Unia Europejska proponuje nowe prawo, które umożliwiłoby rządom krajów wydawanie certyfikatów sieciowych. W konsekwencji otwiera drogę do powszechnej inwigilacji.
Specjaliści i organizacje zajmujące się cyberbezpieczeństwem nawołują regulatorów UE do odrzucenia kontrowersyjnego pomysłu. Rządy państw wspólnoty miałyby wydawać certyfikaty dla stron internetowych, a to prosta droga do nadużyć.
Gdy odwiedzasz strony internetowe, przy większości adresów przeglądarka pokaże kłódkę, tarczę lub podobny znak, zapewniający o jej bezpieczeństwie. Jeśli klikniesz ten piktogram, zobaczysz całą ścieżkę zaufania (kto potwierdza czyją wiarygodność). W przypadku TELEPOLIS.PL na końcu łańcucha znajduje się wydawca certyfikatów DigiCert, któremu z kolei ufają wydawcy przeglądarek internetowych.
Dzięki temu możesz sprawdzić, czy naprawdę odwiedzasz TELEPOLIS.PL, czy stronę podrobioną. Ponadto ruch między przeglądarką i odwiedzaną stroną jest szyfrowany, więc urządzenia po drodze nie mogą odczytać przesyłanych treści. Na co dzień korzystamy z tego mechanizmu „na odwrót” – mało kto sprawdza ręcznie certyfikaty, ale przeglądarki biją na alarm, gdy tylko łańcuch zaufania straci ciągłość.
Ten system nie jest jednak idealny. Branża starała się poprawić transparentność, wprowadzając dodatkowe certyfikaty Extended Validation (EV). Miałyby one potwierdzić autentyczność domeny, a także wskazać prawnego właściciela i operatora strony. Ten system jednak się nie przyjął na szeroką skalę.
Regulatorzy unijni zaprojektowali więc alternatywny system Qualified Website Authentication Certificates (QWAC). W sytuacji, gdy brakuje certyfikatu EV, w jego miejsce rząd państwa europejskiego mógłby wystawić certyfikat QWAC. Wszyscy producenci przeglądarek internetowych musieliby te certyfikaty honorować jako zaufane.
Owszem, przy odwiedzaniu stron rządowych, dodatkowe zabezpieczenie byłoby korzystne. Obywatele mieliby dodatkowe potwierdzenie, że korzystają na przykład z portalu podatkowego, a nie strony wyłudzającej dane. Z takiego systemu aż chce się korzystać przy podpisywaniu wiążących prawnie umów przez internet.
Zobacz: mObywatel. Trwa atak na użytkowników aplikacji
Specjaliści są jednak zdania, że propozycja unijna sięga za daleko, wymuszając przyjmowanie certyfikatów rządowych przez przeglądarki internetowe. Hipotetycznie więc polski rząd byłby równie godny zaufania i miał takie same możliwości, jak niezależna, międzynarodowa organizacja, potwierdzająca autentyczność certyfikatów. Co więcej, miałby możliwość podmiany kluczy kryptograficznych strony i w konsekwencji podsłuchania ruchu. To już prawie legalna inwigilacja obywateli.
Znamienici eksperci ds. cyberbezpieczeństwa przygotowali list otwarty do regulatorów UE z prośbą o zmianę artykułów 45 i 45a w propozycji aktu eIDAS (Electronic Identification, Authentication and Trust Services). Aktualne brzmienie nie wyklucza bowiem poważnych nadużyć, łącznie z podsłuchem na miarę Pegasusa. Dodatkowe zabezpieczenia są mile widziane, ale nie kosztem spójności globalnych standardów, które zapewniają obecnie bezpieczeństwo globalnej sieci. List podpisali specjaliści m.in. z Linux Foundation, Mozilla Foundation, Cloudflare oraz licznych instytutów i uniwersytetów.
Źródło zdjęć: Ivan Marc / Shutterstock
Źródło tekstu: The Record, Mozilla, Europa.eu
