A UE quer espionar o uso da Internet pelos europeus

A Comissão Europeia é um órgão legislativo da UE com autoridade reguladora sobre a tecnologia digital. O artigo 45.º do eIDAS da CE, um regulamento proposto, enfraqueceria deliberadamente áreas de segurança na Internet que a indústria desenvolveu e reforçou cuidadosamente durante mais de 25 anos. O artigo concederia efectivamente aos 27 governos da UE poderes de vigilância amplamente alargados sobre a utilização da Internet. 

A regra exigiria que todos os navegadores da Internet confiassem em um certificado raiz adicional de uma agência (ou entidade regulamentada) de cada um dos governos nacionais de cada um dos estados membros da UE. Para os leitores não técnicos, explicarei o que é um certificado raiz, como a confiança na Internet evoluiu e o que o Artigo 45 faz com isso. E então destacarei alguns comentários da comunidade de tecnologia sobre este assunto. 

A próxima seção deste artigo explicará como funciona a infraestrutura de confiança da Internet. Este contexto é necessário para compreender o quão radical é o artigo proposto. A explicação pretende ser acessível a um leitor não técnico.

O regulamento em questão aborda a segurança da Internet. Aqui, “internet” significa, em grande parte, navegadores que visitam sites. A segurança da Internet consiste em muitos aspectos distintos. O artigo 45 pretende modificar infraestrutura de chave pública (PKI), parte da segurança da Internet desde meados dos anos 90. A PKI foi inicialmente adotada e depois aprimorada ao longo de um período de 25 anos, para dar aos usuários e editores as seguintes garantias: 

• Privacidade da conversa entre o navegador e o site: Navegadores e sites conversam pela Internet, uma rede de redes operada por Internet Service Providers e Operadoras de nível 1; Ou operadoras de celular se o dispositivo for móvel. A rede em si não é inerentemente segura nem confiável. Seu ISP doméstico intrometido, um viajante no saguão do aeroporto onde você está esperando seu voo, ou um fornecedor de dados que deseja vender leads a anunciantes pode querer espionar você. Sem qualquer proteção, um malfeitor pode visualizar dados confidenciais, como senha, saldo de cartão de crédito ou informações de saúde. 
• Garanta que você visualize a página exatamente como o site a enviou para você: Quando você visualiza uma página da web, ela pode ter sido adulterada entre o editor e o seu navegador? Um censor pode querer remover conteúdo que não quer que você veja. O conteúdo rotulado como “desinformação” foi amplamente suprimido durante a histeria cobiçosa. Um hacker que roubou seu cartão de crédito pode querer remover evidências de cobranças fraudulentas. 
• Garanta que o site que você vê é realmente aquele que está na barra de localização do navegador: Quando você se conecta a um banco, como você sabe que está vendo o site desse banco, e não uma versão falsa que parece idêntica? Você verifica a barra de localização no seu navegador. Seu navegador poderia ser enganado e mostrar um site falso que parece idêntico ao real? Como o seu navegador sabe – com certeza – que está conectado ao site correto? 

Nos primeiros dias da Internet, nenhuma dessas garantias existia. Em 2010, um plugin de navegador disponível na loja de complementos permitiu que o usuário participasse do bate-papo em grupo do Facebook de outra pessoa em um ponto de acesso de café. Agora – graças ao PKI, você pode ter certeza dessas coisas. 

Esses recursos de segurança são protegidos por um sistema baseado em certificados digitais. Os certificados digitais são uma forma de identificação – a versão online de uma carteira de motorista. Quando um navegador se conecta a um site, o site apresenta um certificado ao navegador. O certificado contém uma chave criptográfica. O navegador e o site trabalham em conjunto com uma série de cálculos criptográficos para estabelecer uma comunicação segura.

Juntos, o navegador e o site fornecem três garantias de segurança:

• política de privacidade: criptografando a conversa.
• assinaturas digitais criptográficas: para garantir que o conteúdo não é modificado em voo. 
• verificação do editor: através da cadeia de confiança fornecida pela PKI, que explicarei com mais detalhes a seguir. 

Uma boa identidade deve ser difícil de falsificar. No mundo antigo, uma fundição de cera de um selo serviu a esse propósito. As identidades dos humanos dependem da biometria. Seu rosto é uma das formas mais antigas. No mundo não digital, quando você precisar acessar uma configuração com restrição de idade, como pedir uma bebida alcoólica, será solicitado um documento de identidade com foto.

Outra biometria anterior à era digital era comparar sua assinatura nova em caneta e tinta com a assinatura original no verso do seu documento de identidade. À medida que estes tipos mais antigos de biometria se tornam mais fáceis de falsificar, a verificação de identidade humana adaptou-se. Agora é comum que um banco envie um código de validação para você no seu celular. O aplicativo exige que você passe por uma verificação de identidade biométrica em seu telefone celular para visualizar o código, como reconhecimento facial ou impressão digital. 

Além da biometria, o segundo fator que torna um documento de identidade confiável é o emissor. Os documentos de identidade amplamente aceitos dependem da capacidade do emissor de verificar se a pessoa que solicita um documento de identidade é quem afirma ser. A maioria das formas de identificação mais amplamente aceitas são emitidas por agências governamentais, como o Departamento de Veículos Motorizados. Se a agência emissora tiver meios confiáveis ​​para rastrear quem e onde estão seus sujeitos, como pagamentos de impostos, registros de emprego ou uso de serviços de abastecimento de água, então há uma boa chance de a agência poder verificar se a pessoa nomeada no documento de identidade é aquela pessoa.

No mundo online, a maior parte dos governos não se envolveu na verificação de identidade. Os certificados são emitidos por empresas do setor privado conhecidas como autoridades de certificação (CAs). Embora os certificados costumavam ser bastante caros, as taxas caíram consideravelmente, a ponto de alguns são gratuitos. As CAs mais conhecidas são Verisign, DigiCert e GoDaddy. Programas de Ryan Hurst as sete principais CAs (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft e IdenTrust) emitem 99% de todos os certificados.

O navegador aceitará um certificado como prova de identidade somente se o campo de nome no certificado corresponder ao nome de domínio, que o navegador mostra na barra de localização. Mesmo que os nomes correspondam, isso prova que um certificado dizendo “apple.com”Pertence ao negócio de eletrônicos de consumo conhecido como Apple, Inc.? Não. Os sistemas de identidade não são à prova de balas. Bebedores menores de idade pode obter identidades falsas. Assim como as identificações humanas, os certificados digitais também podem ser falsos ou inválidos por outros motivos. Um engenheiro de software usando ferramentas gratuitas de código aberto pode criar um certificado digital chamado “apple.com” com alguns comandos do Linux. 

O sistema PKI depende das CAs para emitir qualquer certificado apenas ao proprietário do site. O fluxo de trabalho para adquirir um certificado é assim:

1. O editor de um site solicita à sua CA preferida um certificado, um domínio. 
2. A CA verifica se a solicitação de certificado vem do proprietário real desse site. Como a CA estabelece isso? A CA exige que a entidade que faz a solicitação publique um conteúdo específico em uma URL específica. A capacidade de fazer isso prova que a entidade tem controle sobre o site.
3. Depois que o site comprovar a propriedade do domínio, a CA anexa um assinatura digital criptográfica ao certificado usando sua própria chave criptográfica privada. A assinatura identifica a CA como emissora. 
4. O certificado assinado é transmitido à pessoa ou entidade que efetua o pedido. 
5. O editor instala seu certificado em seu site, para que ele possa ser apresentado aos navegadores. 

Assinaturas digitais criptográficas são “um esquema matemático para verificar a autenticidade de mensagens ou documentos digitais”. Eles não são a mesma coisa que a assinatura de documentos online fornecida pela DocuSign e fornecedores semelhantes. Se a assinatura pudesse ser falsificada, os certificados não seriam confiáveis. Com o tempo, o tamanho das chaves criptográficas aumentou com o objetivo de dificultar a falsificação. Os pesquisadores de criptografia acreditam que as assinaturas atuais, em termos práticos, são impossíveis de falsificar. Outra vulnerabilidade ocorre quando a CA tem suas chaves secretas roubadas. O ladrão poderia então produzir assinaturas válidas dessa CA. 

Depois que o certificado for instalado, ele será usado durante a configuração de uma conversa na web. A Inscrições explica como vai isso:

Se o certificado foi emitido por uma CA reconhecidamente válida e todos os detalhes estão corretos, então o site é confiável e o navegador tentará estabelecer uma conexão segura e criptografada com o site para que sua atividade no site não seja visível para um bisbilhoteiro na rede. Se o certificado foi emitido por uma CA não confiável, ou se o certificado não corresponder ao endereço do site, ou se alguns detalhes estiverem errados, o navegador rejeitará o site devido à preocupação de que ele não esteja se conectando ao site real que o usuário deseja , e pode estar conversando com um imitador.

Podemos confiar no navegador porque o navegador confia no site. O navegador confia no site porque o certificado foi emitido por uma CA “em boa reputação”. Mas o que é uma “CA reconhecidamente boa?” A maioria dos navegadores depende das CAs fornecidas pelo sistema operacional. A lista de CAs confiáveis ​​é decidida pelos fornecedores de dispositivos e software. Os principais fornecedores de computadores e dispositivos – Microsoft, Apple, fabricantes de telefones Android e distribuidores Linux de código aberto – pré-carregam o sistema operacional em seus dispositivos com um conjunto de certificados raiz.

Esses certificados identificam as CAs que eles examinaram e consideram confiáveis. Essa coleção de certificados raiz é chamada de “armazenamento confiável”. Para dar um exemplo próximo a mim, o PC com Windows que estou usando para escrever este artigo tem 70 certificados raiz em seu armazenamento de certificados raiz confiável. Site de suporte da Apple lista todas as raízes confiáveis ​​pela versão Sierra do MacOS. 

Como os fornecedores de computadores e telefones decidem quais CAs são confiáveis? Eles possuem programas de auditoria e conformidade para avaliar a qualidade das ACs. Somente aqueles que passam estão incluídos. Veja, por exemplo, o navegador Chrome (que fornece seu próprio armazenamento confiável em vez de usar o do dispositivo). A EFE (que se descreve como “a principal organização sem fins lucrativos que defende as liberdades civis no mundo digital”) explica:

Os navegadores operam “programas raiz” para monitorar a segurança e a confiabilidade das CAs em que confiam. Esses programas raiz impõem uma série de requisitos que vão desde “como o material da chave deve ser protegido” até “como deve ser realizada a validação do controle de nomes de domínio” e “quais algoritmos devem ser usados ​​para assinatura de certificados”.

Depois que uma CA é aceita por um fornecedor, o fornecedor continua a monitorá-la. Os fornecedores removerão as CAs do armazenamento confiável caso a CA não cumpra os padrões de segurança necessários. As autoridades certificadoras podem, e o fazem, se tornarem desonestas ou falharem por outros motivos. A Inscrições relatórios:

Os certificados e as CAs que os emitem nem sempre são confiáveis ​​e, ao longo dos anos, os fabricantes de navegadores removeram certificados raiz de CAs de CAs baseadas na Turquia, França, China, Cazaquistão e outros lugares quando a entidade emissora ou uma parte associada estava interceptando a web. tráfego. 

Em 2022, o pesquisador Ian Carroll relatou Preocupações de segurança com a autoridade certificadora e-Tugra. Carroll “encontrou uma série de questões alarmantes que me preocupam quanto às práticas de segurança dentro de sua empresa”, como credenciais fracas. Os relatórios de Carroll foram verificados pelos principais fornecedores de software. Como resultado, o e-Tugra foi removidos de seus armazenamentos de certificados confiáveis. 

A Cronograma de falhas da autoridade de certificação conta sobre outros incidentes semelhantes. 

Ainda existem algumas lacunas conhecidas na PKI tal como existe atualmente. Como uma questão específica é importante para a compreensão do Artigo 45 do eIDAS, explicarei isso a seguir. A confiança de uma CA não se estende aos sites que conduzem seus negócios com essa CA. Um navegador aceitará um certificado de qualquer CA confiável para qualquer site. Não há nada que impeça a CA de emitir um site para um malfeitor que não tenha sido solicitado pelo proprietário do site. Tal certificado seria fraudulento no sentido jurídico devido à pessoa para quem foi emitido. Mas o conteúdo do certificado seria tecnicamente válido do ponto de vista do navegador. 

Se houvesse uma maneira de associar cada site à sua CA preferida, qualquer certificado para esse site de qualquer outra CA seria imediatamente reconhecido como fraudulento. Fixação de certificado é outro padrão que dá um passo nessa direção. Mas como essa associação seria publicada e como seria confiável esse editor? 

Em cada camada deste processo, a solução técnica depende de uma fonte externa de confiança. Mas como essa confiança é estabelecida? Confiando em uma fonte ainda mais confiável no próximo plano superior? Esta questão ilustra o “tartarugas, até o fim”Natureza do problema. A PKI tem uma tartaruga no fundo: a reputação, visibilidade e transparência da indústria de segurança e de seus clientes. A confiança é construída neste nível por meio de monitoramento constante, padrões abertos, desenvolvedores de software e CAs. 

Certificados fraudulentos foram emitidos. Em 2013, a ArsTechnica relatou Agência francesa flagrada cunhando certificados SSL se passando por Google:

Em 2011…pesquisadores de segurança detectou um certificado falso para Google.com que deu aos invasores a capacidade de se passar pelo serviço de e-mail e outras ofertas do site. O certificado falsificado foi cunhado depois que invasores violaram a segurança da DigiNotar, sediada na Holanda, e obtiveram o controle de seus sistemas de emissão de certificados.

As credenciais do Secure Sockets Layer (SSL) foram assinadas digitalmente por uma autoridade de certificação válida… Na verdade, os certificados eram duplicatas não autorizadas que foram emitidas em violação às regras estabelecidas pelos fabricantes de navegadores e serviços de autoridade de certificação.

A emissão fraudulenta de certificados pode acontecer. Uma CA desonesta pode emitir um, mas não irá longe. O certificado incorreto será detectado. A CA ruim falhará nos programas de conformidade e será removida dos armazenamentos confiáveis. Sem aceitação, a CA sairá do mercado. Transparência do certificado, um padrão mais recente, permite a detecção mais rápida de certificados fraudulentos. 

Por que uma CA se tornaria desonesta? Que vantagem o bandido pode obter com um certificado não autorizado? Somente com o certificado, não muito, mesmo quando assinado por uma CA confiável. Mas se o bandido puder se associar a um ISP ou acessar a rede usada pelo navegador, o certificado dará ao malfeitor a capacidade de quebrar todas as garantias de segurança da PKI. 

O hacker poderia montar um ataque man-in-the-middle (MITM) na conversa. O invasor pode se inserir entre o navegador e o site real. Nesse cenário, o usuário estaria falando diretamente com o invasor, e o invasor retransmitiria o conteúdo para o site real. O invasor apresentaria o certificado fraudulento ao navegador. Como foi assinado por uma CA confiável, o navegador o aceitaria. O invasor pode visualizar e até mesmo modificar o que qualquer uma das partes enviou antes que a outra parte o recebesse.

Agora chegamos ao sinistro eIDAS da UE, Artigo 45. Este regulamento proposto exige que todos os navegadores confiem num conjunto de certificados de CAs designadas pela UE. Vinte e sete para ser exato: um para cada país membro. Esses certificados devem ser chamados Certificados de autenticação de site qualificados. A sigla “QWAC” tem um infeliz homófono para charlatanismo – ou talvez a CE esteja nos enganando.

Os QWACs seriam emitidos por agências governamentais ou pelo que Michael Rectenwald chama governamentalidades: “corporações e empresas e outros adjuntos do estado que também são chamados de ‘privados’, mas que na verdade operam como aparatos estatais, na medida em que impõem narrativas e ditames estatais.” 

Este esquema aproximaria os governos dos membros da UE do ponto em que poderiam atacar os seus próprios cidadãos por meio do homem do meio. Eles também precisariam acessar as redes. Os governos estão em posição de fazer isso. Se o ISP fosse administrado como uma empresa estatal, então eles já o teriam. Se os ISPs forem empresas privadas, então as autoridades locais poderiam usar poderes policiais para obter acesso. 

Um ponto que não foi enfatizado na conversa pública é que um navegador em qualquer um dos 27 países membros da UE seria obrigado a aceitar cada QWAC, um de cada Membro da UE. Isto significa que um navegador, por exemplo, em Espanha, teria de confiar num QWAC de entidades na Croácia, Finlândia e Áustria. O utilizador espanhol que visitasse um sítio Web austríaco teria de transitar por partes austríacas da Internet. As questões levantadas acima seriam todas aplicáveis ​​a todos os países da UE. 

The Register, em um artigo intitulado Bad eIDAS: Europa pronta para interceptar e espionar suas conexões HTTPS criptografadas explica uma maneira como isso pode funcionar:

[Esse] governo pode solicitar à sua CA amigável uma cópia do certificado [QWAC] para que o governo possa se passar pelo site - ou solicitar algum outro certificado que os navegadores confiarão e aceitarão para o site. Assim, utilizando um ataque man-in-the-middle, esse governo pode interceptar e desencriptar o tráfego HTTPS encriptado entre o site e os seus utilizadores, permitindo ao regime monitorizar exactamente o que as pessoas estão a fazer com esse site a qualquer momento.

Tendo penetrado o escudo da criptografia, o monitoramento poderia incluir salvar as senhas dos usuários e usá-las em outro momento para acessar as contas de e-mail dos cidadãos. Além do monitoramento, os governos poderiam modificar o conteúdo in-line. Por exemplo, poderiam remover as narrativas que pretendem censurar. Eles poderiam anexar irritante verificações de fatos do estado de babá e avisos de conteúdo a opiniões divergentes.

Do jeito que as coisas estão atualmente, as CAs devem manter a confiança da comunidade de navegadores. Atualmente, os navegadores avisam o usuário se um site apresenta um certificado expirado ou não confiável. Nos termos do Artigo 45, seriam proibidas advertências ou expulsão de abusadores de confiança. Não apenas os navegadores são obrigados a confiar nos QWACs, mas o Artigo 45 proíbe os navegadores de mostrar um aviso de que um certificado foi assinado por um QWAC. 

Última chance para eIDAS (um site que exibe o logotipo da Mozilla) defende o Artigo 45: 

Qualquer estado membro da UE tem a capacidade de designar chaves criptográficas para distribuição em navegadores da web e os navegadores estão proibidos de revogar a confiança nessas chaves sem permissão do governo. 

…Não existe qualquer controlo ou equilíbrio independente nas decisões tomadas pelos Estados-Membros no que diz respeito às chaves que autorizam e à utilização que lhes fazem. Isto é particularmente preocupante dado que a adesão ao Estado de direito tem não foi uniforme em todos os estados membros, com casos documentados de coerção pela polícia secreta para fins políticos.

Em um carta aberta assinada por centenas de pesquisadores de segurança e cientistas da computação:

O Artigo 45 também proíbe verificações de segurança em certificados web da UE, a menos que expressamente permitido por regulamento ao estabelecer conexões criptografadas de tráfego web. Em vez de especificar um conjunto de medidas mínimas de segurança que devem ser aplicadas como base, especifica efectivamente um limite superior para as medidas de segurança que não podem ser melhoradas sem a permissão do ETSI. Isto vai contra as normas globais bem estabelecidas, onde novas tecnologias de segurança cibernética são desenvolvidas e implementadas em resposta aos rápidos desenvolvimentos tecnológicos. 

A maioria de nós confia em nossos fornecedores para organizar a lista de CAs confiáveis. No entanto, como usuário, você pode adicionar ou remover certificados conforme desejar em seus próprios dispositivos. O Microsoft Windows tem um ferramenta para fazer isso. No Linux, os certificados raiz são arquivos localizados em um único diretório. Uma CA pode não ser confiável simplesmente excluindo o arquivo. Isso também será proibido? Steve Gibson, famoso especialista em segurança, cronistae anfitrião do Podcast Security Now de longa duração pergunta:

Mas a UE afirma que os navegadores serão obrigados a honrar estas novas autoridades de certificação, não comprovadas e não testadas e, portanto, quaisquer certificados que emitam, sem exceção e sem recurso. Isso significa que minha instância do Firefox será legalmente obrigada a recusar minha tentativa de remover esses certificados?

Gibson observa que algumas empresas implementam vigilância semelhante aos seus funcionários dentro da sua própria rede privada. Qualquer que seja a sua opinião sobre essas condições de trabalho, alguns setores têm razões legítimas de auditoria e conformidade para acompanhar e registar o que os seus funcionários estão a fazer com os recursos da empresa. Mas, como Gibson continua,

O problema é que a UE e os seus países membros são muito diferentes dos funcionários de uma organização privada. Sempre que um funcionário não quiser ser espionado, ele poderá usar seu próprio smartphone para contornar a rede do empregador. E é claro que a rede privada de um empregador é apenas isso, uma rede privada. A UE quer fazer isto para toda a Internet pública, da qual não haveria fuga.

Agora estabelecemos a natureza radical desta proposta. É altura de perguntar: que razões oferece a CE para motivar esta mudança? A CE afirma que a verificação de identidade sob PKI não é adequada. E que essas mudanças são necessárias para melhorá-lo. 

Existe alguma verdade nas afirmações da CE? A PKI atual, na maioria dos casos, exige apenas a solicitação para comprovar o controle do site. Embora isso seja algo, não garante, por exemplo, que a propriedade web “apple.com” seja propriedade da empresa de produtos eletrónicos de consumo conhecida como Apple Inc, com sede em Cupertino, Califórnia. Um usuário mal-intencionado pode obter um certificado válido para um nome de domínio semelhante ao de uma empresa conhecida. O certificado válido poderia ser usado em um ataque que dependesse de alguns usuários não procurarem o suficiente para perceber que o nome não corresponde. Isso aconteceu com processador de pagamentos Stripe.

Para os editores que gostariam de provar ao mundo que são verdadeiramente a mesma entidade corporativa, algumas CAs ofereceram Certificados de Validação Estendida (EV). A parte “estendida” consiste em validações adicionais em relação ao próprio negócio, como endereço comercial, número de telefone comercial, licença comercial ou incorporação e outros atributos típicos de uma empresa em funcionamento. Os VEs estão listados com um preço mais alto porque exigem mais trabalho da CA. 

Os navegadores costumavam mostrar feedback visual destacado para um EV, como uma cor diferente ou um ícone de cadeado mais resistente. Nos últimos anos, os VE não têm sido particularmente populares no mercado. A maioria deles morreu. Muitos navegadores não mostram mais o feedback diferencial. 

Apesar das deficiências que ainda existem, a PKI melhorou significativamente ao longo do tempo. À medida que as falhas foram sendo compreendidas, elas foram abordadas. Os algoritmos criptográficos foram fortalecidos, a governação melhorou e as vulnerabilidades foram bloqueadas. A governação por um consenso entre os intervenientes da indústria tem funcionado bastante bem. O sistema continuará a evoluir, tanto tecnológica como institucionalmente. Além da interferência dos reguladores, não há razão para esperar o contrário.

Aprendemos com a história sem brilho dos VEs que o mercado não se preocupa tanto com a verificação da identidade corporativa. No entanto, se os usuários da Internet quisessem isso, não seria necessário quebrar a PKI existente para fornecê-la a eles. Alguns pequenos ajustes nos fluxos de trabalho existentes seriam suficientes. Alguns comentadores propuseram modificar o Handshake TLS; o site apresentaria um certificado adicional. O certificado primário funcionaria como agora. O certificado secundário, assinado por um QWAC, implementaria os padrões de identidade adicionais que a CE afirma desejar.

As supostas razões da CE para o eIDAS simplesmente não são credíveis. Não só as razões apresentadas são implausíveis, como a CE nem sequer se preocupa com as habituais queixas hipócritas sobre como devemos sacrificar liberdades importantes em nome da segurança, porque enfrentamos a grave ameaça de [escolha uma] tráfico de seres humanos, segurança infantil, branqueamento de capitais , evasão fiscal ou (meu favorito) mudança climática. Não há como negar que a UE está a iluminar-nos.

Se a CE não for honesta sobre os seus verdadeiros motivos, então o que pretende? Gibson vê uma intenção nefasta:

E há apenas uma razão possível para eles quererem [fazer com que os navegadores confiem nos QWACs], que é permitir a interceptação dinâmica do tráfego da Internet, exatamente como acontece dentro das corporações. E isso é reconhecido. 

(O que Gibson quer dizer com “interceptação de tráfego web” é o ataque MITM descrito acima.)Outros comentários destacaram as implicações sinistras para a liberdade de expressão e o protesto político. Ferido em um ensaio longo apresenta um argumento escorregadio:

Quando uma democracia liberal estabelece este tipo de controlo sobre a tecnologia na Web, apesar das suas consequências, estabelece as bases para que governos mais autoritários sigam o exemplo impunemente.

Mozilla citado em techdirt (sem link para o original) diz mais ou menos o mesmo:

[Forçar] os navegadores a confiarem automaticamente nas autoridades de certificação apoiadas pelo governo é uma táctica chave utilizada pelos regimes autoritários, e estes actores seriam encorajados pelo efeito legitimador das acções da UE…

Gibson faz algo semelhante observação:

E depois há o espectro muito real de que outras portas isto abre: se a UE mostrar ao resto do mundo que pode ditar com sucesso os termos de confiança para os navegadores independentes utilizados pelos seus cidadãos, o que outros países seguirão com leis semelhantes ? Agora todos podem simplesmente exigir que os certificados do seu próprio país sejam adicionados. Isso nos leva exatamente na direção errada.

Este artigo 45 proposto é um ataque à privacidade dos utilizadores nos países da UE. Se for adoptado, representará um enorme revés não só na segurança da Internet, mas também no sistema evoluído de governação. Concordo com Steve Gibson que:

O que não está completamente claro, e o que não encontrei em lado nenhum, é uma explicação da autoridade pela qual a UE imagina ser capaz de ditar o design do software de outras organizações. Porque é nisso que tudo se resume.

A resposta ao Artigo 45 proposto foi extremamente negativa. A EFF em O Artigo 45 reverterá a segurança da Web em 12 anos escreve: “Esta é uma catástrofe para a privacidade de todos os que utilizam a Internet, mas especialmente para aqueles que utilizam a Internet na UE”. 

O esforço eIDAS é um incêndio de quatro alarmes para a comunidade de segurança. Mozilla – fabricante do navegador de código aberto Firefox – postou um Declaração Conjunta da Indústria opondo-se a isso. A declaração é assinada por uma lista de estrelas de empresas de infraestrutura de Internet, incluindo a própria Mozilla, Cloudflare, Fastly e a Linux Foundation. 

Do carta aberta Mencionado acima: 

Depois de ler o texto quase final, estamos profundamente preocupados com o texto proposto para o artigo 45.º. A proposta actual expande radicalmente a capacidade dos governos de vigiarem tanto os seus próprios cidadãos como os residentes em toda a UE, proporcionando-lhes os meios técnicos para interceptarem dados encriptados. tráfego na Internet, bem como minar os mecanismos de supervisão existentes em que os cidadãos europeus confiam. 

Onde isso vai? O regulamento foi proposto há algum tempo. A decisão final foi marcada para novembro de 2023. As pesquisas na Web não mostram nenhuma informação nova sobre este tema desde então. 

Nestes últimos anos, a censura total em todas as suas formas aumentou. Durante a loucura cobiçosa, o governo e a indústria formaram uma parceria para criar um censura-complexo industrial para promover de forma mais eficiente narrativas falsas e suprimir dissidentes. Nestes últimos anos, os céticos e as vozes independentes reagiram, nos tribunais, e criando ponto de vista neutro . 

Embora a censura ao discurso continue a ser um grande perigo, os direitos dos escritores e jornalistas estão mais bem protegidos do que muitos outros direitos. Nos EUA, o Primeira Emenda tem uma proteção explícita de expressão e a liberdade de criticar o governo. Os tribunais podem ser da opinião de que quaisquer direitos ou liberdades não protegidos por uma linguagem estatutária altamente específica são um jogo justo. Esta pode ser a razão pela qual a resistência teve mais sucesso no discurso do que outros esforços para impedir outros abusos de poder, como quarentenas e confinamentos populacionais. 

Em vez de serem um inimigo bem defendido, os governos estão a transferir os seus ataques para outras camadas da infra-estrutura da Internet. Esses serviços, como registro de domínio, DNS, certificados, processadores de pagamento, hospedagem e lojas de aplicativos, consistem em grande parte em transações de mercado privado. Estes serviços são muito menos protegidos do que a liberdade de expressão porque, na sua maioria, não existe o direito de ninguém adquirir um serviço específico de uma determinada empresa. E os serviços mais técnicos, como DNS e PKI, são menos compreendidos pelo público do que a publicação na web.

O sistema PKI é particularmente vulnerável a ataques porque funciona por reputação e consenso. Não existe uma autoridade única que governe todo o sistema. Os jogadores devem ganhar reputação através da transparência, conformidade e relatos honestos de falhas. E isso o torna vulnerável a esse tipo de ataque perturbador. Se a PKI da UE cair nas mãos dos reguladores, espero que outros países o sigam. Não só a PKI está em risco. Uma vez comprovado que outras camadas da pilha podem ser atacadas pelos reguladores, elas também serão visadas.