335 名网络安全专家和非政府组织对欧洲一项涉及网站安全证书的法律修订的最新版本表示担忧。他们在公开信和联合声明中警告称,目前正在讨论的文本不尊重互联网用户的隐私权。它也无法保证在线通信的安全。更糟糕的是,这将使欧洲各国政府能够监控本国公民和欧盟居民。
注意“造成严重后果的私生活欧洲公民”。在一个公开信11 月 2 日星期四发布,来自约 30 个国家的 335 名网络安全和密码学专家以及非政府组织对这一问题发出了警报。未来的修订一项名为电子IDAS(“电子身份识别和信任服务”)。在一个单独声明, 10 个其他组织 «谁构建并保护互联网» 包括 Mozilla 和 Linux 基金会在内的几个小时后也发布了类似的消息。未来的欧洲法律目前正在三部曲中讨论——议会、欧盟委员会和欧盟理事会之间的谈判。
即将公布的最新版本(文本尚未发布)引起了这些研究人员和组织的极大关注。理论上,2014年这项规定的未来修订应该会带来“为公民和企业提供充分的技术保障”。它将确保公民与政府机构和行业的数字互动(……),同时保护公民的隐私», 写信的作者,致欧洲议会和欧盟理事会成员。但在实践中,未来的监管很可能会导致所有人的安全性降低»,他们后悔了。
在他们看来,第 45 条将为 Chrome 或 Firefox 等网络浏览器引入有关安全证书的新规则。到现在为止都可以自由选择。而根据最新版本的文字,“任何成员国”可以在网络浏览器上强加安全证书。那«将对欧洲公民的隐私、欧洲贸易的安全以及整个互联网产生严重后果»,这封公开信的作者和签名者感到震惊。具体来说,各州“可以单独决定对任何欧洲公民的互联网流量进行监控”,他们哀叹。
如今认证系统如何运作?
要理解这一点,我们必须回到这些认证体系的运作方式。 “当您浏览网页时,有时您会在网页浏览器 URL 旁边看到一个小挂锁,这意味着两件事。首先,连接是安全的»,巴黎综合理工学院网络安全教授 Olivier Blazy 解释道,联系方式为01网。所有发送的数据(例如您的用户名和密码或银行详细信息)都将被加密的,这意味着只有您和该网站才能访问它。
«这个小挂锁还表明您正在与正确的网站交谈»,布拉齐教授补充道。如果您访问某个特定网页,您需要确保您访问的是合法网站,而不是自称是真实网站的虚假网站。 “为此,我们拥有所谓的证书,其作用有点像公证人的签名。对于颁发它的认证机构来说,这意味着:“我已经验证了这个网站,你可以信任它”“,他继续说道。
如今,公司已被视为值得信赖的公司,可以保证完成验证工作:这些公司就是认证机构。后者必须尊重“立法,并辅之以公共程序和安全界的持续警惕,以揭露可疑活动», 在信的作者下面划线。
这些当局可以进行三个级别的验证。他们可以验证请求证书的人实际上控制着您尝试访问的域 - 因此他们能够更新相关网站上的页面。他们还可以付费进行更深入的检查,例如确保请求证书的人的身份。
«然而,正式而言,欧洲法规的修订旨在捍卫QWAC(合格网站认证证书),这是一种执行这些扩展验证的欧洲证书»,布拉齐教授解释道。
成员国可以对浏览器强制使用证书
例如,浏览器会信任让我们加密(针对基础级别)或 Verisign(更高级别)。过去,有时会出现问题,例如“Verisign 对自称是 Microsoft 的人员进行了认证。该公司为一家假公司生成了证书,该公司可能在某些机器上故意引入了安全漏洞»,网络安全专家回忆道。但总体而言,现行制度有效,即使它依赖于“非常脆弱的平衡。因此我们非常一旦法律试图改变这种功能,请务必小心»,奥利维尔·布拉齐强调道。
«拥有一个单一的、商定的、运行良好的、开放的、全球性的、标准的网站信任机制只会更安全、更清晰、更透明。»,英美网络安全专家亚历克·穆菲特 (Alec Muffett) 在一篇文章中指出他们博客上的门票这个星期四。 “在线信任需要全球共识和标准来实现强有力和安全的通信»,他继续说道,他实质上说,而不是让各国对这些认证证书负责的欧洲区域法规。
然而,目前正在讨论的欧洲法规修订版将要求领航员必须接受来自 27 个成员国之一以及欧盟批准的任何第三国颁发的证书。因此,这些国家将“随意插入证书的可能性»,对公开信的签署者表示遗憾。 Safari 或 Mozilla 等浏览器无权拒绝它们,包括当它们检测到安全问题(例如来自外国的干扰)时。
是否对干扰和监视敞开了大门?
如果采用这个未来的系统,事情会如何运作? “想象一下,您正在尝试访问某个平台上的客户帐户。如果您访问正确的公司网站并拥有您的登录名和密码,那么一切都会顺利进行»,奥利维尔·布拉齐 (Olivier Blazy) 解释道。 “但是,如果明天某个外国创建了该公司网站的镜像并将您重定向到该网站,那么您的浏览器(已对其施加了证书)会告诉您这是合法网站。您将发送您的登录信息。发出证书的外国将能够解密流量并恢复您发送的数据»,对专家表示遗憾。
«证书所有者可以通过用他们控制的替代品替换网站的加密密钥来有效拦截用户的网络流量。», 写公开信的作者。 “这是完全可以预见的副作用。在一切进展顺利的民主国家,这一点不会被利用。但由于这是一项适用于欧洲范围的规则,因此只要一个欧盟国家稍微偏离一点,情况就可能变得非常戏剧性。»,警报奥利维尔·布拉齐。
«如果实施该规定,公民将不得不信任成员国定义的所有认证机构,而别无选择», 解释一下公开信的签署者,他们在因里亚理工学院、牛津大学、马克斯·普朗克研究所、斯坦福大学和自由软件基金会工作。他们补充说,该文本将允许欧洲政府拦截与欧盟公民浏览有关的所有信息,包括银行信息、敏感信息、医疗记录甚至家庭照片。
足以伤害“欧洲和世界各地的在线信任和安全。为此原因,“必须紧急修改立法文本,以避免这些严重后果”,这封信的作者争论道。
“最后一个尝试这种不自由、考虑不周、甚至疯狂的提议的国家是哈萨克斯坦。”2019 年,网络安全专家 Alec Muffett 在他的博客上发表了讲话。当时,当地政府希望在所有网络浏览器上强制使用哈萨克官方 SSL/TLS 证书。这位工程师回忆道,当时的目标是能够监视互联网用户。
为了避免达到这一点,公开信的作者与网络组织联合声明的作者一样,要求欧洲当局审查他们的副本。未来的法律代表对互联网安全至关重要的系统的危险干预»,他们写道。联系方式01网,在本文发表时,欧洲议会和理事会都没有回应我们的评论请求。该法规的修订草案必须在未来几天内完成,然后由欧洲议会投票。
来源 : 11月2日的公开信