EUはヨーロッパ人のインターネット利用を監視したい
ポストする 投稿者: EraOfLight — 返信を残す
ロバート・ブルーメン著
欧州委員会は、デジタル技術に対する規制権限を持つ EU の立法機関です。。EC の規制案である eIDAS 第 45 条は、業界が 25 年以上にわたって慎重に進化させ、強化してきたインターネット セキュリティの領域を意図的に弱体化させるものです。この条項は事実上、EU 27か国政府にインターネット利用に対する監視権限を大幅に拡大することを認めるものとなる。
この規則では、すべてのインターネット ブラウザに対し、EU 加盟国の各国政府の機関 (または規制対象機関) からの追加のルート証明書を信頼することが求められます。技術者以外の読者のために、ルート証明書とは何か、インターネットの信頼がどのように進化してきたか、およびこれに対する第 45 条の規定について説明します。次に、この件に関する技術コミュニティからのコメントをいくつか紹介します。
この記事の次のセクションでは、インターネットの信頼インフラストラクチャがどのように機能するかについて説明します。この背景は、提案された条項がどれほど急進的なものであるかを理解するために必要です。この説明は、技術に詳しくない読者でも理解できるようにすることを目的としています。
問題の規制はインターネットのセキュリティに関するものです。ここでの「インターネット」とは主に、Web サイトにアクセスするブラウザを意味します。インターネット セキュリティは、多くの異なる側面で構成されています。第 45 条は、 90 年代半ば以来インターネット セキュリティの一部である公開キー基盤 (PKI)を変更することを目的としています。PKI は最初に採用され、その後 25 年間にわたって改良され、ユーザーと発行者に次の保証を提供してきました。
- ブラウザと Web サイト間の会話のプライバシー: ブラウザと Web サイトは、インターネット(インターネット サービス プロバイダーおよび Tier 1 通信事業者によって運営されるネットワークのネットワーク) 上で会話します 。 デバイスがモバイルの場合は携帯 電話会社。ネットワーク自体は本質的に安全でも信頼できるものでもありません。あなたの うるさい自宅の ISP、 あなたがフライトを待っている空港ラウンジにいる旅行者 、または 広告主に見込み客を販売しようとしているデータ ベンダーが あなたをスパイしようとしているかもしれません。保護がなければ、悪意のある者がパスワード、クレジット カード残高、健康情報などの機密データを閲覧する可能性があります。
- Web サイトから送信されたとおりにページを表示することを保証します。Web ページを表示するとき、発行者とブラウザーの間でページが改ざんされた可能性がありますか? 検閲者は、ユーザーに見せたくないコンテンツを削除したい場合があります。「誤情報」とラベル付けされたコンテンツは、新型コロナウイルスのヒステリーの最中に広く抑圧されました。クレジット カードを盗んだハッカーは、不正請求の証拠を削除したいと考えている可能性があります。
- 表示されている Web サイトが実際にブラウザのロケーション バーにあるものであることを保証する: 銀行に接続するとき、同じように見える偽のバージョンではなく、その銀行の Web サイトが表示されていることがどのようにしてわかりますか? ブラウザのロケーションバーを確認します。ブラウザが騙されて、本物と同じように見える偽の Web サイトが表示される可能性はありますか? ブラウザはどのようにして、正しいサイトに接続していることを確実に知ることができるのでしょうか?
インターネットの初期には、これらの保証は存在しませんでした。2010 年、 アドオン ストアで利用可能なブラウザ プラグインを使用すると、 ユーザーはカフェのホットスポットで他の人の Facebook グループ チャットに参加できるようになりました。PKI のおかげで、これらのことをかなり確信できるようになりました。
これらのセキュリティ機能は、デジタル証明書に基づくシステムで保護されています 。デジタル証明書は ID の一種であり、運転免許証のインターネット版です。ブラウザがサイトに接続すると、サイトはブラウザに証明書を提示します。証明書には暗号キーが含まれています。ブラウザと Web サイトは一連の暗号計算を使用して連携して、安全な通信を確立します。
ブラウザと Web サイトは連携して、次の 3 つのセキュリティ保証を提供します。
- プライバシー: 会話を暗号化することによって。
- 暗号デジタル署名: コンテンツが送信中に変更されないことを保証します 。
- 発行者の検証: PKI によって提供される信頼のチェーンを介して。これについては、以下で詳しく説明します。
優れたアイデンティティは偽造が困難である必要があります。古代世界では、 封印をワックスで鋳造することが この目的に役立ちました。人間のアイデンティティは生体認証に依存してきました。あなたの顔は最も古い形態の 1 つです。非デジタルの世界では、アルコール飲料の注文など、年齢制限のある設定にアクセスする必要がある場合、写真付き身分証明書の提示が求められます。
デジタル時代以前のもう 1 つの生体認証は、新しいペンとインクの署名を ID の裏にある元の署名と照合することでした。このような古いタイプの生体認証が偽造しやすくなるにつれて、人間の身元確認も適応してきました。現在では、銀行が携帯電話に認証コードを送信するのが一般的です。このアプリでは、顔認識や指紋などのコードを表示するには、携帯電話で生体認証の ID チェックに合格する必要があります。
生体認証に加えて、ID を信頼できるものにする 2 番目の要素は発行者です。広く受け入れられる ID は、ID を申請する人が本人であることを発行者が確認できるかどうかに依存します。広く受け入れられている ID 形式のほとんどは、陸運局などの政府機関によって発行されます。発行機関が、納税、雇用記録、水道事業サービスの利用など、対象者が誰でどこにいるかを追跡する信頼できる手段を持っている場合、その機関は、ID に記載されている人物が本人であることを確認できる可能性が高くなります。あの人。
オンラインの世界では、政府はほとんどの場合、本人確認に関与していません。証明書は、認証局(CA)と呼ばれる民間企業によって発行されます 。証明書は以前は非常に高価でしたが、手数料は大幅に下がり、 一部は無料になります。最もよく知られている CA は、Verisign、DigiCert、GoDaddy です。 Ryan Hurst 氏は、 7 つの主要 CA (ISRG、DigiCert、Sectigo、Google、GoDaddy、Microsoft、IdenTrust) がすべての証明書の 99% を発行していることを示しています。
ブラウザは、証明書の名前フィールドがブラウザのロケーション バーに表示されるドメイン名と一致する場合にのみ、証明書を身元証明として受け入れます。たとえ名前が一致したとしても、「apple.com」と書かれた証明書は Apple, Inc. として知られる家電事業者に属しているということになりますか? ID システムは完全に安全ではありません。未成年の飲酒者は 偽の身分証明書を取得する可能性があります。人間の ID と同様に、デジタル証明書も偽造される可能性や、他の理由で無効になる可能性があります。無料のオープンソース ツールを使用するソフトウェア エンジニアは、 いくつかの Linux コマンドで「apple.com」という名前のデジタル証明書を作成できます。
PKI システムは CA に依存して、Web サイトの所有者にのみ証明書を発行します。証明書を取得するワークフローは次のようになります。
- Web サイトの発行者は、ドメインの証明書を優先 CA に申請します。
- CA は、証明書要求がそのサイトの実際の所有者からのものであることを検証します。CA はどのようにしてこれを確立するのでしょうか? CA は、リクエストを行うエンティティに対して、特定のコンテンツを特定の URL で公開することを要求します。これを実行できるということは、そのエンティティが Web サイトを制御していることを証明します。
- Web サイトがドメインの所有権を証明すると、CA は 独自の秘密暗号キーを使用して証明書に暗号デジタル署名を追加します。署名により、CA が発行者として識別されます。
- 署名された証明書は、リクエストを行った個人またはエンティティに送信されます。
- 発行者は証明書を Web サイトにインストールするため、ブラウザーに証明書が表示されることがあります。
暗号化デジタル署名は、「デジタル メッセージまたはドキュメントの信頼性を検証するための数学的スキーム」です。これらは、DocuSign や同様のベンダーが提供するオンライン文書署名と同じものではありません。署名が偽造された可能性がある場合、証明書は信頼できなくなります。偽造をより困難にする目的で、時間の経過とともに暗号キーのサイズが増加してきました。暗号研究者は、現在の署名を偽造することは事実上不可能であると考えています。もう 1 つの脆弱性は、CA の秘密鍵が盗まれた場合です。その後、窃盗者はその CA の有効な署名を生成する可能性があります。
証明書がインストールされると、Web 会話のセットアップ中に使用されます。 『 レジスター』はその経緯を次のように 説明している 。
証明書が既知の良好な CA によって発行され、すべての詳細が正しい場合、そのサイトは信頼されており、ブラウザーは Web サイトとの安全な暗号化された接続を確立しようとするため、サイトでのアクティビティが表示されなくなります。ネットワーク上の盗聴者に。証明書が信頼されていない CA によって発行された場合、証明書が Web サイトのアドレスと一致しない場合、または一部の詳細が間違っている場合、ブラウザーは、ユーザーが希望する実際の Web サイトに接続していないという懸念から Web サイトを拒否します。 、なりすまし者と話している可能性があります。
ブラウザは Web サイトを信頼しているため、ブラウザを信頼できます。証明書が「既知の良好な」CA によって発行されたため、ブラウザは Web サイトを信頼します。しかし、「既知の良好な CA」とは何でしょうか? ほとんどのブラウザは、オペレーティング システムによって提供される CA に依存します。信頼できる CA のリストは、デバイスおよびソフトウェア ベンダーによって決定されます。主要なコンピュータおよびデバイス ベンダー (Microsoft、Apple、Android 携帯電話メーカー、オープン ソース Linux ディストリビュータ) は、一連のルート証明書を使用してオペレーティング システムをデバイスにプリロードします。
これらの証明書は、精査され、信頼できるとみなされた CA を識別します。このルート証明書のコレクションは「トラスト ストア」と呼ばれます。身近な例を挙げると、この記事の執筆に使用している Windows PC の信頼されたルート証明書ストアには 70 個のルート証明書があります。Apple のサポート サイトには、 MacOS の Sierra バージョンで信頼されるすべてのルートがリストされています。
コンピューターや電話のベンダーはどの CA が信頼できるかをどのように判断するのでしょうか? CA の品質を評価するための監査およびコンプライアンス プログラムがあります。合格したもののみが含まれます。たとえば、 Chrome ブラウザを参照してください (デバイス上の信頼ストアを使用するのではなく、独自の信頼ストアを提供します)。EFF (自らを「デジタル世界で市民の自由を擁護する主要な非営利団体」と称している) は次のように説明しています。
ブラウザは「ルート プログラム」を動作させて、信頼する CA のセキュリティと信頼性を監視します。これらのルート プログラムは、「鍵素材をどのように保護する必要があるか」から「ドメイン名制御の検証をどのように実行する必要があるか」、「証明書の署名にどのようなアルゴリズムを使用する必要があるか」に至るまで、さまざまな要件を課します。
CA がベンダーに受け入れられた後、ベンダーは CA を監視し続けます。CA が必要なセキュリティ標準を維持できない場合、ベンダーは CA をトラスト ストアから削除します。認証局は、他の理由で不正になったり失敗したりする可能性があり、実際にそうなります。 レジスター 紙は次の ように報じている。
証明書とそれを発行する CA は必ずしも信頼できるとは限らず、ブラウザ メーカーは長年にわたり、発行主体または関連当事者が Web を傍受していることが判明した場合、トルコ、フランス、中国、カザフスタンなどに拠点を置く CA から CA ルート証明書を削除してきました。渋滞。
2022 年、研究者の Ian Carroll は、 e-Tugra 認証局のセキュリティ上の懸念を報告しました。キャロル氏は、認証情報が脆弱であるなど、「社内のセキュリティ慣行に関して懸念される多くの憂慮すべき問題を発見しました」。キャロル氏のレポートは、主要なソフトウェア ベンダーによって検証されました。その結果、e-Tugra は 信頼できる証明書ストアから削除されました。
「認証局障害のタイムライン」には、他 の同様のインシデントについても記載されています。
現在存在する PKI には、既知の穴がまだいくつかあります。eIDAS 第 45 条を理解する上で重要な問題が 1 つあるため、次に説明します。CA の信頼は、その CA とビジネスを行う Web サイトに限定されません。ブラウザは、任意の Web サイトの信頼できる CA からの証明書を受け入れます。CA が、サイトの所有者によって要求されていない Web サイトを悪意のある攻撃者に発行することを妨げるものは何もありません。このような証明書は、誰に発行されたかという理由から、法的な意味で詐欺になります。ただし、ブラウザーの観点からは、証明書の内容は技術的に有効です。
各 Web サイトを優先 CA に関連付ける方法があれば、他の CA からのそのサイトの証明書は直ちに不正であると認識されるでしょう。 証明書のピン留めは、 この方向への一歩を踏み出すもう 1 つの標準です。しかし、その協会はどのように出版され、その出版社はどのように信頼されるのでしょうか?
このプロセスの各層で、技術的ソリューションは外部の信頼源に依存します。しかし、その信頼はどのようにして確立されるのでしょうか? より高いレベルのさらに信頼できる情報源に依存することでしょうか? この質問は、問題の「ずっと下にあるカメ」の性質を示しています。PKI には、セキュリティ業界とその顧客の評判、可視性、透明性という重要な要素があります。信頼は、継続的な監視、オープンスタンダード、ソフトウェア開発者、CA を通じてこのレベルで構築されます。
不正な証明書が発行されました。2013 年に、ArsTechnica は、 Google になりすました SSL 証明書の鋳造をフランスの政府機関が捕らえたと報告しました。
2011 年…セキュリティ研究者は、 攻撃者に Web サイトのメール サービスやその他のサービスになりすます機能を与える Google.com の偽の証明書を発見しました。この偽造証明書は、攻撃者がオランダに拠点を置く DigiNotar のセキュリティを突破し、証明書発行システムを制御した後に発行されました。
Secure Sockets Layer (SSL) 資格情報は、有効な認証局によってデジタル署名されていました。実際、証明書は、ブラウザーの製造元と認証局サービスによって確立された規則に違反して発行された、不正な複製でした。
不正な証明書の発行が発生する可能性があります。不正な CA が発行することはできますが、それほど遠くまではいきません。不正な証明書が検出されます。不正な CA はコンプライアンス プログラムに失敗し、トラスト ストアから削除されます。受け入れられなければ、CA は廃業してしまいます。 最近の標準であるCertificate Transparencyにより、不正な証明書をより迅速に検出できます。
なぜ CA は不正行為に走るのでしょうか? 悪意のある人は、不正な証明書からどのような利益を得ることができますか? 証明書だけでは、たとえ信頼できる CA によって署名されたとしても、それほど大きな効果はありません。しかし、悪者が ISP と協力したり、ブラウザが使用するネットワークにアクセスしたりすると、証明書によって悪者は PKI のセキュリティ保証をすべて破ることができます。
ハッカーは 会話に対して中間者攻撃 (MITM) を仕掛ける可能性があります。攻撃者はブラウザと実際の Web サイトの間に侵入する可能性があります。このシナリオでは、ユーザーは攻撃者と直接会話し、攻撃者はコンテンツを実際の Web サイトとの間で中継します。攻撃者は、不正な証明書をブラウザに提示します。信頼できる CA によって署名されているため、ブラウザはそれを受け入れます。攻撃者は、どちらかの当事者が送信した内容を、もう一方の側が受信する前に閲覧したり、変更したりする可能性があります。
ここで、EU の邪悪な eIDAS 第 45 条について説明します。この提案された規制では、すべてのブラウザが EU によって指定された CA からの証明書のバスケットを信頼する必要があります。正確には 27 で、各加盟国に 1 つです。これらの証明書は、 「認定 Web サイト認証証明書」と呼ばれます 。「QWAC」という頭字語には、残念ながらインチキ行為と同義語が含まれています 。あるいは、EC が私たちを荒らしているのかもしれません。
QWACは政府機関、あるいはマイケル・レクテンワルドが 政府と呼んでいるもののいずれかによって発行されることになる。つまり、「企業や会社、その他の国家の附属機関であり、さもなければ『民間』と呼ばれるが、実際には国家機関として活動しており、彼らが強制しているのは、国家の物語と命令。」
この計画により、EU加盟国政府は自国民に対して中間者攻撃を行える段階に一歩近づくことになる。また、ネットワークにアクセスする必要もあります。政府はそれを行う立場にあります。ISP が国有企業として運営されている場合は、すでに ISP を所有しているでしょう。ISP が民間企業である場合、地方自治体 は 警察権限を利用してアクセスを取得する可能性があります。
公の場での会話で強調されていない点の 1 つは、EU 加盟 27 か国のいずれかのブラウザは、各 EU 加盟国のすべての QWAC を 1 つずつ受け入れる必要があるということ です。これは、たとえばスペインのブラウザは、クロアチア、フィンランド、オーストリアの団体からの QWAC を信頼する必要があることを意味します。オーストリアの Web サイトにアクセスするスペイン語ユーザーは、インターネットのオーストリア部分を経由する必要があります。上記で提起された問題はすべて、EU 内のすべての国に当てはまります。
The Register は、 「Bad eIDAS: Europe Ready to intercept, spy on your encrypted HTTPS connection」というタイトルの記事で 、 これが機能する可能性のある 1 つの方法について説明しています。
[T]政府は、友好的な CA に [QWAC] 証明書のコピーを要求して、政府が Web サイトになりすますことができます。または、ブラウザーが信頼してサイトに対して受け入れる他の証明書を要求することもできます。したがって、政府は中間者攻撃を使用して、Web サイトとそのユーザーの間の暗号化された HTTPS トラフィックを傍受して復号することができ、政府はいつでも人々がそのサイトで何をしているかを正確に監視できるようになります。
暗号化のシールドを突破した監視には、ユーザーのパスワードを保存し、それを別の機会に使用して国民の電子メール アカウントにアクセスすることが含まれる可能性があります。監視に加えて、政府はコンテンツをインラインで変更する可能性があります。たとえば、検閲したい物語を削除することができます。彼らは、 反対意見に対して迷惑な乳母国家の事実確認 や 内容の警告を添付することができます。
現状では、CA はブラウザ コミュニティの信頼を維持する必要があります。現在、ブラウザーは、サイトで期限切れの証明書、または信頼できない証明書が表示されている場合にユーザーに警告を発します。第 45 条では、信頼濫用者の警告や排除は禁止される。ブラウザーは QWAC を信頼することが義務付けられているだけでなく、第 45 条では、ブラウザーが QWAC によって署名された証明書であるという警告を表示することを禁止しています。
Last Chance for eIDAS (Mozilla ロゴを表示する Web サイト) は、第 45 条に反対しています。
EU 加盟国はいずれも、Web ブラウザで配布する暗号キーを指定することができ、ブラウザは政府の許可なしにこれらのキーの信頼を取り消すことを禁じられています。
…加盟国が認可する鍵とその使用方法に関して加盟国が下す決定には、独立したチェックやバランスは存在しません。法の支配の順守が 全加盟国で 均一ではなく、 政治目的での 秘密警察による強制の実例が文書化されていることを考えると、これは特に問題である。
数百人のセキュリティ研究者とコンピュータ科学者が署名した公開書簡には次のように書かれています 。
第 45 条では、暗号化された Web トラフィック接続を確立する際に規制で明示的に許可されていない限り、EU Web 証明書のセキュリティ チェックも禁止しています。ベースラインとして強制する必要がある一連の最小限のセキュリティ対策を指定する代わりに、ETSI の許可なしには改善できないセキュリティ対策の上限を事実上指定します。これは、テクノロジーの急速な発展に対応して新しいサイバーセキュリティテクノロジーが開発および導入されるという、確立された世界規範に反しています。
私たちのほとんどは、信頼できる CA のリストを厳選するためにベンダーに依存しています。ただし、ユーザーは、自分のデバイス上で自由に証明書を追加または削除できます。Microsoft Windows には これを行うためのツールがあります。Linux では、ルート証明書は単一のディレクトリにあるファイルです。ファイルを削除するだけで CA が信頼されなくなる可能性があります。これも禁止になるのでしょうか?著名なセキュリティ評論家、コラムニスト、そして 長期にわたるポッドキャスト「Security Now」 のホストでもあるスティーブ・ギブソン氏は こう尋ねます。
しかし EU は、ブラウザはこれらの証明もテストもされていない新しい認証局と、その認証局が発行する証明書を、例外なく、また求償権なしに尊重する必要があると述べています。ということは、Firefox のインスタンスは、これらの証明書を削除しようとする試みを拒否する法的義務があるということですか?
ギブソン氏は、一部の企業が自社のプライベート ネットワーク内で従業員に対して同様の監視を実施していると指摘しています。こうした労働条件についてどう思うかはともかく、業界によっては、監査やコンプライアンスの正当な理由から、従業員が会社のリソースを使って何をしているのかを追跡、記録している場合もあります。しかし、ギブソン氏はこう 続ける。
問題は、EU とその加盟国が民間組織の従業員とは大きく異なることです。従業員がスパイされたくないときはいつでも、自分のスマートフォンを使用して雇用主のネットワークを回避できます。そしてもちろん、雇用主のプライベート ネットワークはまさにプライベート ネットワークです。EU は、逃げ場のない公共インターネット全体に対してこれを実行したいと考えています。
これで、この提案の急進的な性質が確立されました。EC はこの変化を促すためにどのような理由を提示しているのかを問う時が来ました。ECは、PKIに基づく本人確認は十分ではないとしている。そして、それを改善するにはこれらの変更が必要であるということです。
ECの主張に真実はあるのでしょうか?現在の PKI では、ほとんどの場合、Web サイトの制御を証明するための要求のみが必要です。それは確かなことではありますが、たとえば、Web プロパティ「apple.com」が、カリフォルニア州クパチーノに本社を置く Apple Inc として知られる家電会社によって所有されているという保証はありません。悪意のあるユーザーは、有名な企業の名前に似たドメインの有効な証明書を取得する可能性があります。一部のユーザーが名前が完全に一致していないことに十分に注意していないことに依存した攻撃に、有効な証明書が使用される可能性があります。これは 決済処理会社の Stripeで発生しました。
発行者が本当に同じ法人であることを世界に証明したいと考えている発行者のために、一部の CA は 拡張検証 (EV) 証明書を提供しています。「拡張」部分は、事業所の住所、勤務用電話番号、事業許可または法人設立、および継続企業に特有のその他の属性など、事業自体に対する追加の検証で構成されます。EV は CA によるより多くの作業を必要とするため、より高い価格で出品されています。
ブラウザでは、異なる色やより頑丈な鍵のアイコンなど、EV の強調表示された視覚的なフィードバックが表示されていました。近年、EVは市場であまり人気がありません。彼らはほとんど絶滅してしまいました。多くのブラウザでは差分フィードバックが表示されなくなりました。
依然として存在する弱点にもかかわらず、PKI は時間の経過とともに著しく改善されました。欠陥が理解されるにつれて、それらは対処されてきました。暗号化アルゴリズムが強化され、ガバナンスが改善され、脆弱性がブロックされました。業界関係者の合意によるガバナンスは非常にうまく機能しています。このシステムは技術的にも制度的にも進化し続けます。規制当局による介入以外に、それ以外のことを期待する理由はありません。
私たちは、EV の精彩のない歴史から、市場が企業の本人確認をそれほど気にしていないことを学びました。ただし、インターネット ユーザーがそれを望んでいれば、それを提供するために既存の PKI を破る必要はありません。既存のワークフローにいくつかの小さな調整を加えるだけで十分です。コメント投稿者の中には、 TLS ハンドシェイクの変更を提案する人もいます 。Web サイトでは追加の証明書が 1 つ表示されます。プライマリ証明書は現在と同様に機能します。QWAC によって署名された 2 番目の証明書は、EC が要求する追加の ID 標準を実装します。
EC が主張する eIDAS の理由はまったく信頼できません。与えられた理由が信じがたいだけでなく、ECは、人身売買、子供の安全、マネーロンダリングという深刻な脅威に直面しているため、安全の名の下に重要な自由を犠牲にしなければならないといういつもの神聖な愚痴さえ気にしません。 、脱税、または(私の個人的なお気に入り) 気候変動。EUが私たちにガスライティングを行っていることは否定できません。
EC が自分たちの真の動機を正直に語らないとしたら、彼らは何を求めているのでしょうか? ギブソンは 悪意のある意図を認識しています:
そして、彼らが [ブラウザに QWAC を信頼するよう強制する] 考えられる理由は 1 つだけです。それは、企業内で行われているのとまったく同じように、インターネットの Web トラフィックをその場で傍受できるようにするためです。そしてそれは認められています。
(ギブソン氏が言う「ウェブトラフィック傍受」とは、上記の MITM 攻撃のことです。)他の論評では、言論の自由と政治的抗議に対する邪悪な影響が強調されています。ハーストは 長文エッセイの中で、 滑りやすい議論を展開している。
自由民主主義がウェブ上のテクノロジーに対するこの種の管理を確立すると、その結果にもかかわらず、より権威主義的な政府が罰を受けずに追随する土壌が築かれます。
techdirt で引用されたMozilla (原文へのリンクなし) も、ほぼ同じことを述べています。
政府支援の認証局を自動的に信頼するようにブラウザに強制することは、権威主義政権が使用する重要な戦術であり、これらの主体は EU の行動の正当化効果によって勇気づけられるでしょう…
ギブソンも同様の 観察をしています。
そして、これによって他にどのような扉が開かれるのかという非常に現実的な不安があります。もし EU が国民が使用する独立した Web ブラウザの信頼条件を首尾よく指示できることを世界の他の国々に示した場合、他の国々は同様の法律に従うことになるでしょう。 ? これからは、誰もが自分の国の証明書を追加することを要求するだけで済みます。これはまさに間違った方向に私たちを導いてしまいます。
この提案された第 45 条は、EU 諸国におけるユーザーのプライバシーに対する攻撃です。もしこれが採用されれば、インターネットセキュリティだけでなく、進化したガバナンスシステムにとっても大きな後退となるだろう。私はスティーブ・ギブソンの次の意見に同意します。
完全に不明瞭で、私がどこにも遭遇したことがないのは、EU が他の組織のソフトウェアの設計に影響を与えることができると考えている権限の説明です。それが結果的にそうなるからです。
提案された第 45 条に対する反応は非常に否定的でした。EFF の 第 45 条では、Web セキュリティを 12 年でロールバックします 。「これは、インターネットを使用するすべての人のプライバシーにとって大惨事ですが、特に EU 内でインターネットを使用する人にとっては大惨事です。」
eIDAS の取り組みは、セキュリティ コミュニティにとって 4 つの警報を発するものです。オープンソースの Firefox Web ブラウザのメーカーである Mozilla は、 これに反対する業界共同声明を発表しました 。この声明には、Mozilla 自体、Cloudflare、Fastly、Linux Foundation を含むインターネット インフラストラクチャ企業のオールスター名簿が署名しています。
上記の公開書簡より :
最終版に近い文章を読んだ後、私たちは第 45 条の提案されている文章に深い懸念を抱いています。現在の提案は、暗号化された情報を傍受する技術的手段を政府に提供することにより、自国民と EU 全体の居住者の両方を監視する政府の能力を根本的に拡大します。ウェブトラフィックに影響を与えるだけでなく、欧州国民が依存している既存の監視メカニズムも弱体化させます。
これはどこへ行くのですか?この規制はかなり前から提案されていた。最終決定は 2023 年 11 月に予定されていました。それ以降、Web 検索ではこのトピックに関する新しい情報は見つかりませんでした。
ここ数年、あらゆる形態のあからさまな検閲が増加しています。コロナ禍の最中、政府と業界は協力して検閲と産業の複合体を作り 、より効果的に虚偽の物語を宣伝し、反体制派を弾圧した。ここ数年、懐疑論者や独立系の声が 法廷で、また 視点に中立な プラットフォームを創設するなどして反撃してきた。
言論の検閲は引き続き大きな危険を伴いますが、作家やジャーナリストの権利は他の多くの権利よりもよく保護されています。米国では憲法 修正第 1 条により、 言論と政府批判の自由が明確に保護されています。裁判所は、非常に具体的な法文言によって保護されていない権利や自由は公正な競争であると考えるかもしれません。これが、レジスタンスが隔離や人口封鎖などの権力乱用を阻止する他の取り組みよりも言論面で大きな成功を収めた理由かもしれない 。
政府は、十分に防御された敵ではなく、インターネット インフラストラクチャの他の層に攻撃を移しています。ドメイン登録、DNS、証明書、支払い処理業者、ホスティング、アプリ ストアなどのこれらのサービスは、主にプライベート マーケットプレイスのトランザクションで構成されています。これらのサービスは、ほとんどの場合、特定の企業から特定のサービスを購入する権利がないため、言論ほど保護されていません。また、DNS や PKI などの技術的なサービスは、Web パブリッシングほど一般の人々に理解されていません。
PKI システムは評判と合意に基づいて機能するため、特に攻撃に対して脆弱です。システム全体を支配する単一の権威は存在しません。プレーヤーは、透明性、コンプライアンス、失敗の正直な報告を通じて評判を獲得する必要があります。そのため、この種の破壊的な攻撃に対して脆弱になります。EU PKI が規制当局の手に落ちたら、他の国々も追随すると思います。PKI が危険にさらされているだけではありません。スタックの他の層が規制当局によって攻撃される可能性があることが証明されれば、それらも同様に標的となるでしょう。
