Escrito por Robert Blumen a través del Instituto Brownstone,
La Comisión Europea es un organismo legislativo de la UE con autoridad reguladora sobre la tecnologÃa digital. El ArtÃculo 45 de eIDAS de la CE, una regulación propuesta, debilitarÃa deliberadamente áreas de seguridad en Internet que la industria ha evolucionado y fortalecido cuidadosamente durante más de 25 años. El artÃculo otorgarÃa efectivamente a los 27 gobiernos de la UE poderes de vigilancia enormemente ampliados sobre el uso de Internet.
La regla requerirÃa que todos los navegadores de Internet confÃen en un certificado raÃz adicional de una agencia (o entidad regulada) de cada uno de los gobiernos nacionales de cada uno de los estados miembros de la UE. Para los lectores no técnicos, explicaré qué es un certificado raÃz, cómo ha evolucionado la confianza en Internet y qué hace el ArtÃculo 45 al respecto. Y luego destacaré algunos de los comentarios de la comunidad tecnológica sobre este asunto.
La siguiente sección de este artÃculo explicará cómo funciona la infraestructura de confianza de Internet. Estos antecedentes son necesarios para comprender cuán radical es el artÃculo propuesto. La explicación está destinada a ser accesible para un lector no técnico.
El reglamento en cuestión aborda la seguridad en Internet. AquÃ, "Internet" significa, en gran medida, navegadores que visitan sitios web. La seguridad en Internet consta de muchos aspectos distintos. El artÃculo 45 pretende modificar la infraestructura de clave pública (PKI) , parte de la seguridad en Internet desde mediados de los años 90. PKI se adoptó inicialmente y luego se mejoró durante un perÃodo de 25 años para brindar a los usuarios y editores las siguientes garantÃas:
Privacidad de la conversación entre el navegador y el sitio web : los navegadores y los sitios web conversan a través de Internet, una red de redes operadas por proveedores de servicios de Internet y operadores de nivel 1 ; o operadores de telefonÃa celular si el dispositivo es móvil. La red en sà no es inherentemente segura ni confiable. Es posible que su ISP local entrometido , un viajero en la sala VIP del aeropuerto donde espera su vuelo o un proveedor de datos que busca vender clientes potenciales a anunciantes quieran espiarlo. Sin ninguna protección, un mal actor podrÃa ver datos confidenciales como una contraseña, el saldo de una tarjeta de crédito o información de salud.
Garantice que ve la página exactamente como el sitio web se la envió : cuando ve una página web, ¿podrÃa haber sido manipulada entre el editor y su navegador? Es posible que un censor quiera eliminar contenido que no quiere que usted vea. El contenido etiquetado como “desinformación” fue ampliamente suprimido durante la histeria del covid. Un pirata informático que haya robado su tarjeta de crédito podrÃa querer eliminar la evidencia de sus cargos fraudulentos.
Asegúrese de que el sitio web que ve sea realmente el que aparece en la barra de direcciones del navegador : cuando se conecta a un banco, ¿cómo sabe que está viendo el sitio web de ese banco y no una versión falsa que parece idéntica? Compruebas la barra de ubicación de tu navegador. ¿Se podrÃa engañar a su navegador para que le muestre un sitio web falso que parezca idéntico al real? ¿Cómo sabe su navegador (con seguridad) que está conectado al sitio correcto?
En los primeros dÃas de Internet, no existÃa ninguna de estas garantÃas. En 2010, un complemento de navegador disponible en la tienda de complementos permitÃa al usuario participar en el chat grupal de Facebook de otra persona en un café. Ahora, gracias a PKI, puedes estar bastante seguro de estas cosas.
Estos elementos de seguridad están protegidos con un sistema basado en certificados digitales . Los certificados digitales son una forma de identificación: la versión en Internet de una licencia de conducir. Cuando un navegador se conecta a un sitio, el sitio presenta un certificado al navegador. El certificado contiene una clave criptográfica. El navegador y el sitio web trabajan juntos con una serie de cálculos criptográficos para configurar una comunicación segura.
Juntos, el navegador y el sitio web proporcionan las tres garantÃas de seguridad:
privacidad : cifrando la conversación.
Firmas digitales criptográficas: para garantizar que el contenido no se modifique en vuelo .
verificación del editor : a través de la cadena de confianza proporcionada por PKI, que explicaré con más detalle a continuación.
Una buena identidad deberÃa ser difÃcil de falsificar. En el mundo antiguo, un sello moldeado en cera servÃa para este propósito. Las identidades de los humanos se han basado en la biometrÃa. Tu cara es una de las formas más antiguas. En el mundo no digital, cuando necesite acceder a una configuración restringida por edad, como pedir una bebida alcohólica, se le pedirá una identificación con fotografÃa.
Otra biométrica anterior a la era digital era hacer coincidir su firma nueva con pluma y tinta con su firma original en el reverso de su identificación. A medida que estos tipos más antiguos de datos biométricos se vuelven más fáciles de falsificar, la verificación de la identidad humana se ha adaptado. Ahora bien, es común que un banco te envÃe un código de validación en tu móvil. La aplicación requiere que pases una verificación de identidad biométrica en tu teléfono móvil para ver códigos como el reconocimiento facial o tu huella digital.
Además de la información biométrica, el segundo factor que hace que una identificación sea confiable es el emisor. Las identificaciones que son ampliamente aceptadas dependen de la capacidad del emisor para verificar que la persona que solicita una identificación es quien dice ser. La mayorÃa de las formas de identificación más aceptadas son emitidas por agencias gubernamentales, como el Departamento de VehÃculos Motorizados. Si la agencia emisora tiene medios confiables para rastrear quiénes y dónde están sus sujetos, como pagos de impuestos, registros de empleo o el uso de servicios públicos de agua, entonces hay muchas posibilidades de que la agencia pueda verificar que la persona nombrada en la identificación es esa persona.
En el mundo en lÃnea, los gobiernos, en su mayor parte, no se han involucrado en la verificación de identidad. Los certificados son emitidos por empresas del sector privado conocidas como autoridades de certificación (CA). Si bien los certificados solÃan ser bastante caros, las tarifas han bajado considerablemente hasta el punto de que algunos son gratuitos . Las CA más conocidas son Verisign, DigiCert y GoDaddy. Ryan Hurst muestra que las siete principales CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft e IdenTrust) emiten el 99% de todos los certificados.
El navegador aceptará un certificado como prueba de identidad sólo si el campo de nombre del certificado coincide con el nombre de dominio, que el navegador muestra en la barra de direcciones. Incluso si los nombres coinciden, ¿establece eso que un certificado que dice “apple.com” pertenece a la empresa de electrónica de consumo conocida como Apple, Inc.? Los sistemas de identidad no son a prueba de balas. Los bebedores menores de edad pueden obtener identificaciones falsas . Al igual que las identificaciones humanas, los certificados digitales también pueden ser falsos o no válidos por otros motivos. Un ingeniero de software que utilice herramientas gratuitas de código abierto puede crear un certificado digital llamado "apple.com" con algunos comandos de Linux .
El sistema PKI depende de las CA para emitir cualquier certificado únicamente al propietario del sitio web. El flujo de trabajo para adquirir un certificado es el siguiente:
El editor de un sitio web solicita a su CA preferida un certificado para un dominio.
La CA verifica que la solicitud de certificado proviene del propietario real de ese sitio. ¿Cómo establece esto la CA? La CA exige que la entidad que realiza la solicitud publique un contenido especÃfico en una URL especÃfica. La capacidad de hacer esto demuestra que la entidad tiene control sobre el sitio web.
Una vez que el sitio web ha demostrado la propiedad del dominio, la CA agrega una firma digital criptográfica al certificado utilizando su propia clave criptográfica privada. La firma identifica a la CA como emisor.
El certificado firmado se entrega a la persona o entidad que realiza la solicitud.
El editor instala su certificado en su sitio web, para que pueda presentarse a los navegadores.
Las firmas digitales criptográficas son "un esquema matemático para verificar la autenticidad de mensajes o documentos digitales". No son lo mismo que la firma de documentos en lÃnea proporcionada por DocuSign y proveedores similares. Si la firma pudiera ser falsificada, los certificados no serÃan dignos de confianza. Con el tiempo el tamaño de las claves criptográficas ha ido aumentando con el objetivo de dificultar la falsificación. Los investigadores de criptografÃa creen que las firmas actuales, en términos prácticos, son imposibles de falsificar. Otra vulnerabilidad es cuando a la CA le roban sus claves secretas. El ladrón podrÃa entonces presentar firmas válidas de esa CA.
Una vez que se ha instalado el certificado, se utiliza durante la configuración de una conversación web. El Registro explica cómo va eso:
Si el certificado fue emitido por una CA buena conocida y todos los detalles son correctos, entonces el sitio es confiable y el navegador intentará establecer una conexión segura y cifrada con el sitio web para que su actividad en el sitio no sea visible. a un espÃa en la red. Si el certificado fue emitido por una CA que no es de confianza, o el certificado no coincide con la dirección del sitio web, o algunos detalles son incorrectos, el navegador rechazará el sitio web porque le preocupa que no se esté conectando al sitio web real que el usuario desea. y puede que esté hablando con un imitador.
Podemos confiar en el navegador porque el navegador confÃa en el sitio web. El navegador confÃa en el sitio web porque el certificado fue emitido por una CA "conocida en buen estado". Pero, ¿qué es una “CA buena y conocida”? La mayorÃa de los navegadores dependen de las CA proporcionadas por el sistema operativo. La lista de CA confiables la deciden los proveedores de dispositivos y software. Los principales proveedores de computadoras y dispositivos (Microsoft, Apple, fabricantes de teléfonos Android y distribuidores de Linux de código abierto) precargan el sistema operativo en sus dispositivos con un conjunto de certificados raÃz.
Estos certificados identifican las CA que han examinado y consideran confiables. Esta colección de certificados raÃz se denomina "almacén de confianza". Para tomar un ejemplo cercano a mÃ, la PC con Windows que estoy usando para escribir este artÃculo tiene 70 certificados raÃz en su almacén de certificados raÃz confiable. El sitio de soporte de Apple enumera todas las raÃces en las que confÃa la versión Sierra de MacOS .
¿Cómo deciden los proveedores de computadoras y teléfonos qué CA son confiables? Tienen programas de auditorÃa y cumplimiento para evaluar la calidad de las CA. Sólo se incluyen los que pasan. Véase, por ejemplo, el navegador Chrome (que proporciona su propio almacén de confianza en lugar de utilizar el del dispositivo). La EFF ( que se describe a sà misma como “la principal organización sin fines de lucro que defiende las libertades civiles en el mundo digital” ) explica :
Los navegadores operan "programas raÃz" para monitorear la seguridad y confiabilidad de las CA en las que confÃan. Esos programas raÃz imponen una serie de requisitos que varÃan desde "cómo se debe proteger el material de claves" hasta "cómo se debe realizar la validación del control de nombres de dominio" y "qué algoritmos se deben utilizar para la firma de certificados".
Una vez que un proveedor ha aceptado una CA, el proveedor continúa supervisándola. Los proveedores eliminarán las CA del almacén de confianza si la CA no cumple con los estándares de seguridad necesarios. Las autoridades certificadoras pueden actuar de forma deshonesta o fracasar por otros motivos, y lo hacen. El Registro informa :
Los certificados y las CA que los emiten no siempre son confiables y, a lo largo de los años, los fabricantes de navegadores han eliminado los certificados raÃz de CA de las CA con sede en TurquÃa, Francia, China, Kazajstán y otros lugares cuando se descubrió que la entidad emisora o una parte asociada estaba interceptando la web. tráfico.
En 2022, el investigador Ian Carroll informó preocupaciones de seguridad con la autoridad de certificación e-Tugra . Carroll "encontró una serie de problemas alarmantes que me preocupan en cuanto a las prácticas de seguridad dentro de su empresa", como credenciales débiles. Los informes de Carroll fueron verificados por los principales proveedores de software. Como resultado, e-Tugra fue eliminado de sus almacenes de certificados de confianza .
La CronologÃa de fallas de las autoridades certificadoras habla de otros incidentes similares.
TodavÃa existen algunos agujeros conocidos en la PKI tal como existe actualmente. Debido a que una cuestión en particular es importante para comprender el ArtÃculo 45 de eIDAS, la explicaré a continuación. El fideicomiso de una CA no se aplica a aquellos sitios web que realizan negocios con esa CA. Un navegador aceptará un certificado de cualquier CA confiable para cualquier sitio web. No hay nada que impida a la CA publicar un sitio web para un mal actor que no haya sido solicitado por el propietario del sitio. Un certificado de este tipo serÃa fraudulento en el sentido jurÃdico debido a quién fue emitido. Pero el contenido del certificado serÃa técnicamente válido desde el punto de vista del navegador.
Si hubiera una manera de asociar cada sitio web con su CA preferida, entonces cualquier certificado para ese sitio de cualquier otra CA serÃa inmediatamente reconocido como fraudulento. La fijación de certificados es otro estándar que da un paso en esta dirección. Pero, ¿cómo se publicarÃa esa asociación y cómo se confiarÃa en ese editor?
En cada capa de este proceso, la solución técnica depende de una fuente externa de confianza. Pero ¿cómo se establece esa confianza? ¿Confiando en una fuente aún más confiable en el siguiente plano superior? Esta pregunta ilustra la “ tortugas, hasta el fondo naturaleza del problema de ”. PKI tiene una tortuga en el fondo: la reputación, visibilidad y transparencia de la industria de la seguridad y sus clientes. La confianza se construye en este nivel a través de un monitoreo constante, estándares abiertos, los desarrolladores de software y las CA.
Se han emitido certificados fraudulentos. En 2013, ArsTechnica informó que una agencia francesa fue sorprendida emitiendo certificados SSL haciéndose pasar por Google :
En 2011... los investigadores de seguridad detectaron un certificado falso para Google.com que daba a los atacantes la posibilidad de hacerse pasar por el servicio de correo del sitio web y otras ofertas. El certificado falsificado se acuñó después de que los atacantes vulneraran la seguridad de DigiNotar, con sede en los PaÃses Bajos, y obtuvieran el control de sus sistemas de emisión de certificados.
Las credenciales de la capa de conexión segura (SSL) fueron firmadas digitalmente por una autoridad certificadora válida... De hecho, los certificados eran duplicados no autorizados que se emitieron en violación de las reglas establecidas por los fabricantes de navegadores y los servicios de la autoridad certificadora.
Puede ocurrir una emisión fraudulenta de certificados. Una CA deshonesta puede emitir uno, pero no llegará muy lejos. Se detectará el certificado incorrecto. La CA defectuosa fallará en los programas de cumplimiento y será eliminada de los almacenes de confianza. Sin aceptación, la CA cerrará. La transparencia de certificados , un estándar más reciente, permite una detección más rápida de certificados fraudulentos.
¿Por qué una CA se volverÃa deshonesta? ¿Qué ventaja puede obtener el malo de un certificado no autorizado? Solo con el certificado, no mucho, incluso cuando está firmado por una CA confiable. Pero si el malhechor puede asociarse con un ISP, o acceder de otro modo a la red que utiliza el navegador, el certificado le da al malhechor la capacidad de romper todas las garantÃas de seguridad de PKI.
El hacker podrÃa montar un ataque de intermediario (MITM) en la conversación. El atacante podrÃa insertarse entre el navegador y el sitio web real. En este escenario, el usuario estarÃa hablando directamente con el atacante, y el atacante transmitirÃa los contenidos de un lado a otro con el sitio web real. El atacante presentarÃa el certificado fraudulento al navegador. Como estaba firmado por una CA confiable, el navegador lo aceptarÃa. El atacante podrÃa ver e incluso modificar lo que cualquiera de las partes envió antes de que la otra parte lo recibiera.
Ahora llegamos al siniestro eIDAS de la UE, el ArtÃculo 45. Esta regulación propuesta requiere que todos los navegadores confÃen en una canasta de certificados de CA designadas por la UE. Veintisiete para ser exactos: uno por cada paÃs miembro. Estos certificados se denominarán Certificados cualificados de autenticación de sitios web . El acrónimo “QWAC” tiene un desafortunado homófono de charlatanerÃa (o tal vez la CE nos esté troleando).
Los QWAC serÃan emitidos por agencias gubernamentales o por lo que Michael Rectenwald llama gubernamentalidades : “corporaciones, empresas y otros adjuntos del estado que de otro modo se denominan 'privados', pero que en realidad operan como aparatos estatales, en el sentido de que hacen cumplir las leyes. narrativas y dictados estatales”.
Este plan acercarÃa a los gobiernos miembros de la UE un paso más hacia el punto en el que podrÃan actuar como intermediarios contra sus propios ciudadanos. También necesitarÃan acceder a las redes. Los gobiernos están en condiciones de hacerlo. Si el ISP funciona como una empresa de propiedad estatal, entonces ya lo tendrÃan. locales Si los ISP son empresas privadas, las autoridades podrÃan utilizar poderes policiales para obtener acceso.
Un punto que no se ha enfatizado en la conversación pública es que un navegador en cualquiera de los 27 paÃses miembros de la UE deberÃa aceptar cada QWAC, uno de cada miembro de la UE . Esto significa que un navegador en, por ejemplo, España, tendrÃa que confiar en un QWAC de entidades en Croacia, Finlandia y Austria. El usuario español que visite un sitio web austriaco tendrÃa que transitar por partes austriacas de Internet. Todas las cuestiones planteadas anteriormente se aplicarÃan en todos los paÃses de la UE.
The Register, en un artÃculo titulado Bad eIDAS: Europa lista para interceptar y espiar sus conexiones HTTPS cifradas explica una forma en que esto podrÃa funcionar:
[E]se gobierno puede solicitar a su CA amiga una copia del certificado [QWAC] para que pueda hacerse pasar por el sitio web, o solicitar algún otro certificado en el que los navegadores confÃen y acepten para el sitio. Por lo tanto, utilizando un ataque de intermediario, ese gobierno puede interceptar y descifrar el tráfico HTTPS cifrado entre el sitio web y sus usuarios, lo que permite al régimen monitorear exactamente lo que la gente está haciendo con ese sitio en cualquier momento.
Una vez traspasado el escudo del cifrado, el seguimiento podrÃa incluir guardar las contraseñas de los usuarios y luego utilizarlas en otro momento para acceder a las cuentas de correo electrónico de los ciudadanos. Además de monitorear, los gobiernos podrÃan modificar el contenido en lÃnea. Por ejemplo, podrÃan eliminar las narrativas que quieran censurar. PodrÃan adjuntar molestas verificaciones de datos y advertencias de contenido a las opiniones disidentes.
Tal como están las cosas actualmente, las CA deben mantener la confianza de la comunidad de navegadores. Actualmente, los navegadores advierten al usuario si un sitio presenta un certificado caducado o que no es de confianza. Según el artÃculo 45, se prohibirÃan las advertencias o la expulsión de quienes abusan de su confianza. Los navegadores no solo tienen la obligación de confiar en los QWAC, sino que el ArtÃculo 45 prohÃbe a los navegadores mostrar una advertencia de que un certificado firmado por un QWAC.
Last Chance for eIDAS (un sitio web que muestra el logotipo de Mozilla) aboga contra el ArtÃculo 45:
Cualquier estado miembro de la UE tiene la capacidad de designar claves criptográficas para su distribución en navegadores web y los navegadores tienen prohibido revocar la confianza en estas claves sin el permiso del gobierno.
…No existe un control o equilibrio independiente sobre las decisiones tomadas por los Estados miembros con respecto a las claves que autorizan y el uso que les dan. Esto es particularmente preocupante dado que la adhesión al Estado de derecho no ha sido uniforme en todos los estados miembros, con casos documentados de coerción por parte de la policÃa secreta con fines polÃticos.
En una carta abierta firmada por varios cientos de investigadores de seguridad e informáticos :
El artÃculo 45 también prohÃbe los controles de seguridad de los certificados web de la UE, a menos que el reglamento lo permita expresamente al establecer conexiones de tráfico web cifradas. En lugar de especificar un conjunto de medidas de seguridad mÃnimas que deben aplicarse como base, en la práctica especifica un lÃmite superior de las medidas de seguridad que no se puede mejorar sin el permiso del ETSI. Esto va en contra de normas globales bien establecidas en las que se desarrollan e implementan nuevas tecnologÃas de ciberseguridad en respuesta a los rápidos avances tecnológicos.
La mayorÃa de nosotros confiamos en nuestros proveedores para seleccionar la lista de CA confiables. Sin embargo, como usuario, puede agregar o eliminar certificados como desee en sus propios dispositivos. Microsoft Windows tiene una herramienta para hacer esto . En Linux, los certificados raÃz son archivos ubicados en un único directorio. Es posible que una CA deje de ser confiable simplemente eliminando el archivo. ¿Esto también estará prohibido? Steve Gibson, destacado experto en seguridad, columnista y presentador del veterano podcast Security Now, pregunta :
Pero la UE está afirmando que los navegadores deberán respetar estas autoridades certificadoras nuevas, no probadas y no comprobadas y, por tanto, cualquier certificado que emitan, sin excepción y sin recurso. ¿Eso significa que mi instancia de Firefox estará legalmente obligada a rechazar mi intento de eliminar esos certificados?
Gibson señala que algunas corporaciones implementan una vigilancia similar de sus empleados dentro de su propia red privada. Cualquiera que sea su opinión sobre esas condiciones laborales, algunas industrias tienen razones legÃtimas de auditorÃa y cumplimiento para rastrear y registrar lo que sus empleados hacen con los recursos de la empresa. Gibson Pero, como continúa ,
El problema es que la UE y sus paÃses miembros son muy diferentes de los empleados de una organización privada. Cada vez que un empleado no quiere que lo espÃen, puede usar su propio teléfono inteligente para eludir la red de su empleador. Y, por supuesto, la red privada de un empleador es sólo eso, una red privada. La UE quiere hacer esto para toda la Internet pública, de la que no habrÃa escapatoria.
Ahora hemos establecido el carácter radical de esta propuesta. Es momento de preguntarse ¿qué razones ofrece la CE para motivar este cambio? La CE dice que la verificación de identidad bajo PKI no es adecuada. Y que estos cambios son necesarios para mejorarlo.
¿Hay algo de verdad en las afirmaciones de las CE? La PKI actual en la mayorÃa de los casos sólo requiere la solicitud para demostrar el control del sitio web. Si bien eso es algo, no garantiza, por ejemplo, que la propiedad web “apple.com” sea propiedad de la empresa de electrónica de consumo conocida como Apple Inc, con sede en Cupertino, California. Un usuario malintencionado podrÃa obtener un certificado válido para un nombre de dominio similar al de una empresa conocida. El certificado válido podrÃa usarse en un ataque que dependiera de que algunos usuarios no buscaran lo suficiente como para darse cuenta de que el nombre no coincide. Esto le sucedió al procesador de pagos Stripe .
Para los editores que deseen demostrarle al mundo que realmente son la misma entidad corporativa, algunas CA han ofrecido certificados de validación extendida (EV) . La parte "extendida" consiste en validaciones adicionales de la propia empresa, como la dirección comercial, un número de teléfono que funcione, una licencia comercial o constitución y otros atributos tÃpicos de una empresa en funcionamiento. Los vehÃculos eléctricos tienen un precio más alto porque requieren más trabajo por parte de la CA.
Los navegadores solÃan mostrar información visual resaltada para un vehÃculo eléctrico, como un color diferente o un icono de candado más resistente. En los últimos años, los vehÃculos eléctricos no han sido particularmente populares en el mercado. En su mayorÃa han muerto. Muchos navegadores ya no muestran comentarios diferenciales.
A pesar de las debilidades que aún existen, PKI ha mejorado notablemente con el tiempo. A medida que se han comprendido los defectos, se han solucionado. Se han fortalecido los algoritmos criptográficos, se ha mejorado la gobernanza y se han bloqueado las vulnerabilidades. La gobernanza por consenso de los actores de la industria ha funcionado bastante bien. El sistema seguirá evolucionando, tanto tecnológica como institucionalmente. Aparte de la intromisión de los reguladores, no hay razón para esperar lo contrario.
Hemos aprendido de la mediocre historia de los vehÃculos eléctricos que al mercado no le importa tanto la verificación de la identidad corporativa. Sin embargo, si los usuarios de Internet quisieran eso, no serÃa necesario romper la PKI existente para dársela. SerÃan suficientes algunos pequeños ajustes a los flujos de trabajo existentes. Algunos comentaristas han propuesto modificar el protocolo de enlace TLS ; el sitio web presentarÃa un certificado adicional. El certificado primario funcionarÃa como lo hace ahora. El certificado secundario, firmado por un QWAC, implementarÃa los estándares de identidad adicionales que la CE dice querer.
Las supuestas razones de la CE para el eIDAS simplemente no son creÃbles. No sólo las razones dadas son inverosÃmiles, sino que la CE ni siquiera se molesta con las habituales quejas mojigatas sobre cómo debemos sacrificar importantes libertades en nombre de la seguridad porque nos enfrentamos a la grave amenaza de [elija una] trata de personas, seguridad infantil, blanqueo de dinero. , evasión fiscal o (mi favorito personal) cambio climático . No se puede negar que la UE nos está engañando.
Si las CE no son honestas acerca de sus verdaderos motivos, ¿qué buscan entonces?
Gibson ve una intención nefasta :
Y sólo hay una razón posible para que quieran [obligar a los navegadores a confiar en los QWAC], que es permitir la interceptación del tráfico web de Internet sobre la marcha , exactamente como sucede dentro de las corporaciones. Y eso se reconoce.
(Lo que Gibson quiere decir con “intercepción del tráfico web” es el ataque MITM descrito anteriormente). Otros comentarios han destacado las siniestras implicaciones para la libertad de expresión y la protesta polÃtica. Hurst , en un ensayo extenso, presenta un argumento resbaladizo:
Cuando una democracia liberal establece este tipo de control sobre la tecnologÃa en la web, a pesar de sus consecuencias, sienta las bases para que gobiernos más autoritarios sigan su ejemplo con impunidad.
Mozilla citado en techdirt (sin enlace al original) dice más o menos lo mismo:
[O]lzar a los navegadores a confiar automáticamente en las autoridades de certificación respaldadas por el gobierno es una táctica clave utilizada por los regÃmenes autoritarios, y estos actores se sentirÃan envalentonados por el efecto legitimador de las acciones de la UE...
Gibson hace una observación similar :
Y luego está el espectro muy real de qué otras puertas se abren: si la UE demuestra al resto del mundo que puede dictar con éxito las condiciones de confianza para los navegadores web independientes utilizados por sus ciudadanos, ¿qué seguirán otros paÃses con leyes similares? ? Ahora todo el mundo puede simplemente exigir que se agreguen los certificados de su propio paÃs. Esto nos lleva exactamente en la dirección equivocada.
Esta propuesta de ArtÃculo 45 es un ataque a la privacidad de los usuarios en las naciones de la UE. Si se adopta, supondrÃa un enorme revés no sólo para la seguridad de Internet, sino también para el evolucionado sistema de gobernanza. Estoy de acuerdo con Steve Gibson en que:
Lo que no está del todo claro, y lo que no he encontrado en ninguna parte, es una explicación de la autoridad con la que la UE imagina que es capaz de dictar el diseño del software de otras organizaciones. Porque a eso se reduce todo esto.
La respuesta al artÃculo 45 propuesto ha sido enormemente negativa. En su artÃculo 45, la EFF hará retroceder la seguridad web en 12 años , escribe: "Esto es una catástrofe para la privacidad de todos los que usan Internet, pero particularmente para aquellos que usan Internet en la UE".
El esfuerzo eIDAS es un incendio de cuatro alarmas para la comunidad de seguridad. Mozilla, fabricante del navegador web de código abierto Firefox, publicó una declaración conjunta de la industria oponiéndose a ello. La declaración está firmada por una lista estelar de empresas de infraestructura de Internet, incluida la propia Mozilla, Cloudflare, Fastly y la Fundación Linux.
De la carta abierta mencionada anteriormente:
Después de leer el texto casi final, estamos profundamente preocupados por el texto propuesto para el ArtÃculo 45. La propuesta actual amplÃa radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE, proporcionándoles los medios técnicos para interceptar datos cifrados. tráfico web, además de socavar los mecanismos de supervisión existentes en los que se basan los ciudadanos europeos.
¿A dónde va esto? El reglamento se ha propuesto desde hace algún tiempo. Se programó una decisión final para noviembre de 2023. Las búsquedas en la web no muestran información nueva sobre este tema desde entonces.
En los últimos años ha aumentado la censura absoluta en todas sus formas. Durante la locura del covid, el gobierno y la industria se asociaron para crear un complejo industrial de censura para promover de manera más eficiente narrativas falsas y reprimir a los disidentes. En estos últimos años, los escépticos y las voces independientes han contraatacado, en los tribunales y creando con puntos de vista neutrales . plataformas
Si bien la censura de expresión sigue siendo un gran peligro, los derechos de escritores y periodistas están mejor protegidos que muchos otros derechos. En Estados Unidos, la Primera Enmienda protege explÃcitamente la expresión y la libertad de criticar al gobierno. Los tribunales pueden opinar que cualquier derecho o libertad que no esté protegido por un lenguaje legal muy especÃfico es un juego limpio. Esta puede ser la razón por la que la resistencia ha tenido más éxito en el discurso que otros esfuerzos para detener otros abusos de poder, como las cuarentenas y los bloqueos de población.
En lugar de un enemigo bien defendido, los gobiernos están trasladando sus ataques a otras capas de la infraestructura de Internet. Estos servicios, como el registro de dominios, DNS, certificados, procesadores de pagos, alojamiento y tiendas de aplicaciones, consisten en gran medida en transacciones de mercados privados. Estos servicios están mucho menos protegidos que la expresión porque, en su mayor parte, nadie tiene derecho a comprar un servicio especÃfico de una empresa en particular. Y el público comprende menos los servicios más técnicos, como DNS y PKI, que la publicación web.
El sistema PKI es particularmente vulnerable a los ataques porque funciona según la reputación y el consenso. No existe una autoridad única que gobierne todo el sistema. Los jugadores deben ganarse una reputación a través de la transparencia, el cumplimiento y la notificación honesta de las fallas. Y eso lo hace vulnerable a este tipo de ataque disruptivo. Si la PKI de la UE cae en manos de los reguladores, espero que otros paÃses sigan sus pasos. No sólo la PKI está en riesgo. Una vez que se demuestre que los reguladores pueden atacar otras capas de la pila, estos también serán el objetivo.
0 Comentarios