โอกาสสุดท้ายในการแก้ไข eIDAS: กฎหมายลับของสหภาพยุโรป (EU) ที่คุกคามความปลอดภัยของอินเทอร์เน็ต

 (last-chance-for-eidas.org)
2 คะแนน โดย GN⁺ 2023-11-03 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ข้อความของกฎระเบียบ eIDAS ฉบับที่เกือบเป็นฉบับสุดท้ายได้รับความเห็นชอบจากสถาบันหลักของ EU แล้ว และมีกำหนดจะยื่นเพื่อขออนุมัติภายในสิ้นปีนี้
  • บทบัญญัติทางกฎหมายใหม่กำหนดให้เว็บเบราว์เซอร์ทุกตัวในยุโรปต้องเชื่อถือหน่วยงานออกใบรับรองและกุญแจเข้ารหัสที่รัฐบาล EU เป็นผู้เลือก
  • การเปลี่ยนแปลงนี้ขยายความสามารถของรัฐบาล EU ในการดักจับทราฟฟิกเว็บที่เข้ารหัสทั่วทั้ง EU เพื่อติดตามพลเมือง
  • ประเทศสมาชิก EU ใดก็ตามสามารถแจกจ่ายกุญแจเข้ารหัสไปยังเว็บเบราว์เซอร์ได้ และเบราว์เซอร์ไม่สามารถเพิกถอนความเชื่อถือในกุญแจเหล่านี้ได้หากไม่ได้รับอนุญาตจากรัฐบาล
  • สิ่งนี้ทำให้ประเทศสมาชิก EU ใดก็ตามสามารถออกใบรับรองเว็บไซต์เพื่อการเฝ้าระวังและการดักจับข้อมูลของพลเมือง EU ทุกคนได้ ไม่ว่าบุคคลนั้นจะพำนักอยู่หรือมีความเชื่อมโยงกับประเทศสมาชิกผู้ออกหรือไม่ก็ตาม
  • ไม่มีการตรวจสอบหรือกลไกถ่วงดุลที่เป็นอิสระต่อการตัดสินใจเกี่ยวกับกุญแจที่ประเทศสมาชิกให้การรับรองและใช้งาน
  • ข้อความนี้ห้ามไม่ให้เบราว์เซอร์ใช้การตรวจสอบความปลอดภัยกับกุญแจและใบรับรองของ EU เหล่านี้ ยกเว้นที่ได้รับการอนุมัติล่วงหน้าโดย ETSI ซึ่งเป็นองค์กรกำหนดมาตรฐานไอทีของ EU
  • ETSI มีประวัติที่น่ากังวลทั้งในด้านการผลิตมาตรฐานการเข้ารหัสที่ถูกบั่นทอน และการตั้งคณะทำงานเพื่อพัฒนาเทคโนโลยีสำหรับการดักจับข้อมูล
  • ผู้เชี่ยวชาญและนักวิจัยด้านความมั่นคงไซเบอร์มากกว่า 300 คนได้ลงนามในจดหมายเปิดผนึกเพื่อเรียกร้องให้ EU ล้มเลิกแผนนี้และปกป้องเว็บ
  • องค์กรภาคประชาสังคมและบริษัทที่สร้างและปกป้องอินเทอร์เน็ต เช่น Linux Foundation, Mullvad, DNS0.EU และ Mozilla ก็ได้สนับสนุนจดหมายฉบับนี้เช่นกัน
  • หลังจากได้รับการอนุมัติในการประชุมไตรภาคีลับครั้งสุดท้ายที่บรัสเซลส์ในวันที่ 8 พฤศจิกายน ข้อความนี้จะถูกเผยแพร่และยื่นต่อรัฐสภายุโรปเพื่อให้สัตยาบันอย่างเป็นทางการ
  • พลเมืองยุโรปสามารถเขียนถึง Romana JERKOVIĆ สมาชิกสภายุโรปผู้รับผิดชอบแฟ้ม eIDAS เพื่อแสดงข้อกังวลของตนได้
  • ผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์ นักวิจัย หรือ NGO สามารถลงนามในจดหมายเปิดผนึกได้ที่ https://eidas-open-letter.org

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-11-03
ความคิดเห็นจาก Hacker News
  • บทความเกี่ยวกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นจากกฎหมาย eIDAS ของสหภาพยุโรป (EU)
  • มีความกังวลว่ากฎหมายนี้อาจอนุญาตให้มีการออกใบรับรองใด ๆ ที่สามารถนำไปใช้เพื่อการเฝ้าระวังได้
  • ผู้แสดงความคิดเห็นบางรายโต้แย้งว่ากฎหมายนี้ไม่ใช่ "กฎหมายลับ" เพราะกฎหมายทุกฉบับของสหภาพยุโรปต้องเผยแพร่บนเว็บไซต์ในภาษาราชการของตน และต้องได้รับการให้สัตยาบันอย่างเปิดเผยในรัฐสภายุโรปก่อนมีผลบังคับใช้
  • มุมมองหนึ่งคือกฎหมายนี้อาจย้ายอำนาจจากหน่วยงานเอกชนไปยังรัฐบาลสหภาพยุโรป เพื่อให้การบริหารงานดิจิทัลง่ายขึ้น
  • มีคำถามเกี่ยวกับผลกระทบต่อเบราว์เซอร์โอเพนซอร์ส ว่าจะถูกบังคับให้รองรับหรือไม่ และรัฐบาลจะตรวจสอบโค้ดเพื่อดูว่าใครเป็นผู้ปล่อยเวอร์ชันที่ลบใบรับรองของรัฐบาลออกหรือไม่
  • ผู้แสดงความคิดเห็นบางรายระบุว่าระบบ CA ของเบราว์เซอร์ในปัจจุบันมีข้อบกพร่องโดยเนื้อแท้อยู่แล้ว และหากผู้กระทำการระดับรัฐสามารถดักจับทราฟฟิก IP และสร้างใบรับรองที่เป็นอันตรายได้ พวกเขาก็สามารถทำการโจมตีแบบ MITM ได้
  • eIDAS มีความพยายามที่จะบังคับให้เกิดความเชื่อถือ ซึ่งบางคนเชื่อว่านี่จะทำลายโมเดลความเชื่อถือทั้งหมดของอินเทอร์เน็ต
  • กฎหมายนี้กำหนดให้ "ใบรับรองที่มีคุณสมบัติสำหรับการรับรองความถูกต้องของเว็บไซต์" ต้องได้รับการยอมรับโดยเว็บเบราว์เซอร์และแสดงผลในลักษณะที่เป็นมิตรต่อผู้ใช้
  • ประเทศอื่น ๆ เช่น อินเดีย ก็กำลังเตรียมกฎหมายลักษณะคล้ายกันเพื่อให้ OS และเบราว์เซอร์ของตนมี CA ของตัวเอง
  • ผู้แสดงความคิดเห็นบางรายบอกว่าพวกเขายอมรับกฎหมายนี้ได้ หากใบรับรองที่ออกโดย CA นั้นเชื่อมโยงกับบริการ Certificate Transparency (CT) ที่เป็นอิสระ และเชื่อมกับโดเมนระดับบนสุดของประเทศที่เฉพาะเจาะจง