Для начала начну с двух определений, важных в контексте рассматриваемой статьи и которые вряд ли знакомы широкому кругу специалистов по ИБ:
eIDAS (electronic IDentification, Authentication and trust Services) — принятый 23 июля 2014 г. в Евросоюзе регламент об электронной идентификации, аутентификации и доверенных услугах, который был разработан для установления доверия к электронным услугам/транзакциям/сделкам между физическими лицами, организациями и государственными структурами в государствах-членах ЕС.
Обновление eIDAS сделанное в 2021-м году требует от браузеров, используемых на территории Евросоюза (включая Chrome, Safari, Firefox и т.п.), включать список так называемых доверенных сервис-провайдеров (TSP), установленных государством и доверять сертификатам QWAC, выданным этими провайдерами.QWAC (Qualified Website Authentication Certificates) — сертификаты аутентификации web-сайтов, разработанные для выполнения регламента eIDAS.
Список TSP поддерживается на выделенном сайте Евросоюза. Сейчас в нем 245 компаний (в той же Франции их целых 30, а в Испании — 50).
Чтобы вы понимали, что это значит. 90% всех сертификатов в Интернете выдано всего 6-тью компаниями — IdenTrust, Sectigo (это переименнованный бизнес сертификатов Comodo), GlobalSign, Let’s Encrypt, DigiCert Group (бизнес Symantec/VeriSign входит сюда) и GoDaddy. Если мы посмотрим на текущие числа рутовых сертификатов, включенных в популярные браузеры и операционные системы, то и тут мы увидим, что эти числа меньше 245:
- В Mozilla Firefox включено 165 сертификатов от 50+ центров сертификации (CA)
- В Chrome включено 134 сертификата, которым браузер доверяет
- В продукцию Apple (iOS, macOS, iPadOS, tvOS, watchOS) включено 160 сертификатов от 70 организаций.
- В ОС Microsoft Windows число сертификатов постоянно меняется от версии к версии, но в среднем там около 250 сертификатов от 100 организаций.
Получается, что предлагаемые в eIDAS поправки увеличат число доверенных CA в 2,5 раза по сравнению даже с Microsoft, а число доверенных корневых сертификатов будет и того больше.
Ну и что, скажете вы. Так вот предлагаемые поправки в европейское законодательство приведут к тому, что исключать эти CA без согласования с локальными правительствами будет нельзя! Даже если у компании будут проблемы, как это в 2011-м году произошло с DigiNotar или Comodo, от имени которых якобы иранские хакеры выдавали мошеннические сертификаты. Вообще с именитыми игроками рынка бывали проблемы нередко. Например, в 2001-м VeriSign выдал два сертификата людям, которые заявили, что они представляют Microsoft. В 2008-м Comodo выдал сертификат для сайта mozilla.com неуполномоченному лицу. В 2015-м китайский CA MCS Holdings выпустил неавторизованные сертификаты для доменов Google, за что поплатился удалением из списка корневых CA в Chrome. Но кому-то везло больше — с итальянским центром сертификации Camerfirma связано три десятка случаев, но компания продолжает существовать и развиваться.
Такое разрастание числа корневых сертификатов и организаций, имеющих право их выдавать, может привести к двум серьезным проблемам. Во-первых, многие из этих организаций достаточно слабы с точки зрения безопасности. Достаточно вспомнить кейс годовалой давности с турецким CA e-Tugra (детали и описание кейса), к административной панели управления которого мог получить доступ любой желающий и наплоить нужное число сертификатов, позволяющих реализовать среди прочего и атаки «человек посередине» для банковских приложений и т.п. При этом никаких требований по ИБ к центрам сертификации eIDAS не предъявляет, что открывает для злоумышленников большое число возможностей. Более того, браузеры не могут устанавливать расширенные требования к центрам сертификации, не предусмотренные eIDAS, например, Certificate Transparency.
Хочу обратить внимание, что выполнение требований eIDAS приведет к тому, что либо производители браузеров будут выпускать и размещать у себя на сайте две версии своего ПО — для ЕС и для всего мира, либо будет единая версия ПО с европейскими QWAC-сертификатами. В последнем случае пользователь браузера из любой страны, а не только европеец, может стать жертвой злоупотреблений.
Вторая опасность в том, что государство получит возможность легально перехватывать любую коммуникацию в Интернет. И да, оно не преминет этим воспользоваться. Можно сколь угодно долго бить себя пяткой в грудь и разглагольствовать о демократии, но мы помним множество примером, когда государства вторгались в частную жизнь своих граждан; конечно, под соусом защиты этих самых граждан. Сноуден писал о глобальной слежке, в том числе и за американцами. Англичане отменяли двухстороннеее шифрование в средствах коммуникаций для защиты детей (да, не только Роскомнадзор под соусом защиты детей вводит различные ограничивающие меры в Интернет). Казахстан
пытался пыталось провернуть такой же фокус. Когда их вывели на чистую воду, ANSSI сначала пыталось объяснить это внутренними задачами и наличием согласий пользователей, но потом сослалось на человеческую ошибку (ага, как обычно, «это не мы, оно само«).Очевидно, что в случае принятия (а это должно произойти в самое ближайшее время) этих поправок, Европа сама забьет гвоздь в крышку гроба, в котором будут похоронены все современные технологии электронной коммерции и не только. Мы прекрасно понимаем, что внести изменения в европейское законодательство просто, только если оно касается санкций против России (и то, венгерского премьер-министра Орбана надо попросить выйти попить кофе). В остальных случаях получить согласие всех 27 государств для единогласного (а иначе нельзя) принятия будущих поправок будет очень и очень затруднительно. Поэтому многие европейские (и не только) эксперты и организации бьют сегодня в колокола. 552 ученых из 42 стран подписали открытое письмо Европейскому парламенту и членам Совета Евросоюза, в котором призывают отказаться от принимаемых поправок и не ставить приватность европейцев под угрозу.
Пока Европарламент подзабил болт на все замечания к eIDAS и планирует принять поправки в самое ближайшее время. В случае их принятия пока сложно оценить, как это повлияет на кибербезопасность, но положительно точно нет. Хорошо, что у нас сейчас с Европой непростые отношения, а то бы наши регуляторы могли взять эту тему на флаг и попробовать под соусом «а вот у них-то уже это есть» провернуть такой же фокус и у нас. Но, к счастью, пока нет. Хотя попытка навязать корневой сертификат от Минцифры продолжается и некоторые сайты, особенно государственные, уже обещают, что без установки сертификата пользоваться ими будет скоро невозможно. Но мы пока держимся 🙂
Заметка
Как европейцы хотят убить приватность в Интернете была впервые опубликована на Бизнес без опасности .
