이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 유럽위원회 (European Commission) 디지털 기술에 대한 규제 권한을 가진 EU 입법 기관입니다. 제안된 규정인 EC의 eIDAS 제45조는 업계가 25년 이상 신중하게 발전시키고 강화해 온 인터넷 보안 분야를 의도적으로 약화시킬 것입니다. 이 조항은 27개 EU 정부에 인터넷 사용에 대한 감시 권한을 크게 확대할 것입니다.
이 규칙은 모든 인터넷 브라우저가 각 EU 회원국의 각 국가 정부의 기관(또는 규제 기관)에서 발급한 추가 루트 인증서를 신뢰하도록 요구합니다. 기술에 익숙하지 않은 독자를 위해 루트 인증서가 무엇이고, 인터넷 신뢰가 어떻게 발전했는지, 그리고 제45조가 이에 어떤 영향을 미치는지 설명하겠습니다. 그리고 이 문제에 대한 기술 커뮤니티의 논평 중 일부를 강조하겠습니다.
이 기사의 다음 섹션에서는 인터넷의 신뢰 인프라가 어떻게 작동하는지 설명합니다. 이 배경은 제안된 기사가 얼마나 급진적인지 이해하는 데 필요합니다. 이 설명은 기술에 능통하지 않은 독자도 이해할 수 있도록 의도되었습니다.
문제의 규정은 인터넷 보안을 다룹니다. 여기서 "인터넷"은 주로 웹사이트를 방문하는 브라우저를 의미합니다. 인터넷 보안은 여러 가지 뚜렷한 측면으로 구성되어 있습니다. 제45조는 다음을 수정하려고 합니다. 공개 키 인프라(PKI), 90년대 중반부터 인터넷 보안의 일부. PKI는 처음에 채택되었고, 그 후 25년에 걸쳐 개선되어 사용자와 게시자에게 다음과 같은 보장을 제공했습니다.
- 브라우저와 웹사이트 간 대화의 개인정보 보호: 브라우저와 웹사이트는 네트워크의 네트워크인 인터넷을 통해 대화합니다. 인터넷 서비스 제공 업체및 Tier 1 운송업체, 또는 셀룰러 통신사 장치가 모바일인 경우. 네트워크 자체는 본질적으로 안전하지도 신뢰할 수 없습니다. 귀하의 호기심 많은 홈 ISP, 공항 라운지에 있는 여행자 당신이 비행기를 기다리고 있는 곳이나 광고주에게 리드를 판매하려는 데이터 공급업체 당신을 감시하고 싶어할 수도 있습니다. 아무런 보호도 없다면, 나쁜 행위자는 비밀번호, 신용카드 잔액, 건강 정보와 같은 기밀 데이터를 볼 수 있습니다.
- 웹사이트에서 보낸 것과 정확히 같은 방식으로 페이지를 볼 수 있도록 보장합니다.: 웹 페이지를 볼 때 게시자와 브라우저 사이에서 조작되었을 수 있습니까? 검열자는 귀하가 보지 않기를 원하는 콘텐츠를 제거하고 싶어할 수 있습니다. "잘못된 정보"로 분류된 콘텐츠는 코로나 히스테리 동안 광범위하게 억제되었습니다. 귀하의 신용카드를 훔친 해커는 사기성 요금의 증거를 제거하고 싶어할 수 있습니다.
- 당신이 보는 웹사이트가 실제로 브라우저 위치 표시줄에 있는 웹사이트인지 확인하십시오.: 은행에 연결할 때, 똑같이 생긴 가짜 버전이 아니라 그 은행의 웹사이트를 보고 있다는 것을 어떻게 알 수 있을까요? 브라우저의 위치 표시줄을 확인합니다. 브라우저가 진짜 웹사이트와 똑같이 생긴 가짜 웹사이트를 표시하도록 속을 수 있을까요? 브라우저가 올바른 사이트에 연결되었다는 것을 어떻게 확실히 알 수 있을까요?
인터넷 초기에는 이러한 보장이 전혀 존재하지 않았습니다. 2010년에는 애드온 스토어에서 사용 가능한 브라우저 플러그인 사용자가 카페 핫스팟에서 다른 사람의 Facebook 그룹 채팅에 참여할 수 있도록 했습니다. 이제 PKI 덕분에 이런 것들을 꽤 확신할 수 있습니다.
이러한 보안 기능은 다음에 기반한 시스템으로 보호됩니다. 디지털 인증서. 디지털 인증서는 신분증의 한 형태입니다. 운전면허증의 인터넷 버전입니다. 브라우저가 사이트에 연결하면 사이트는 브라우저에 인증서를 제시합니다. 인증서에는 암호화 키가 포함되어 있습니다. 브라우저와 웹사이트는 일련의 암호화 계산을 통해 함께 작동하여 안전한 통신을 설정합니다.
브라우저와 웹사이트는 함께 세 가지 보안 보장을 제공합니다.
- 개인 정보 보호: 대화를 암호화합니다.
- 암호화 디지털 서명: 보장하기 위해 내용은 비행 중에 수정되지 않습니다..
- 출판사 확인: PKI가 제공하는 신뢰 체인을 통해, 아래에서 더 자세히 설명하겠습니다.
좋은 정체성은 위조하기 어려워야 합니다. 고대 세계에서는 물개의 왁스 주조 이 목적을 달성했습니다. 인간의 신원은 생체 인식에 의존했습니다. 얼굴은 가장 오래된 형태 중 하나입니다. 디지털이 아닌 세상에서 알코올 음료를 주문하는 것과 같이 연령 제한이 있는 설정에 액세스해야 할 때 사진이 있는 신분증을 요구합니다.
디지털 시대 이전의 또 다른 생체 인식은 신분증 뒷면의 원래 서명과 새 펜과 잉크 서명을 일치시키는 것이었습니다. 이러한 오래된 유형의 생체 인식이 위조하기 쉬워짐에 따라 인간 신원 확인이 적용되었습니다. 이제 은행에서 모바일로 확인 코드를 보내는 것이 일반적입니다. 이 앱에서는 얼굴 인식이나 지문과 같은 코드를 보려면 모바일 폰에서 생체 인식 신원 확인을 통과해야 합니다.
생체 인식 외에 ID를 신뢰할 수 있게 만드는 두 번째 요소는 발급자입니다. 널리 받아들여지는 ID는 발급자가 ID를 신청하는 사람이 자신이 주장하는 사람인지 확인할 수 있는 능력에 따라 달라집니다. 널리 받아들여지는 대부분의 ID 형태는 Department of Motor Vehicles와 같은 정부 기관에서 발급합니다. 발급 기관에 세금 납부, 고용 기록 또는 수도 서비스 사용과 같이 주체가 누구인지, 어디에 있는지 추적할 수 있는 신뢰할 수 있는 수단이 있는 경우 해당 기관은 ID에 이름이 적힌 사람이 그 사람인지 확인할 가능성이 높습니다.
온라인 세계에서 정부는 대부분 신원 확인에 관여하지 않았습니다. 인증서는 다음과 같이 알려진 민간 부문 회사에서 발급합니다. 인증 기관 (CA). 인증서는 예전에는 꽤 비쌌지만 수수료는 상당히 낮아져 일부는 무료입니다가장 잘 알려진 CA로는 Verisign, DigiCert, GoDaddy가 있습니다. 라이언 허스트가 보여줍니다 99대 주요 CA(ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft, IdenTrust)가 모든 인증서의 XNUMX%를 발급합니다.
브라우저는 인증서의 이름 필드가 브라우저가 위치 표시줄에 표시하는 도메인 이름과 일치하는 경우에만 인증서를 신원 증명으로 수락합니다. 이름이 일치하더라도 "apple.com”는 Apple, Inc.로 알려진 가전제품 사업에 속합니까? 아니요. 신원 시스템은 방탄이 아닙니다. 미성년 음주자 가짜 신분증을 얻을 수 있습니다. 인간 ID와 마찬가지로 디지털 인증서도 가짜일 수 있고 다른 이유로 무효할 수도 있습니다. 무료 오픈 소스 도구를 사용하는 소프트웨어 엔지니어는 "apple.com"이라는 이름의 디지털 인증서를 만들 수 있습니다. 몇 가지 리눅스 명령어.
PKI 시스템은 CA에 의존하여 웹사이트 소유자에게만 인증서를 발급합니다. 인증서를 취득하는 워크플로는 다음과 같습니다.
- 웹사이트 게시자는 도메인에 대한 인증서를 받기 위해 선호하는 CA에 신청합니다.
- CA는 인증서 요청이 해당 사이트의 실제 소유자에게서 온 것인지 확인합니다. CA는 이를 어떻게 확립할까요? CA는 요청을 하는 엔터티가 특정 URL에 특정 콘텐츠를 게시하도록 요구합니다. 이를 수행할 수 있는 능력은 엔터티가 웹사이트를 제어할 수 있다는 것을 증명합니다.
- 웹사이트가 도메인 소유권을 입증하면 CA는 다음을 추가합니다. 암호화 디지털 서명 자체 개인 암호화 키를 사용하여 인증서에 서명합니다. 서명은 CA를 발급자로 식별합니다.
- 서명된 인증서는 요청을 한 사람이나 단체에 전달됩니다.
- 출판사는 인증서를 웹사이트에 설치하여 브라우저에 표시될 수 있도록 합니다.
암호화 디지털 서명 "디지털 메시지나 문서의 진위성을 검증하기 위한 수학적 체계"입니다. DocuSign 및 유사한 공급업체가 제공하는 온라인 문서 서명과는 다릅니다. 서명을 위조할 수 있다면 인증서는 신뢰할 수 없습니다. 시간이 지남에 따라 암호화 키의 크기가 위조를 더 어렵게 만들기 위해 증가했습니다. 암호화 연구자들은 실제적으로 현재의 서명은 위조가 불가능하다고 믿습니다. 또 다른 취약점은 CA가 비밀 키를 도난당했을 때입니다. 그러면 도둑은 해당 CA의 유효한 서명을 생성할 수 있습니다.
인증서가 설치되면 웹 대화를 설정하는 데 사용됩니다. 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 회원가입 설명 그것이 어떻게 진행되는가:
인증서가 알려진 좋은 CA에서 발급되었고 모든 세부 정보가 정확하다면 해당 사이트는 신뢰할 수 있으며, 브라우저는 네트워크의 도청자에게 사이트 활동이 보이지 않도록 웹사이트와 안전하고 암호화된 연결을 설정하려고 시도합니다. 인증서가 신뢰할 수 없는 CA에서 발급되었거나 인증서가 웹사이트 주소와 일치하지 않거나 일부 세부 정보가 잘못된 경우 브라우저는 사용자가 원하는 실제 웹사이트에 연결되지 않고 사칭자와 통신하고 있을 수 있다는 우려로 해당 웹사이트를 거부합니다.
브라우저는 웹사이트를 신뢰하기 때문에 신뢰할 수 있습니다. 브라우저는 인증서가 "알려진 좋은" CA에서 발급되었기 때문에 웹사이트를 신뢰합니다. 하지만 "알려진 좋은 CA"란 무엇일까요? 대부분의 브라우저는 운영 체제에서 제공하는 CA에 의존합니다. 신뢰할 수 있는 CA 목록은 장치 및 소프트웨어 공급업체가 결정합니다. 주요 컴퓨터 및 장치 공급업체(Microsoft, Apple, Android 휴대폰 제조업체 및 오픈 소스 Linux 배포업체)는 루트 인증서 세트로 운영 체제를 장치에 미리 로드합니다.
이러한 인증서는 검증하고 신뢰할 수 있다고 생각하는 CA를 식별합니다. 이 루트 인증서 모음을 "신뢰 저장소"라고 합니다. 제게 가까운 예를 들자면, 이 글을 쓰는 데 사용하는 Windows PC에는 신뢰할 수 있는 루트 인증서 저장소에 루트 인증서가 70개 있습니다. Apple 지원 사이트 MacOS의 Sierra 버전에서 신뢰하는 모든 루트를 나열합니다..
컴퓨터 및 전화 공급업체는 어떤 CA가 신뢰할 수 있는지 어떻게 결정합니까? CA의 품질을 평가하기 위한 감사 및 준수 프로그램이 있습니다. 통과한 CA만 포함됩니다. 예를 들어 다음을 참조하세요. 크롬 브라우저 (장치에 있는 신뢰 저장소를 사용하는 대신 자체 신뢰 저장소를 제공합니다). EFF("디지털 세계에서 시민의 자유를 수호하는 선도적인 비영리 조직"이라고 스스로를 설명합니다.) 설명:
브라우저는 신뢰하는 CA의 보안 및 신뢰성을 모니터링하기 위해 "루트 프로그램"을 운영합니다. 이러한 루트 프로그램은 "키 자료를 어떻게 보호해야 합니까?"에서 "도메인 이름 제어의 검증을 어떻게 수행해야 합니까?", "인증서 서명에 어떤 알고리즘을 사용해야 합니까?"에 이르기까지 다양한 요구 사항을 부과합니다.
CA가 공급업체에 의해 승인된 후, 공급업체는 계속해서 모니터링합니다. CA가 필요한 보안 표준을 준수하지 못하면 공급업체는 신뢰 저장소에서 CA를 제거합니다. 인증 기관은 사기를 치거나 다른 이유로 실패할 수 있으며 실제로 그렇게 합니다. 이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 회원가입 보고서:
인증서와 이를 발급한 CA는 항상 신뢰할 수 있는 것은 아니며, 지난 몇 년 동안 브라우저 제작자들은 발급 기관이나 관련 당사자가 웹 트래픽을 가로채는 것으로 밝혀지면 터키, 프랑스, 중국, 카자흐스탄 및 기타 지역에 있는 CA에서 CA 루트 인증서를 제거해 왔습니다.
2022년 연구원 Ian Carroll은 다음과 같이 보고했습니다. e-Tugra 인증 기관의 보안 문제. 캐럴은 "회사 내부의 보안 관행에 대해 저를 걱정시키는 여러 가지 놀라운 문제를 발견했습니다." 예를 들어, 취약한 자격 증명이 있습니다. 캐럴의 보고서는 주요 소프트웨어 공급업체에서 검증했습니다. 그 결과, e-Tugra는 신뢰할 수 있는 인증서 저장소에서 제거됨.
이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 인증 기관 실패의 타임라인 이와 비슷한 다른 사건에 대해서도 이야기합니다.
현재 PKI에는 알려진 허점이 몇 가지 있습니다. eIDAS 제45조를 이해하는 데 중요한 특정 문제가 있으므로 다음에 설명하겠습니다. CA의 신뢰는 해당 CA와 거래를 수행하는 웹사이트에 국한되지 않습니다. 브라우저는 모든 웹사이트에 대해 신뢰할 수 있는 CA의 인증서를 수락합니다. CA가 사이트 소유자가 요청하지 않은 악의적인 행위자에게 웹사이트를 발급하는 것을 막는 것은 없습니다. 이러한 인증서는 발급 대상 때문에 법적 의미에서 사기성이 있습니다. 그러나 인증서의 내용은 브라우저 관점에서 기술적으로 유효합니다.
각 웹사이트를 선호하는 CA와 연관시키는 방법이 있다면 다른 CA가 발급한 해당 사이트의 모든 인증서는 즉시 사기로 인식될 것입니다. 인증서 고정 이 방향으로 한 걸음 나아가는 또 다른 표준입니다. 하지만 그 연관성은 어떻게 공개될까요? 그리고 그 출판사는 어떻게 신뢰받을까요?
이 프로세스의 각 계층에서 기술적 솔루션은 외부 신뢰 소스에 의존합니다. 하지만 그 신뢰는 어떻게 확립될까요? 바로 다음 상위 평면에 있는 훨씬 더 신뢰할 수 있는 소스에 의존함으로써? 이 질문은 "거북이, 아래까지” 문제의 본질. PKI는 바닥에 거북이가 있습니다. 보안 산업과 고객의 평판, 가시성 및 투명성입니다. 신뢰는 이 수준에서 지속적인 모니터링, 개방형 표준, 소프트웨어 개발자 및 CA를 통해 구축됩니다.
사기성 인증서가 발급되었습니다. 2013년 ArsTechnica는 다음과 같이 보고했습니다. 프랑스 기관, 구글을 사칭해 SSL 인증서 주조 적발:
2011년에는…보안 연구원들이 Google.com에 대한 가짜 인증서를 발견했습니다. 공격자는 이를 통해 해당 웹사이트의 메일 서비스와 기타 서비스를 가장할 수 있었습니다. 위조 인증서는 공격자가 네덜란드에 있는 DigiNotar의 보안을 뚫고 인증서 발급 시스템을 제어한 후에 만들어졌습니다.
SSL(Secure Sockets Layer) 자격 증명은 유효한 인증 기관에서 디지털 서명되었습니다. 사실, 해당 인증서는 브라우저 제조업체와 인증 기관 서비스에서 정한 규칙을 위반하여 발급된 무단 복제본이었습니다.
사기성 인증서 발급이 발생할 수 있습니다. 사기성 CA가 발급할 수는 있지만 멀리 가지 못할 것입니다. 잘못된 인증서가 감지됩니다. 잘못된 CA는 규정 준수 프로그램에 실패하고 신뢰 저장소에서 제거됩니다. 승인되지 않으면 CA는 영업을 중단합니다. 인증서 투명성최신 표준인 을 사용하면 사기 인증서를 더 빠르게 감지할 수 있습니다.
CA가 왜 사기를 치겠습니까? 악당은 승인되지 않은 인증서에서 어떤 이점을 얻을 수 있을까요? 인증서만으로는 신뢰할 수 있는 CA에서 서명한 경우에도 그다지 많은 이점이 없습니다. 하지만 악당이 ISP와 협력하거나 브라우저가 사용하는 네트워크에 액세스할 수 있다면 인증서는 악당에게 PKI의 모든 보안 보장을 깨뜨릴 수 있는 능력을 제공합니다.
해커는 다음을 마운트할 수 있습니다. 중간자 공격(MITM) 대화에서. 공격자는 브라우저와 실제 웹사이트 사이에 끼어들 수 있습니다. 이 시나리오에서 사용자는 공격자와 직접 대화하고 공격자는 실제 웹사이트와 콘텐츠를 주고받습니다. 공격자는 사기성 인증서를 브라우저에 제시합니다. 신뢰할 수 있는 CA에서 서명했기 때문에 브라우저는 이를 수락합니다. 공격자는 상대방이 받기 전에 어느 쪽이 보낸 내용을 보고 수정할 수도 있습니다.
이제 EU의 사악한 eIDAS인 제45조에 대해 알아보겠습니다. 이 제안된 규정은 모든 브라우저가 EU에서 지정한 CA의 인증서 바구니를 신뢰하도록 요구합니다. 정확히 XNUMX개입니다. 각 회원국당 하나씩입니다. 이러한 인증서는 자격을 갖춘 웹사이트 인증 인증서. 약어 "QWAC"는 불행하게도 동음이의어를 가지고 있습니다. 엉터리 치료 – 아니면 EC가 우리를 놀리고 있는 것일 수도 있겠네요.
QWAC는 정부 기관이나 Michael Rectenwald가 부르는 기관에서 발행됩니다. 정부성: “국가의 다른 부속기관, 즉 '사적'이라고 불리는 기업과 회사, 하지만 실제로는 국가 기구로 운영되고 있으며, 국가의 서사와 지시를 시행하고 있습니다.”
이 계획은 EU 회원국 정부가 자국 시민을 상대로 중간자 공격을 할 수 있는 지점에 한 걸음 더 가까이 다가가게 할 것입니다. 또한 네트워크에 액세스해야 합니다. 정부는 이를 수행할 수 있는 입장에 있습니다. ISP가 국유 기업으로 운영된다면 이미 보유하고 있을 것입니다. ISP가 사기업이라면 지역 당국 경찰의 권한을 사용하여 접근할 수 있습니다.
공개 토론에서 강조되지 않은 한 가지 사항은 27개 EU 회원국의 브라우저가 각각 하나씩 모든 QWAC를 수락해야 한다는 것입니다. EU 회원국. 즉, 예를 들어 스페인의 브라우저는 크로아티아, 핀란드, 오스트리아의 엔터티에서 QWAC를 신뢰해야 합니다. 오스트리아 웹사이트를 방문하는 스페인 사용자는 인터넷의 오스트리아 부분을 거쳐야 합니다. 위에서 제기된 문제는 모두 EU 내 국가에 적용됩니다.
Register는 다음 제목의 기사에서 Bad eIDAS: 유럽, 암호화된 HTTPS 연결을 가로채고 감시할 준비 완료 이것이 작동할 수 있는 한 가지 방법을 설명합니다.
[T]그 정부는 우호적인 CA에 [QWAC] 인증서 사본을 요청하여 정부가 웹사이트를 가장하거나 브라우저가 신뢰하고 사이트를 수락할 수 있는 다른 인증서를 요청할 수 있습니다. 따라서 중간자 공격을 사용하여 해당 정부는 웹사이트와 사용자 간의 암호화된 HTTPS 트래픽을 가로채고 해독하여 정권이 언제든지 사람들이 해당 사이트에서 무엇을 하는지 정확히 모니터링할 수 있습니다.
암호화의 방패를 뚫고 감시하는 것은 사용자의 비밀번호를 저장한 다음 다른 시간에 이를 사용하여 시민의 이메일 계정에 액세스하는 것을 포함할 수 있습니다. 감시 외에도 정부는 콘텐츠를 인라인으로 수정할 수 있습니다. 예를 들어 검열하려는 내러티브를 제거할 수 있습니다. 성가신 보호자 국가 사실 확인 and 콘텐츠 경고 반대 의견에 대하여.
현재 상황에서 CA는 브라우저 커뮤니티의 신뢰를 유지해야 합니다. 브라우저는 현재 사이트에서 만료되었거나 신뢰할 수 없는 인증서를 제시하는 경우 사용자에게 경고합니다. 제45조에 따라 신뢰 남용자에 대한 경고 또는 추방은 금지됩니다. 브라우저는 QWAC를 신뢰해야 할 뿐만 아니라 제45조는 브라우저가 QWAC가 서명한 인증서에 대한 경고를 표시하는 것을 금지합니다.
eIDAS의 마지막 기회 (Mozilla 로고를 표시하는 웹사이트)는 제45조에 반대합니다.
모든 EU 회원국은 웹 브라우저에 배포하기 위한 암호화 키를 지정할 수 있으며, 브라우저는 정부의 허가 없이 이러한 키에 대한 신뢰를 철회하는 것이 금지되어 있습니다.
…회원국이 허가하는 키와 키 사용에 관한 결정에 대해 독립적인 견제나 균형이 없습니다. 이는 법치주의 준수가 균일하지 않다 모든 회원국에서 문서화된 사례가 있음 비밀 경찰의 강압 정치적 목적을 위해서.
에서 수백 명의 보안 연구원과 컴퓨터 과학자가 서명한 공개 서한:
제45조는 또한 암호화된 웹 트래픽 연결을 설정할 때 규정에 의해 명시적으로 허용되지 않는 한 EU 웹 인증서에 대한 보안 검사를 금지합니다. 기준으로 시행해야 하는 최소한의 보안 조치 세트를 지정하는 대신, ETSI의 허가 없이는 개선할 수 없는 보안 조치에 대한 상한을 효과적으로 지정합니다. 이는 빠르게 변화하는 기술 개발에 대응하여 새로운 사이버 보안 기술이 개발되고 배포되는 잘 확립된 글로벌 규범에 반합니다.
우리 대부분은 신뢰할 수 있는 CA 목록을 정리하는 공급업체에 의존합니다. 그러나 사용자는 원하는 대로 자신의 장치에서 인증서를 추가하거나 제거할 수 있습니다. Microsoft Windows에는 이를 위한 도구. Linux에서 루트 인증서는 단일 디렉토리에 있는 파일입니다. 파일을 삭제하기만 해도 CA를 신뢰할 수 없게 될 수 있습니다. 이것도 금지될까요? 유명한 보안 전문가인 Steve Gibson, 칼럼니스트, 그리고 호스트 오랫동안 진행 중인 Security Now 팟캐스트 묻다:
하지만 EU는 브라우저가 이러한 새롭고 입증되지 않고 테스트되지 않은 인증 기관과 그들이 발급한 모든 인증서를 예외 없이 구제 수단 없이 존중해야 한다고 말하고 있습니다. 이는 내 Firefox 인스턴스가 해당 인증서를 제거하려는 시도를 거부할 법적 의무가 있다는 것을 의미합니까?
깁슨은 일부 기업이 자체 사설 네트워크 내에서 직원에 대한 유사한 감시를 구현한다고 지적합니다. 이러한 근무 조건에 대한 의견이 어떻든 일부 산업은 직원이 회사 리소스로 무엇을 하는지 추적하고 기록할 수 있는 합법적인 감사 및 규정 준수 이유가 있습니다. 하지만 깁슨이 말했듯이 계속,
문제는 EU와 회원국이 사설 조직의 직원과 매우 다르다는 것입니다. 직원이 감시당하고 싶지 않을 때마다 자신의 스마트폰을 사용하여 고용주의 네트워크를 우회할 수 있습니다. 물론 고용주의 사설 네트워크는 그저 사설 네트워크일 뿐입니다. EU는 탈출구가 없는 전체 공공 인터넷에 대해 이를 수행하고자 합니다.
이제 우리는 이 제안의 급진적인 본질을 확립했습니다. EC가 이 변경을 동기 부여하기 위해 어떤 이유를 제시하는지 물어볼 때입니다. EC는 PKI에 따른 신원 확인이 적절하지 않다고 말합니다. 그리고 이러한 변경은 PKI를 개선하기 위해 필요하다고 말합니다.
EC의 주장에 진실이 있을까요? 대부분의 경우 현재 PKI는 웹사이트 제어를 증명하기 위한 요청만 요구합니다. 그것은 무언가이지만, 예를 들어 웹 속성 "apple.com"이 캘리포니아 쿠퍼티노에 본사를 둔 Apple Inc라는 가전제품 회사가 소유하고 있다는 것을 보장하지는 않습니다. 악의적인 사용자는 잘 알려진 사업체와 유사한 도메인 이름에 대한 유효한 인증서를 얻을 수 있습니다. 유효한 인증서는 이름이 일치하지 않는다는 것을 알아차릴 만큼 열심히 찾지 않는 일부 사용자에 의존하는 공격에 사용될 수 있습니다. 이런 일이 발생했습니다. 결제 처리자 스트라이프.
자신들이 실제로 동일한 법인체임을 세상에 증명하고자 하는 게시자의 경우 일부 CA는 다음을 제안했습니다. 확장 검증(EV) 인증서. "확장된" 부분은 사업 주소, 유효한 전화번호, 사업 허가증 또는 법인, 그리고 계속 사업체에 일반적인 기타 속성과 같은 사업 자체에 대한 추가 검증으로 구성됩니다. EV는 CA에서 더 많은 작업이 필요하기 때문에 더 높은 가격으로 나열됩니다.
브라우저는 EV에 대한 강조된 시각적 피드백을 표시하곤 했습니다. 예를 들어 다른 색상이나 더 튼튼한 잠금 아이콘이 있습니다. 최근 몇 년 동안 EV는 시장에서 그다지 인기가 없었습니다. 대부분 사라졌습니다. 많은 브라우저가 더 이상 차등 피드백을 표시하지 않습니다.
여전히 존재하는 약점에도 불구하고 PKI는 시간이 지남에 따라 눈에 띄게 개선되었습니다. 결함이 이해되면서 해결되었습니다. 암호화 알고리즘이 강화되었고, 거버넌스가 개선되었으며, 취약점이 차단되었습니다. 업계 참여자들의 합의에 따른 거버넌스는 매우 잘 작동했습니다. 이 시스템은 기술적으로나 제도적으로 계속 진화할 것입니다. 규제 기관의 간섭을 제외하면 달리 기대할 이유가 없습니다.
우리는 EV의 흥미 없는 역사를 통해 시장이 기업 신원 확인에 그다지 신경 쓰지 않는다는 것을 알게 되었습니다. 그러나 인터넷 사용자가 그것을 원한다면 기존 PKI를 깨지 않고도 제공할 수 있습니다. 기존 워크플로에 약간의 조정만 하면 됩니다. 일부 논평자는 다음을 수정하는 것을 제안했습니다. TLS 핸드셰이크; 웹사이트는 하나의 추가 인증서를 제시합니다. 기본 인증서는 지금처럼 작동합니다. QWAC에서 서명한 보조 인증서는 EC가 원한다고 말하는 추가 ID 표준을 구현합니다.
EC가 eIDAS에 대해 주장하는 이유는 단순히 믿을 수 없습니다. 제시된 이유가 믿을 수 없을 뿐만 아니라 EC는 우리가 인신매매, 아동 안전, 자금 세탁, 탈세 또는 (제가 가장 좋아하는) [하나 선택]의 심각한 위협에 직면해 있기 때문에 안전이라는 이름으로 중요한 자유를 희생해야 한다는 평소의 위선적인 징징거림조차 하지 않습니다. 기후 변화EU가 우리를 가스라이팅하고 있다는 사실은 부인할 수 없습니다.
EC가 그들의 진정한 동기에 대해 정직하지 않다면, 그들은 무엇을 추구하고 있을까요? 깁슨은 다음과 같이 봅니다. 사악한 의도:
그리고 그들이 [브라우저가 QWAC를 신뢰하도록 강제하고 싶어하는] 유일한 가능한 이유는 기업 내부에서 일어나는 것과 똑같은 즉석 인터넷 웹 트래픽 가로채기를 허용하기 위한 것입니다. 그리고 그것은 인정됩니다.
(깁슨이 "웹 트래픽 차단"이라고 말한 것은 위에서 설명한 MITM 공격입니다.) 다른 논평에서는 언론의 자유와 정치적 시위에 대한 불길한 의미를 강조했습니다. 허스트 장문 에세이에서 미끄러운 경사로 주장을 합니다:
자유민주주의가 웹상의 기술에 대한 이런 종류의 통제를 확립하면, 그로 인한 결과에도 불구하고, 권위주의적인 정부도 처벌받지 않고 뒤따를 수 있는 토대가 마련됩니다.
모질라 techdirt에 인용됨 (원본과 링크 없음) 대략 같은 내용을 담고 있습니다.
브라우저가 정부 지원 인증 기관을 자동으로 신뢰하도록 강제하는 것은 권위주의 정권에서 사용하는 주요 전술이며, 이러한 행위자들은 EU의 조치가 정당화되는 효과에 의해 더욱 대담해질 것입니다…
Gibson은 비슷한 것을 만듭니다 관찰:
그리고 이것이 어떤 다른 문을 여는지에 대한 매우 현실적인 유령이 있습니다. EU가 나머지 세계에 시민들이 사용하는 독립적인 웹 브라우저에 대한 신뢰 조건을 성공적으로 지시할 수 있다는 것을 보여주면, 어떤 다른 국가들이 비슷한 법률로 따라갈까요? 이제 모든 사람이 자국의 인증서가 추가되도록 요구할 수 있습니다. 이것은 우리를 정확히 잘못된 방향으로 인도합니다.
제안된 제45조는 EU 국가의 사용자 프라이버시에 대한 공격입니다. 채택된다면 인터넷 보안뿐만 아니라 진화된 거버넌스 시스템에도 큰 좌절이 될 것입니다. 저는 Steve Gibson의 의견에 동의합니다.
완전히 불분명하고 내가 어디에서도 접하지 못한 것은 EU가 다른 조직의 소프트웨어 디자인을 지시할 수 있다고 생각하는 권한에 대한 설명입니다. 왜냐하면 그것이 결국은 그것으로 귀결되기 때문입니다.
제안된 제45조에 대한 반응은 엄청나게 부정적이었습니다. EFF는 제45조 웹 보안 12년 후퇴 "이것은 인터넷을 사용하는 모든 사람의 개인 정보 보호에 대한 재앙이지만 특히 EU에서 인터넷을 사용하는 사람들에게는 더욱 그렇습니다."라고 적었습니다.
eIDAS 노력은 보안 커뮤니티에 대한 4가지 경보 화재입니다. 오픈 소스 Firefox 웹 브라우저를 만든 Mozilla는 다음을 게시했습니다. 산업 공동 성명 반대합니다. 이 성명서는 Mozilla 자체, Cloudflare, Fastly, Linux Foundation을 포함한 인터넷 인프라 회사의 올스타 명단에 의해 서명되었습니다.
에서 공개 서한 위에 언급했듯이:
거의 완성된 텍스트를 읽은 후, 우리는 제45조에 대한 제안된 텍스트에 대해 깊은 우려를 표명했습니다. 현재 제안은 암호화된 웹 트래픽을 가로채는 기술적 수단을 제공함으로써 EU 전역의 자국 시민과 거주자를 감시할 수 있는 정부의 능력을 근본적으로 확대하고, 유럽 시민들이 의지하고 있는 기존 감독 메커니즘을 훼손합니다.
이것은 어디로 가는가? 이 규정은 얼마 전부터 제안되어 왔습니다. 최종 결정은 2023년 XNUMX월로 예정되어 있습니다. 웹 검색 결과 그 이후로 이 주제에 대한 새로운 정보는 없습니다.
지난 몇 년 동안 모든 형태의 노골적인 검열이 증가했습니다. 코로나 광기 동안 정부와 산업은 협력하여 검열산업단지 거짓 이야기를 더 효율적으로 홍보하고 반체제 인사를 억압하기 위해서입니다. 지난 몇 년 동안 회의론자와 독립적인 목소리가 반격했습니다. 법정에서, 그리고 생성하여 관점 중립 플랫폼.
언론 검열이 여전히 큰 위험이지만 작가와 언론인의 권리는 다른 많은 권리보다 더 잘 보호됩니다. 미국에서는 첫 번째 개정 언론의 자유와 정부 비판의 자유에 대한 명확한 보호가 있습니다. 법원은 매우 구체적인 법률 언어로 보호되지 않는 모든 권리나 자유가 공정한 게임이라고 생각할 수 있습니다. 이것이 저항이 권력 남용을 중단하려는 다른 노력보다 언론에 대해 더 많은 성공을 거둔 이유일 수 있습니다. 검역소 그리고 인구 봉쇄.
정부는 방어가 잘 된 적보다는 인터넷 인프라의 다른 계층으로 공격을 옮기고 있습니다. 도메인 등록, DNS, 인증서, 결제 처리업체, 호스팅, 앱 스토어와 같은 이러한 서비스는 대부분 사설 시장 거래로 구성되어 있습니다. 이러한 서비스는 대부분 특정 사업체에서 특정 서비스를 구매할 권리가 없기 때문에 언론보다 훨씬 덜 보호됩니다. 그리고 DNS 및 PKI와 같은 보다 기술적인 서비스는 웹 게시보다 대중에게 잘 이해되지 않습니다.
PKI 시스템은 평판과 합의에 따라 작동하기 때문에 공격에 특히 취약합니다. 전체 시스템을 지배하는 단일 권한은 없습니다. 플레이어는 투명성, 규정 준수 및 실패에 대한 정직한 보고를 통해 평판을 얻어야 합니다. 그리고 그것은 이러한 유형의 파괴적 공격에 취약하게 만듭니다. EU PKI가 규제 기관에 넘어간다면 다른 국가도 뒤따를 것으로 예상합니다. PKI가 위험에 처해 있을 뿐만 아니라 스택의 다른 계층도 규제 기관에 의해 공격받을 수 있다는 것이 입증되면 규제 기관도 표적이 될 것입니다.
에 의해 게시됨 Creative Commons Attribution 4.0 국제 라이센스
재인쇄의 경우 정식 링크를 원본으로 다시 설정하십시오. 브라운스톤 연구소 기사와 저자.
