้ใช้และรหัสผ่านของคุณ หรือรายละเอียดธนาคารของคุณจะถูกส่งไปเข้ารหัสซึ่งหมายความว่ามีเพียงคุณและไซต์เท่านั้นที่สามารถเข้าถึงได้
-กุญแจเล็กๆ นี้ยังบ่งบอกว่าคุณกำลังพูดคุยกับเว็บไซต์ที่ถูกต้อง» ศาสตราจารย์เบลซี่กล่าวเสริม หากคุณไปที่หน้าเว็บใดหน้าหนึ่ง คุณต้องแน่ใจว่าคุณอยู่ในไซต์ที่ถูกต้องตามกฎหมาย และไม่ใช่ไซต์ปลอมที่อ้างว่าเป็นไซต์จริง -และเพื่อที่จะทำเช่นนี้ เรามีสิ่งที่เราเรียกว่าใบรับรอง ซึ่งทำงานเหมือนกับลายเซ็นของทนายความ สำหรับหน่วยงานออกใบรับรองที่ออกใบรับรอง หมายความว่า: “ฉันได้ตรวจสอบไซต์นี้แล้ว และคุณสามารถเชื่อถือได้”“เขาพูดต่อ
ในปัจจุบัน บริษัทต่างๆ ได้รับการพิจารณาว่ามีความน่าเชื่อถือในการรับประกันว่างานตรวจสอบนี้ได้เสร็จสิ้นแล้ว: บริษัทเหล่านี้คือหน่วยงานที่ออกใบรับรอง อย่างหลังต้องเคารพ”กฎหมายเสริมด้วยกระบวนการสาธารณะและการเฝ้าระวังอย่างต่อเนื่องโดยชุมชนความปลอดภัยเพื่อเปิดเผยกิจกรรมที่น่าสงสัย» ขีดเส้นใต้ผู้เขียนจดหมาย
หน่วยงานเหล่านี้สามารถตรวจสอบได้สามระดับ พวกเขาสามารถยืนยันได้ว่าบุคคลที่ขอใบรับรองควบคุมโดเมนที่คุณพยายามเข้าถึงจริง ๆ ดังนั้นพวกเขาสามารถอัปเดตหน้าบนไซต์ที่เป็นปัญหาได้ พวกเขายังสามารถดำเนินการตรวจสอบเชิงลึกเพิ่มเติมได้โดยมีค่าธรรมเนียม เช่น การรับรองตัวตนของบุคคลที่ขอใบรับรอง
-อย่างไรก็ตาม อย่างเป็นทางการ สิ่งที่การแก้ไขกฎข้อบังคับของยุโรปพยายามทำคือการปกป้อง QWAC (ใบรับรองการตรวจสอบเว็บไซต์ที่ผ่านการรับรอง) ซึ่งเป็นใบรับรองประเภทหนึ่งของยุโรปที่ดำเนินการตรวจสอบเพิ่มเติมเหล่านี้» ศาสตราจารย์เบลซีอธิบาย
ประเทศสมาชิกสามารถกำหนดใบรับรองบนเบราว์เซอร์ได้
ตัวอย่างเช่น เบราว์เซอร์จะเชื่อถือมาเข้ารหัสกันเถอะ(สำหรับระดับพื้นฐาน) หรือ Verisign (ระดับสูงกว่า) ที่ผ่านมาก็มีปัญหาบ้างเช่นเมื่อ”บุคคลที่ได้รับการรับรอง Verisign ซึ่งอ้างว่าเป็น Microsoft บริษัทนี้สร้างใบรับรองสำหรับบริษัทปลอม ซึ่งอาจก่อให้เกิดช่องโหว่ด้านความปลอดภัยโดยเจตนาในเครื่องบางเครื่อง» เรียกคืนผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ แต่โดยรวมแล้วระบบปัจจุบันได้ผลแม้จะต้องพึ่ง”ความสมดุลที่เปราะบางมาก เราจึงทำมากโปรดใช้ความระมัดระวังทันทีที่กฎหมายพยายามเปลี่ยนแปลงการทำงานนี้» ขีดเส้นใต้ Olivier Blazy
-จะปลอดภัยกว่า ชัดเจนกว่า และโปร่งใสกว่าที่จะมีกลไกการเชื่อถือที่เป็นมาตรฐานเดียวที่ได้รับการยอมรับ ได้รับการดูแลอย่างดี เปิดกว้าง เป็นสากลสำหรับเว็บไซต์», อเล็กซ์ มัฟเฟตต์ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แองโกล-อเมริกัน ให้เหตุผลในตั๋วที่พวกเขาบล็อกวันพฤหัสบดีนี้ -ความไว้วางใจออนไลน์จำเป็นต้องมีฉันทามติและมาตรฐานระดับโลกเพื่อการสื่อสารที่แข็งแกร่งและปลอดภัย» เขากล่าวต่อ – และไม่ใช่กฎระเบียบระดับภูมิภาคของยุโรปที่จะทำให้รัฐต้องรับผิดชอบใบรับรองการรับรองเหล่านี้ เขากล่าวในเนื้อหา
อย่างไรก็ตาม การแก้ไขกฎข้อบังคับของยุโรปซึ่งขณะนี้อยู่ระหว่างการสนทนา กำหนดให้นักเดินเรือต้องยอมรับใบรับรองที่มาจากหนึ่งใน 27 ประเทศสมาชิก และจากประเทศที่สามที่ได้รับอนุมัติจากสหภาพยุโรป รัฐเหล่านี้จึงจะมี”ความเป็นไปได้ของการแทรกใบรับรองตามต้องการ» แสดงความเสียใจต่อผู้ลงนามในจดหมายเปิดผนึก และเบราว์เซอร์อย่าง Safari หรือ Mozilla ก็ไม่มีสิทธิ์ปฏิเสธ รวมถึงเมื่อตรวจพบปัญหาด้านความปลอดภัย เช่น กรณีการแทรกแซงจากต่างประเทศ
ประตูเปิดให้รบกวนและเฝ้าระวัง?
สิ่งต่าง ๆ จะทำงานอย่างไรหากระบบในอนาคตนี้ถูกนำมาใช้? -ลองจินตนาการว่าคุณกำลังพยายามเข้าถึงบัญชีลูกค้าของคุณบนแพลตฟอร์มใดแพลตฟอร์มหนึ่ง หากคุณไปที่เว็บไซต์ของบริษัทที่ถูกต้องและมีข้อมูลเข้าสู่ระบบและรหัสผ่าน ทุกอย่างเป็นไปด้วยดี» Olivier Blazy อธิบาย -แต่หากพรุ่งนี้ ต่างประเทศสร้างไซต์ของบริษัทนี้ขึ้นมาและเปลี่ยนเส้นทางคุณไปยังไซต์นั้น และเบราว์เซอร์ของคุณซึ่งมีใบรับรองกำหนดไว้ จะบอกคุณว่านี่เป็นไซต์ที่ถูกต้องตามกฎหมาย คุณจะส่งข้อมูลการเข้าสู่ระบบของคุณ และต่างประเทศซึ่งเป็นผู้ออกใบรับรองจะสามารถถอดรหัสการรับส่งข้อมูลและกู้คืนข้อมูลที่คุณส่งได้» เสียใจกับผู้เชี่ยวชาญ
-เจ้าของใบรับรองสามารถสกัดกั้นการรับส่งข้อมูลเว็บของผู้ใช้ได้อย่างมีประสิทธิภาพโดยแทนที่คีย์เข้ารหัสลับของเว็บไซต์ด้วยคีย์ทดแทนที่พวกเขาควบคุม», เขียนผู้เขียนจดหมายเปิดผนึก -นี่เป็นผลข้างเคียงที่คาดเดาได้อย่างสมบูรณ์ ในประเทศประชาธิปไตยที่ทุกอย่างเป็นไปด้วยดี สิ่งนี้จะไม่ถูกเอารัดเอาเปรียบ แต่เนื่องจากนี่เป็นกฎที่จะใช้ในระดับยุโรป จึงต้องใช้ประเทศในสหภาพยุโรปเพียงประเทศเดียวเท่านั้นที่จะเบี่ยงเบนไปเล็กน้อย และอาจกลายเป็นเรื่องที่น่าทึ่งมาก», สัญญาณเตือนภัย โอลิเวียร์ เบลซี
-หากมีการนำกฎระเบียบนี้ไปใช้ พลเมืองจะต้องเชื่อถือหน่วยงานออกใบรับรองทั้งหมดที่กำหนดโดยประเทศสมาชิกโดยไม่มีทางเลือก» อธิบายผู้ลงนามในจดหมายเปิดผนึกที่ทำงานที่ École Polytechnique, Inria, University of Oxford, Max Planck Institute, Stanford และ Free Software Foundation ข้อความดังกล่าวจะอนุญาตให้รัฐบาลยุโรปดักข้อมูลทั้งหมดที่เกี่ยวข้องกับการเรียกดูข้อมูลของพลเมืองสหภาพยุโรป รวมถึงข้อมูลธนาคาร ข้อมูลที่ละเอียดอ่อน บันทึกการรักษาพยาบาล และแม้แต่รูปถ่ายครอบครัว พวกเขากล่าวเสริม
มากพอจะทำร้าย”ความไว้วางใจและความปลอดภัยออนไลน์ในยุโรปและทั่วโลกด้วยเหตุนี้“ข้อความทางกฎหมายจะต้องได้รับการแก้ไขอย่างเร่งด่วนเพื่อหลีกเลี่ยงผลกระทบร้ายแรงเหล่านี้”โต้แย้งผู้เขียนจดหมาย
“ประเทศสุดท้ายที่พยายามเสนอข้อเสนอที่ไร้เสรีนิยม ไร้ความคิด หรือแม้แต่บ้าบิ่นเช่นนี้คือคาซัคสถาน”ในปี 2019 Alec Muffett ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในบล็อกของเขา ในเวลานั้น รัฐบาลท้องถิ่นต้องการบังคับใช้ใบรับรอง SSL/TLS ของคาซัคอย่างเป็นทางการบนเว็บเบราว์เซอร์ทั้งหมด มีวัตถุประสงค์เพื่อให้สามารถสอดแนมผู้ใช้อินเทอร์เน็ตได้ วิศวกรคนนั้นเล่า
เพื่อหลีกเลี่ยงไม่ให้มาถึงจุดนี้ ผู้เขียนจดหมายเปิดผนึก เช่นเดียวกับการประกาศร่วมขององค์กรทางเว็บ ขอให้ทางการยุโรปตรวจสอบสำเนาของพวกเขา กฎหมายในอนาคตแสดงถึงการแทรกแซงที่เป็นอันตรายในระบบที่จำเป็นต่อความปลอดภัยของอินเทอร์เน็ต» พวกเขาเขียน ติดต่อโดย01net.comทั้งรัฐสภายุโรปและสภาไม่ตอบสนองต่อคำร้องขอความคิดเห็นของเราในขณะที่ตีพิมพ์บทความนี้ ร่างการแก้ไขกฎระเบียบจะต้องเสร็จสิ้นภายในไม่กี่วันข้างหน้า ก่อนที่จะได้รับการโหวตจากรัฐสภายุโรป
อ่านเพิ่มเติม:กำลังสแกนข้อความที่เข้ารหัสเพื่อต่อสู้กับสื่อลามกอนาจารเด็ก: ล็อบบี้อุตสาหกรรมที่อยู่เบื้องหลังกฎหมายยุโรปในอนาคต?
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : จดหมายเปิดผนึกวันที่ 2 พฤศจิกายน
