Escrito por Robert Blumen a través del Instituto Brownstone,
La Comisión Europea es un organismo legislativo de la UE con autoridad reguladora sobre la tecnología digital. El Artículo 45 de eIDAS de la CE, una regulación propuesta, debilitaría deliberadamente áreas de seguridad en Internet que la industria ha evolucionado y fortalecido cuidadosamente durante más de 25 años. El artículo otorgaría efectivamente a los 27 gobiernos de la UE poderes de vigilancia enormemente ampliados sobre el uso de Internet.
La regla requeriría que todos los navegadores de Internet confíen en un certificado raíz adicional de una agencia (o entidad regulada) de cada uno de los gobiernos nacionales de cada uno de los estados miembros de la UE. Para los lectores no técnicos, explicaré qué es un certificado raíz, cómo ha evolucionado la confianza en Internet y qué hace el Artículo 45 al respecto. Y luego destacaré algunos de los comentarios de la comunidad tecnológica sobre este asunto.
La siguiente sección de este artículo explicará cómo funciona la infraestructura de confianza de Internet. Estos antecedentes son necesarios para comprender cuán radical es el artículo propuesto. La explicación está destinada a ser accesible para un lector no técnico.
El reglamento en cuestión aborda la seguridad en Internet. Aquí, "Internet" significa, en gran medida, navegadores que visitan sitios web. La seguridad en Internet consta de muchos aspectos distintos. El artículo 45 pretende modificar la infraestructura de clave pública (PKI) , parte de la seguridad en Internet desde mediados de los años 90. PKI se adoptó inicialmente y luego se mejoró durante un período de 25 años para brindar a los usuarios y editores las siguientes garantías:
Privacidad de la conversación entre el navegador y el sitio web : los navegadores y los sitios web conversan a través de Internet, una red de redes operadas por proveedores de servicios de Internet y operadores de nivel 1 ; o operadores de telefonía celular si el dispositivo es móvil. La red en sí no es inherentemente segura ni confiable. Es posible que su ISP local entrometido , un viajero en la sala VIP del aeropuerto donde espera su vuelo o un proveedor de datos que busca vender clientes potenciales a anunciantes quieran espiarlo. Sin ninguna protección, un mal actor podría ver datos confidenciales como una contraseña, el saldo de una tarjeta de crédito o información de salud.
Garantice que ve la página exactamente como el sitio web se la envió : cuando ve una página web, ¿podría haber sido manipulada entre el editor y su navegador? Es posible que un censor quiera eliminar contenido que no quiere que usted vea. El contenido etiquetado como “desinformación” fue ampliamente suprimido durante la histeria del covid. Un pirata informático que haya robado su tarjeta de crédito podría querer eliminar la evidencia de sus cargos fraudulentos.
Asegúrese de que el sitio web que ve sea realmente el que aparece en la barra de direcciones del navegador : cuando se conecta a un banco, ¿cómo sabe que está viendo el sitio web de ese banco y no una versión falsa que parece idéntica? Compruebas la barra de ubicación de tu navegador. ¿Se podría engañar a su navegador para que le muestre un sitio web falso que parezca idéntico al real? ¿Cómo sabe su navegador (con seguridad) que está conectado al sitio correcto?
En los primeros días de Internet, no existía ninguna de estas garantías. En 2010, un complemento de navegador disponible en la tienda de complementos permitía al usuario participar en el chat grupal de Facebook de otra persona en un café. Ahora, gracias a PKI, puedes estar bastante seguro de estas cosas.
Estos elementos de seguridad están protegidos con un sistema basado en certificados digitales . Los certificados digitales son una forma de identificación: la versión en Internet de una licencia de conducir. Cuando un navegador se conecta a un sitio, el sitio presenta un certificado al navegador. El certificado contiene una clave criptográfica. El navegador y el sitio web trabajan juntos con una serie de cálculos criptográficos para configurar una comunicación segura.
Juntos, el navegador y el sitio web proporcionan las tres garantías de seguridad:
privacidad : cifrando la conversación.
Firmas digitales criptográficas: para garantizar que el contenido no se modifique en vuelo .
verificación del editor : a través de la cadena de confianza proporcionada por PKI, que explicaré con más detalle a continuación.
Una buena identidad debería ser difícil de falsificar. En el mundo antiguo, un sello moldeado en cera servía para este propósito. Las identidades de los humanos se han basado en la biometría. Tu cara es una de las formas más antiguas. En el mundo no digital, cuando necesite acceder a una configuración restringida por edad, como pedir una bebida alcohólica, se le pedirá una identificación con fotografía.
Otra biométrica anterior a la era digital era hacer coincidir su firma nueva con pluma y tinta con su firma original en el reverso de su identificación. A medida que estos tipos más antiguos de datos biométricos se vuelven más fáciles de falsificar, la verificación de la identidad humana se ha adaptado. Ahora bien, es común que un banco te envíe un código de validación en tu móvil. La aplicación requiere que pases una verificación de identidad biométrica en tu teléfono móvil para ver códigos como el reconocimiento facial o tu huella digital.
Además de la información biométrica, el segundo factor que hace que una identificación sea confiable es el emisor. Las identificaciones que son ampliamente aceptadas dependen de la capacidad del emisor para verificar que la persona que solicita una identificación es quien dice ser. La mayoría de las formas de identificación más aceptadas son emitidas por agencias gubernamentales, como el Departamento de Vehículos Motorizados. Si la agencia emisora tiene medios confiables para rastrear quiénes y dónde están sus sujetos, como pagos de impuestos, registros de empleo o el uso de servicios públicos de agua, entonces hay muchas posibilidades de que la agencia pueda verificar que la persona nombrada en la identificación es esa persona.
En el mundo en línea, los gobiernos, en su mayor parte, no se han involucrado en la verificación de identidad. Los certificados son emitidos por empresas del sector privado conocidas como autoridades de certificación (CA). Si bien los certificados solían ser bastante caros, las tarifas han bajado considerablemente hasta el punto de que algunos son gratuitos . Las CA más conocidas son Verisign, DigiCert y GoDaddy. Ryan Hurst muestra que las siete principales CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft e IdenTrust) emiten el 99% de todos los certificados.
El navegador aceptará un certificado como prueba de identidad sólo si el campo de nombre del certificado coincide con el nombre de dominio, que el navegador muestra en la barra de direcciones. Incluso si los nombres coinciden, ¿establece eso que un certificado que dice “apple.com” pertenece a la empresa de electrónica de consumo conocida como Apple, Inc.? Los sistemas de identidad no son a prueba de balas. Los bebedores menores de edad pueden obtener identificaciones falsas . Al igual que las identificaciones humanas, los certificados digitales también pueden ser falsos o no válidos por otros motivos. Un ingeniero de software que utilice herramientas gratuitas de código abierto puede crear un certificado digital llamado "apple.com" con algunos comandos de Linux .
El sistema PKI depende de las CA para emitir cualquier certificado únicamente al propietario del sitio web. El flujo de trabajo para adquirir un certificado es el siguiente:
El editor de un sitio web solicita a su CA preferida un certificado para un dominio.
La CA verifica que la solicitud de certificado proviene del propietario real de ese sitio. ¿Cómo establece esto la CA? La CA exige que la entidad que realiza la solicitud publique un contenido específico en una URL específica. La capacidad de hacer esto demuestra que la entidad tiene control sobre el sitio web.
Una vez que el sitio web ha demostrado la propiedad del dominio, la CA agrega una firma digital criptográfica al certificado utilizando su propia clave criptográfica privada. La firma identifica a la CA como emisor.
El certificado firmado se entrega a la persona o entidad que realiza la solicitud.
El editor instala su certificado en su sitio web, para que pueda presentarse a los navegadores.
Las firmas digitales criptográficas son "un esquema matemático para verificar la autenticidad de mensajes o documentos digitales". No son lo mismo que la firma de documentos en línea proporcionada por DocuSign y proveedores similares. Si la firma pudiera ser falsificada, los certificados no serían dignos de confianza. Con el tiempo el tamaño de las claves criptográficas ha ido aumentando con el objetivo de dificultar la falsificación. Los investigadores de criptografía creen que las firmas actuales, en términos prácticos, son imposibles de falsificar. Otra vulnerabilidad es cuando a la CA le roban sus claves secretas. El ladrón podría entonces presentar firmas válidas de esa CA.
Una vez que se ha instalado el certificado, se utiliza durante la configuración de una conversación web. El Registro explica cómo va eso:
Si el certificado fue emitido por una CA buena conocida y todos los detalles son correctos, entonces el sitio es confiable y el navegador intentará establecer una conexión segura y cifrada con el sitio web para que su actividad en el sitio no sea visible. a un espía en la red. Si el certificado fue emitido por una CA que no es de confianza, o el certificado no coincide con la dirección del sitio web, o algunos detalles son incorrectos, el navegador rechazará el sitio web porque le preocupa que no se esté conectando al sitio web real que el usuario desea. y puede que esté hablando con un imitador.
Podemos confiar en el navegador porque el navegador confía en el sitio web. El navegador confía en el sitio web porque el certificado fue emitido por una CA "conocida en buen estado". Pero, ¿qué es una “CA buena y conocida”? La mayoría de los navegadores dependen de las CA proporcionadas por el sistema operativo. La lista de CA confiables la deciden los proveedores de dispositivos y software. Los principales proveedores de computadoras y dispositivos (Microsoft, Apple, fabricantes de teléfonos Android y distribuidores de Linux de código abierto) precargan el sistema operativo en sus dispositivos con un conjunto de certificados raíz.
Estos certificados identifican las CA que han examinado y consideran confiables. Esta colección de certificados raíz se denomina "almacén de confianza". Para tomar un ejemplo cercano a mí, la PC con Windows que estoy usando para escribir este artículo tiene 70 certificados raíz en su almacén de certificados raíz confiable. El sitio de soporte de Apple enumera todas las raíces en las que confía la versión Sierra de MacOS .
¿Cómo deciden los proveedores de computadoras y teléfonos qué CA son confiables? Tienen programas de auditoría y cumplimiento para evaluar la calidad de las CA. Sólo se incluyen los que pasan. Véase, por ejemplo, el navegador Chrome (que proporciona su propio almacén de confianza en lugar de utilizar el del dispositivo). La EFF ( que se describe a sí misma como “la principal organización sin fines de lucro que defiende las libertades civiles en el mundo digital” ) explica :
Los navegadores operan "programas raíz" para monitorear la seguridad y confiabilidad de las CA en las que confían. Esos programas raíz imponen una serie de requisitos que varían desde "cómo se debe proteger el material de claves" hasta "cómo se debe realizar la validación del control de nombres de dominio" y "qué algoritmos se deben utilizar para la firma de certificados".
Una vez que un proveedor ha aceptado una CA, el proveedor continúa supervisándola. Los proveedores eliminarán las CA del almacén de confianza si la CA no cumple con los estándares de seguridad necesarios. Las autoridades certificadoras pueden actuar de forma deshonesta o fracasar por otros motivos, y lo hacen. El Registro informa :
Los certificados y las CA que los emiten no siempre son confiables y, a lo largo de los años, los fabricantes de navegadores han eliminado los certificados raíz de CA de las CA con sede en Turquía, Francia, China, Kazajstán y otros lugares cuando se descubrió que la entidad emisora o una parte asociada estaba interceptando la web. tráfico.
En 2022, el investigador Ian Carroll informó preocupaciones de seguridad con la autoridad de certificación e-Tugra . Carroll "encontró una serie de problemas alarmantes que me preocupan en cuanto a las prácticas de seguridad dentro de su empresa", como credenciales débiles. Los informes de Carroll fueron verificados por los principales proveedores de software. Como resultado, e-Tugra fue eliminado de sus almacenes de certificados de confianza .
La Cronología de fallas de las autoridades certificadoras habla de otros incidentes similares.
Todavía existen algunos agujeros conocidos en la PKI tal como existe actualmente. Debido a que una cuestión en particular es importante para comprender el Artículo 45 de eIDAS, la explicaré a continuación. El fideicomiso de una CA no se aplica a aquellos sitios web que realizan negocios con esa CA. Un navegador aceptará un certificado de cualquier CA confiable para cualquier sitio web. No hay nada que impida a la CA publicar un sitio web para un mal actor que no haya sido solicitado por el propietario del sitio. Un certificado de este tipo sería fraudulento en el sentido jurídico debido a quién fue emitido. Pero el contenido del certificado sería técnicamente válido desde el punto de vista del navegador.
Si hubiera una manera de asociar cada sitio web con su CA preferida, entonces cualquier certificado para ese sitio de cualquier otra CA sería inmediatamente reconocido como fraudulento. La fijación de certificados es otro estándar que da un paso en esta dirección. Pero, ¿cómo se publicaría esa asociación y cómo se confiaría en ese editor?
En cada capa de este proceso, la solución técnica depende de una fuente externa de confianza. Pero ¿cómo se establece esa confianza? ¿Confiando en una fuente aún más confiable en el siguiente plano superior? Esta pregunta ilustra la “ tortugas, hasta el fondo naturaleza del problema de ”. PKI tiene una tortuga en el fondo: la reputación, visibilidad y transparencia de la industria de la seguridad y sus clientes. La confianza se construye en este nivel a través de un monitoreo constante, estándares abiertos, los desarrolladores de software y las CA.
Se han emitido certificados fraudulentos. En 2013, ArsTechnica informó que una agencia francesa fue sorprendida emitiendo certificados SSL haciéndose pasar por Google :
En 2011... los investigadores de seguridad detectaron un certificado falso para Google.com que daba a los atacantes la posibilidad de hacerse pasar por el servicio de correo del sitio web y otras ofertas. El certificado falsificado se acuñó después de que los atacantes vulneraran la seguridad de DigiNotar, con sede en los Países Bajos, y obtuvieran el control de sus sistemas de emisión de certificados.
Las credenciales de la capa de conexión segura (SSL) fueron firmadas digitalmente por una autoridad certificadora válida... De hecho, los certificados eran duplicados no autorizados que se emitieron en violación de las reglas establecidas por los fabricantes de navegadores y los servicios de la autoridad certificadora.
Puede ocurrir una emisión fraudulenta de certificados. Una CA deshonesta puede emitir uno, pero no llegará muy lejos. Se detectará el certificado incorrecto. La CA defectuosa fallará en los programas de cumplimiento y será eliminada de los almacenes de confianza. Sin aceptación, la CA cerrará. La transparencia de certificados , un estándar más reciente, permite una detección más rápida de certificados fraudulentos.
¿Por qué una CA se volvería deshonesta? ¿Qué ventaja puede obtener el malo de un certificado no autorizado? Solo con el certificado, no mucho, incluso cuando está firmado por una CA confiable. Pero si el malhechor puede asociarse con un ISP, o acceder de otro modo a la red que utiliza el navegador, el certificado le da al malhechor la capacidad de romper todas las garantías de seguridad de PKI.
El hacker podría montar un ataque de intermediario (MITM) en la conversación. El atacante podría insertarse entre el navegador y el sitio web real. En este escenario, el usuario estaría hablando directamente con el atacante, y el atacante transmitiría los contenidos de un lado a otro con el sitio web real. El atacante presentaría el certificado fraudulento al navegador. Como estaba firmado por una CA confiable, el navegador lo aceptaría. El atacante podría ver e incluso modificar lo que cualquiera de las partes envió antes de que la otra parte lo recibiera.
Ahora llegamos al siniestro eIDAS de la UE, el Artículo 45. Esta regulación propuesta requiere que todos los navegadores confíen en una canasta de certificados de CA designadas por la UE. Veintisiete para ser exactos: uno por cada país miembro. Estos certificados se denominarán Certificados cualificados de autenticación de sitios web . El acrónimo “QWAC” tiene un desafortunado homófono de charlatanería (o tal vez la CE nos esté troleando).
Los QWAC serían emitidos por agencias gubernamentales o por lo que Michael Rectenwald llama gubernamentalidades : “corporaciones, empresas y otros adjuntos del estado que de otro modo se denominan 'privados', pero que en realidad operan como aparatos estatales, en el sentido de que hacen cumplir las leyes. narrativas y dictados estatales”.
Este plan acercaría a los gobiernos miembros de la UE un paso más hacia el punto en el que podrían actuar como intermediarios contra sus propios ciudadanos. También necesitarían acceder a las redes. Los gobiernos están en condiciones de hacerlo. Si el ISP funciona como una empresa de propiedad estatal, entonces ya lo tendrían. locales Si los ISP son empresas privadas, las autoridades podrían utilizar poderes policiales para obtener acceso.
Un punto que no se ha enfatizado en la conversación pública es que un navegador en cualquiera de los 27 países miembros de la UE debería aceptar cada QWAC, uno de cada miembro de la UE . Esto significa que un navegador en, por ejemplo, España, tendría que confiar en un QWAC de entidades en Croacia, Finlandia y Austria. El usuario español que visite un sitio web austriaco tendría que transitar por partes austriacas de Internet. Todas las cuestiones planteadas anteriormente se aplicarían en todos los países de la UE.
The Register, en un artículo titulado Bad eIDAS: Europa lista para interceptar y espiar sus conexiones HTTPS cifradas explica una forma en que esto podría funcionar:
[E]se gobierno puede solicitar a su CA amiga una copia del certificado [QWAC] para que pueda hacerse pasar por el sitio web, o solicitar algún otro certificado en el que los navegadores confíen y acepten para el sitio. Por lo tanto, utilizando un ataque de intermediario, ese gobierno puede interceptar y descifrar el tráfico HTTPS cifrado entre el sitio web y sus usuarios, lo que permite al régimen monitorear exactamente lo que la gente está haciendo con ese sitio en cualquier momento.
Una vez traspasado el escudo del cifrado, el seguimiento podría incluir guardar las contraseñas de los usuarios y luego utilizarlas en otro momento para acceder a las cuentas de correo electrónico de los ciudadanos. Además de monitorear, los gobiernos podrían modificar el contenido en línea. Por ejemplo, podrían eliminar las narrativas que quieran censurar. Podrían adjuntar molestas verificaciones de datos y advertencias de contenido a las opiniones disidentes.
Tal como están las cosas actualmente, las CA deben mantener la confianza de la comunidad de navegadores. Actualmente, los navegadores advierten al usuario si un sitio presenta un certificado caducado o que no es de confianza. Según el artículo 45, se prohibirían las advertencias o la expulsión de quienes abusan de su confianza. Los navegadores no solo tienen la obligación de confiar en los QWAC, sino que el Artículo 45 prohíbe a los navegadores mostrar una advertencia de que un certificado firmado por un QWAC.
Last Chance for eIDAS (un sitio web que muestra el logotipo de Mozilla) aboga contra el Artículo 45:
Cualquier estado miembro de la UE tiene la capacidad de designar claves criptográficas para su distribución en navegadores web y los navegadores tienen prohibido revocar la confianza en estas claves sin el permiso del gobierno.
…No existe un control o equilibrio independiente sobre las decisiones tomadas por los Estados miembros con respecto a las claves que autorizan y el uso que les dan. Esto es particularmente preocupante dado que la adhesión al Estado de derecho no ha sido uniforme en todos los estados miembros, con casos documentados de coerción por parte de la policía secreta con fines políticos.
En una carta abierta firmada por varios cientos de investigadores de seguridad e informáticos :
El artículo 45 también prohíbe los controles de seguridad de los certificados web de la UE, a menos que el reglamento lo permita expresamente al establecer conexiones de tráfico web cifradas. En lugar de especificar un conjunto de medidas de seguridad mínimas que deben aplicarse como base, en la práctica especifica un límite superior de las medidas de seguridad que no se puede mejorar sin el permiso del ETSI. Esto va en contra de normas globales bien establecidas en las que se desarrollan e implementan nuevas tecnologías de ciberseguridad en respuesta a los rápidos avances tecnológicos.
La mayoría de nosotros confiamos en nuestros proveedores para seleccionar la lista de CA confiables. Sin embargo, como usuario, puede agregar o eliminar certificados como desee en sus propios dispositivos. Microsoft Windows tiene una herramienta para hacer esto . En Linux, los certificados raíz son archivos ubicados en un único directorio. Es posible que una CA deje de ser confiable simplemente eliminando el archivo. ¿Esto también estará prohibido? Steve Gibson, destacado experto en seguridad, columnista y presentador del veterano podcast Security Now, pregunta :
Pero la UE está afirmando que los navegadores deberán respetar estas autoridades certificadoras nuevas, no probadas y no comprobadas y, por tanto, cualquier certificado que emitan, sin excepción y sin recurso. ¿Eso significa que mi instancia de Firefox estará legalmente obligada a rechazar mi intento de eliminar esos certificados?
Gibson señala que algunas corporaciones implementan una vigilancia similar de sus empleados dentro de su propia red privada. Cualquiera que sea su opinión sobre esas condiciones laborales, algunas industrias tienen razones legítimas de auditoría y cumplimiento para rastrear y registrar lo que sus empleados hacen con los recursos de la empresa. Gibson Pero, como continúa ,
El problema es que la UE y sus países miembros son muy diferentes de los empleados de una organización privada. Cada vez que un empleado no quiere que lo espíen, puede usar su propio teléfono inteligente para eludir la red de su empleador. Y, por supuesto, la red privada de un empleador es sólo eso, una red privada. La UE quiere hacer esto para toda la Internet pública, de la que no habría escapatoria.
Ahora hemos establecido el carácter radical de esta propuesta. Es momento de preguntarse ¿qué razones ofrece la CE para motivar este cambio? La CE dice que la verificación de identidad bajo PKI no es adecuada. Y que estos cambios son necesarios para mejorarlo.
¿Hay algo de verdad en las afirmaciones de las CE? La PKI actual en la mayoría de los casos sólo requiere la solicitud para demostrar el control del sitio web. Si bien eso es algo, no garantiza, por ejemplo, que la propiedad web “apple.com” sea propiedad de la empresa de electrónica de consumo conocida como Apple Inc, con sede en Cupertino, California. Un usuario malintencionado podría obtener un certificado válido para un nombre de dominio similar al de una empresa conocida. El certificado válido podría usarse en un ataque que dependiera de que algunos usuarios no buscaran lo suficiente como para darse cuenta de que el nombre no coincide. Esto le sucedió al procesador de pagos Stripe .
Para los editores que deseen demostrarle al mundo que realmente son la misma entidad corporativa, algunas CA han ofrecido certificados de validación extendida (EV) . La parte "extendida" consiste en validaciones adicionales de la propia empresa, como la dirección comercial, un número de teléfono que funcione, una licencia comercial o constitución y otros atributos típicos de una empresa en funcionamiento. Los vehículos eléctricos tienen un precio más alto porque requieren más trabajo por parte de la CA.
Los navegadores solían mostrar información visual resaltada para un vehículo eléctrico, como un color diferente o un icono de candado más resistente. En los últimos años, los vehículos eléctricos no han sido particularmente populares en el mercado. En su mayoría han muerto. Muchos navegadores ya no muestran comentarios diferenciales.
A pesar de las debilidades que aún existen, PKI ha mejorado notablemente con el tiempo. A medida que se han comprendido los defectos, se han solucionado. Se han fortalecido los algoritmos criptográficos, se ha mejorado la gobernanza y se han bloqueado las vulnerabilidades. La gobernanza por consenso de los actores de la industria ha funcionado bastante bien. El sistema seguirá evolucionando, tanto tecnológica como institucionalmente. Aparte de la intromisión de los reguladores, no hay razón para esperar lo contrario.
Hemos aprendido de la mediocre historia de los vehículos eléctricos que al mercado no le importa tanto la verificación de la identidad corporativa. Sin embargo, si los usuarios de Internet quisieran eso, no sería necesario romper la PKI existente para dársela. Serían suficientes algunos pequeños ajustes a los flujos de trabajo existentes. Algunos comentaristas han propuesto modificar el protocolo de enlace TLS ; el sitio web presentaría un certificado adicional. El certificado primario funcionaría como lo hace ahora. El certificado secundario, firmado por un QWAC, implementaría los estándares de identidad adicionales que la CE dice querer.
Las supuestas razones de la CE para el eIDAS simplemente no son creíbles. No sólo las razones dadas son inverosímiles, sino que la CE ni siquiera se molesta con las habituales quejas mojigatas sobre cómo debemos sacrificar importantes libertades en nombre de la seguridad porque nos enfrentamos a la grave amenaza de [elija una] trata de personas, seguridad infantil, blanqueo de dinero. , evasión fiscal o (mi favorito personal) cambio climático . No se puede negar que la UE nos está engañando.
Si las CE no son honestas acerca de sus verdaderos motivos, ¿qué buscan entonces?
Gibson ve una intención nefasta :
Y sólo hay una razón posible para que quieran [obligar a los navegadores a confiar en los QWAC], que es permitir la interceptación del tráfico web de Internet sobre la marcha , exactamente como sucede dentro de las corporaciones. Y eso se reconoce.
(Lo que Gibson quiere decir con “intercepción del tráfico web” es el ataque MITM descrito anteriormente). Otros comentarios han destacado las siniestras implicaciones para la libertad de expresión y la protesta política. Hurst , en un ensayo extenso, presenta un argumento resbaladizo:
Cuando una democracia liberal establece este tipo de control sobre la tecnología en la web, a pesar de sus consecuencias, sienta las bases para que gobiernos más autoritarios sigan su ejemplo con impunidad.
Mozilla citado en techdirt (sin enlace al original) dice más o menos lo mismo:
[O]lzar a los navegadores a confiar automáticamente en las autoridades de certificación respaldadas por el gobierno es una táctica clave utilizada por los regímenes autoritarios, y estos actores se sentirían envalentonados por el efecto legitimador de las acciones de la UE...
Gibson hace una observación similar :
Y luego está el espectro muy real de qué otras puertas se abren: si la UE demuestra al resto del mundo que puede dictar con éxito las condiciones de confianza para los navegadores web independientes utilizados por sus ciudadanos, ¿qué seguirán otros países con leyes similares? ? Ahora todo el mundo puede simplemente exigir que se agreguen los certificados de su propio país. Esto nos lleva exactamente en la dirección equivocada.
Esta propuesta de Artículo 45 es un ataque a la privacidad de los usuarios en las naciones de la UE. Si se adopta, supondría un enorme revés no sólo para la seguridad de Internet, sino también para el evolucionado sistema de gobernanza. Estoy de acuerdo con Steve Gibson en que:
Lo que no está del todo claro, y lo que no he encontrado en ninguna parte, es una explicación de la autoridad con la que la UE imagina que es capaz de dictar el diseño del software de otras organizaciones. Porque a eso se reduce todo esto.
La respuesta al artículo 45 propuesto ha sido enormemente negativa. En su artículo 45, la EFF hará retroceder la seguridad web en 12 años , escribe: "Esto es una catástrofe para la privacidad de todos los que usan Internet, pero particularmente para aquellos que usan Internet en la UE".
El esfuerzo eIDAS es un incendio de cuatro alarmas para la comunidad de seguridad. Mozilla, fabricante del navegador web de código abierto Firefox, publicó una declaración conjunta de la industria oponiéndose a ello. La declaración está firmada por una lista estelar de empresas de infraestructura de Internet, incluida la propia Mozilla, Cloudflare, Fastly y la Fundación Linux.
De la carta abierta mencionada anteriormente:
Después de leer el texto casi final, estamos profundamente preocupados por el texto propuesto para el Artículo 45. La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE, proporcionándoles los medios técnicos para interceptar datos cifrados. tráfico web, además de socavar los mecanismos de supervisión existentes en los que se basan los ciudadanos europeos.
¿A dónde va esto? El reglamento se ha propuesto desde hace algún tiempo. Se programó una decisión final para noviembre de 2023. Las búsquedas en la web no muestran información nueva sobre este tema desde entonces.
En los últimos años ha aumentado la censura absoluta en todas sus formas. Durante la locura del covid, el gobierno y la industria se asociaron para crear un complejo industrial de censura para promover de manera más eficiente narrativas falsas y reprimir a los disidentes. En estos últimos años, los escépticos y las voces independientes han contraatacado, en los tribunales y creando con puntos de vista neutrales . plataformas
Si bien la censura de expresión sigue siendo un gran peligro, los derechos de escritores y periodistas están mejor protegidos que muchos otros derechos. En Estados Unidos, la Primera Enmienda protege explícitamente la expresión y la libertad de criticar al gobierno. Los tribunales pueden opinar que cualquier derecho o libertad que no esté protegido por un lenguaje legal muy específico es un juego limpio. Esta puede ser la razón por la que la resistencia ha tenido más éxito en el discurso que otros esfuerzos para detener otros abusos de poder, como las cuarentenas y los bloqueos de población.
En lugar de un enemigo bien defendido, los gobiernos están trasladando sus ataques a otras capas de la infraestructura de Internet. Estos servicios, como el registro de dominios, DNS, certificados, procesadores de pagos, alojamiento y tiendas de aplicaciones, consisten en gran medida en transacciones de mercados privados. Estos servicios están mucho menos protegidos que la expresión porque, en su mayor parte, nadie tiene derecho a comprar un servicio específico de una empresa en particular. Y el público comprende menos los servicios más técnicos, como DNS y PKI, que la publicación web.
El sistema PKI es particularmente vulnerable a los ataques porque funciona según la reputación y el consenso. No existe una autoridad única que gobierne todo el sistema. Los jugadores deben ganarse una reputación a través de la transparencia, el cumplimiento y la notificación honesta de las fallas. Y eso lo hace vulnerable a este tipo de ataque disruptivo. Si la PKI de la UE cae en manos de los reguladores, espero que otros países sigan sus pasos. No sólo la PKI está en riesgo. Una vez que se demuestre que los reguladores pueden atacar otras capas de la pila, estos también serán el objetivo.
0 Comentarios