Нові правила цифрової ідентифікації в ЄС дозволять перехоплювати зашифровані HTTPS-з’єднання
- 09 Листопада 2023
У EFF кажуть, що eIDAS 2.0 поверне мережу до темних часів урядового кібершпигунства.
Нові правила цифрової ідентифікації eIDAS 2.0, що їх розглядає ЄС, на думку фахівців з кібербезпеки зроблять інтернет менш безпечним та сприятимуть онлайн-стеженню за громадянами з боку держави. eIDAS 2.0 – це модернізована версія правил цифрової ідентифікації та довірчих послуг, що регулюють електронні підписи, мітки часу, зареєстровані служби доставлення та сертифікати автентифікації вебсайтів. Проте одна з вимог eIDAS 2.0 полягає в тім, щоб розробники браузерів довіряли офіційним центрам сертифікації (ЦС), і не вживали жодних заходів безпеки, окрім визначених Європейським інститутом телекомунікаційних стандартів (ETSI).
Згідно з eIDAS 2.0, схвалені урядом ЦС – кваліфіковані постачальники довірчих послуг (QTSP) – видаватимуть вебсайтам сертифікати TLS (кваліфіковані сертифікати автентифікації сайту, або QWAC). Але розробникам браузерів, якщо ті виявлять зловживання (наприклад, перехоплення трафіку), не дозволять вжити контрзаходів, як-от недовіра сертифікатам CA/QTSP, чи видалення їх зі свого списку надійних кореневих сертифікатів.
Якщо сказати зовсім просто і коротко, то ЄС узаконив для урядів атаку «людина посередині». Якщо вебсайт має сертифікат від верифікованих Європою ЦС, уряд може запросити у дружнього центру копію сертифіката і видати себе за потрібний ресурс, перехоплювати і розшифровувати зашифрований HTTPS-трафік між сайтом та його користувачами, маючи змогу в будь-який час точно відстежити, що відвідувачі роблять на тому сайті – а браузер навіть не зможе заблокувати цей сертифікат.
Це дає змогу уряду будь-якої країни-члена ЄС видавати сертифікати вебсайтів для перехоплення та стеження, і використовувати їх проти кожного громадянина ЄС, навіть проти тих, хто не проживає в країні видачі сертифіката або не пов’язаний з нею. Немає незалежної перевірки чи балансу рішень, ухвалюваних державами-членами ЄС щодо дозволених ними ключів і способів їх використання.
Представник Firefox Mozilla
Схожі заяви пролунали майже від усіх розробників браузерів, зокрема, й від команди безпеки Chrome. А EFF (Фонд електронних рубежів – міжнародна некомерційна група із захисту цифрових прав) заявив, що стаття 45 eIDAS 2.0 забороняє браузерам застосовувати сучасні вимоги безпеки для певних центрів сертифікації без схвалення уряду країни-члена ЄС. ЦС, призначені урядом, які подеколи належатимуть або керуватимуться тим самим урядом, зможуть використовувати контрольовані ними криптографічні ключі для перехоплення зв’язку HTTPS у ЄС і за його межами.
Річ ще й в тім, що і центри сертифікації, і видані ними сертифікати, навіть схвалені урядом, не завжди заслуговують на довіру. Розробники браузерів багато років видаляли кореневі сертифікати з центрів, розташованих у Туреччині, Франції, Китаї, Казахстані та інших країнах, коли виявлялося, що ЦС або пов’язана з ним сторона перехоплюють трафік. Зараз, якщо ЦС матиме дозвіл з урядовою печаткою, цього зробити вже не вдасться.
Остаточно eIDAS 2.0 урядовці ЄС мали ухвалити в Брюсселі 8 листопада за зачиненими дверима, однак наразі інформації про це немає.
