Тайный декодер: ЕС вводит новые правила перехвата веб-трафика

Европейский Союз работает над обновлением регламента eIDAS , который регулирует электронную идентификацию и доверительные услуги для электронных сделок на едином европейском рынке. Это важный законодательный акт в эпоху цифровизации, и его актуализация является логичной учитывая быстрое развитие сектора. Однако процесс обновления вызвал беспокойство. В марте 2022 года группа экспертов обратилась к членам Европейского парламента с открытым письмом , предупреждая о рисках новой версии eIDAS для глобальной системы безопасности интернета.

Предварительная версия eIDAS 2.0, получившая одобрение переговорщиков ЕС, вызывает тревогу из-за своих последствий, которые, по мнению Mozilla, могут быть еще более серьезными, чем предполагалось ранее. На своем новом информационном ресурсе "Последний шанс для корректировки eIDAS", Mozilla подробно разъясняет, как новые законодательные нормы потребуют от всех веб-браузеров в ЕС доверять сертификационным центрам и криптографическим ключам, утвержденным национальными правительствами.

Согласно Mozilla, эти нововведения могут значительно усилить возможности правительств ЕС по мониторингу своих граждан, давая им инструменты для перехвата зашифрованного интернет-трафика по всему Евросоюзу. Так, любое государство, являющееся членом ЕС, сможет назначать ключи, используемые для аутентификации веб-сайтов, и веб-браузерам будет запрещено отказывать в доверии этим ключам без явного разрешения правительства.

Такая система позволяет любому государству-члену ЕС выдавать сертификаты для перехвата и слежения, которые могут быть использованы против любого гражданина ЕС, вне зависимости от его места жительства. При этом отсутствует независимый контроль или балансировка властей в отношении выдачи и применения этих ключей. Подобные меры вызывают серьезное беспокойство в свете различий в соблюдении верховенства закона в странах-членах ЕС и документально зафиксированных случаев злоупотребления властью сцецслужбами в политических целях.

European Signature Dialog , цель которого - "собрать ведущих европейских поставщиков трастовых услуг для обмена лучшими практиками, формирования общей отраслевой позиции по вопросам регулирования и расширения возможностей европейских решений для обеспечения гарантированной безопасности данных", не согласно с анализом, представленным Mozilla. В сообщении на LinkedIn говорится :

Mozilla недавно запустила кампанию, обвиняя текущее законодательство eIDAS в дезинформации с целью блокировки изменений в статье 45, касающейся квалифицированных сертификатов веб-аутентификации ЕС ("QWAC").

Документ от European Signature Dialog якобы опровергает утверждения Mozilla. Для тех, кто заинтересован в понимании базовой технологии, Эрик Рескорла предлагает ознакомиться с отличным введением в eIDAS и QWAC, размещенным в блоге Educated Guesswork. Но есть и менее технический вопрос. Mozilla заявляет:

Заставить браузеры автоматически доверять государственным центрам сертификации - это ключевая тактика, используемая авторитарными режимами, и такие действия ЕС могут поддержать этот тренд. Короче говоря, если бы этот закон был принят иными государствами, это могло бы угрожать кибербезопасности и фундаментальным правам человека.

На что European Signature Dialog отвечает:

Европейский Союз не контролирует "корневые" удостоверяющие центры, используемые эмитентами QWAC, и поэтому ЕС не может использовать сертификаты для "шпионажа" за гражданами ЕС. Mozilla должно стыдиться за такое утверждение.

Возможно, Европейский Союз не осуществляет контроль над "корневыми" удостоверяющими центрами, однако Mozilla утверждает, что отдельные государства-члены ЕС действительно смогут получить такой контроль, что, в свою очередь, может позволить, например, их разведслужбам отслеживать зашифрованный веб-трафик.

European Signature Dialog заканчивает свой ответ вопросом: "Почему Mozilla распространяет эту дезинформацию?" и отвечает: "Mozilla часто воспринимается как спутник Google, открывающий Google путь для продвижения своих коммерческих интересов". Такое нападение на мотивы Mozilla, предполагая, что это всего лишь "спутник" Google, подразумевает недоверие к другим аргументам, предложенным European Signature Dialog.

К тому же, обвинение в том, что это всего лишь попытка Google обойти европейское законодательство, опровергается тем фактом, что помимо Mozilla 335 ученых и исследователей из 32 стран, а также различные НПО подписали совместное заявление с критикой предложенной реформы eIDAS. Они предупреждают :

Учреждение, находящееся под контролем правительства, сможет перехватывать веб-трафик не только своих граждан, но и всех граждан ЕС, включая банковскую информацию, юридически защищенные данные, медицинские записи и семейные фотографии. Перехват возможен даже при посещении веб-сайтов за пределами ЕС, поскольку указанное учреждение сможет выдавать сертификаты для любого веб-сайта, которые все браузеры будут обязаны принимать. Хотя eIDAS 2.0 предоставляет гражданам возможность отказаться от использования новых услуг и функций, это не распространяется на статью 45. Каждому гражданину придется доверять этим сертификатам, и, таким образом, каждый гражданин столкнется с угрозой для своей онлайн-безопасности.

В заключение сказано:

Это регулирование не устраняет ни один из существующих рисков. Напротив, подорвав проверенные процессы безопасной веб-аутентификации, оно привносит новые риски без каких-либо выгод для граждан, бизнеса и учреждений Европы. Более того, если закон вступит в силу, можно предположить, что другие страны будут настаивать на получении аналогичных привилегий у браузеров, как у государств-членов ЕС — что некоторые уже безуспешно пытались сделать в прошлом — создавая тем самым глобальную угрозу веб-безопасности.