გაზიარება | ბეჭდვა | ელ.ფოსტა
ის ევროკომისია არის ევროკავშირის საკანონმდებლო ორგანო, რომელსაც აქვს ციფრული ტექნოლოგიების მარეგულირებელი უფლებამოსილება. ევროკომისიის eIDAS-ის 45-ე მუხლი, შემოთავაზებული რეგულაცია, განზრახ შეასუსტებს ინტერნეტ უსაფრთხოების იმ სფეროებს, რომლებიც ინდუსტრიამ 25 წელზე მეტი ხნის განმავლობაში ფრთხილად განავითარა და დაამტკიცა. მუხლი ეფექტურად მიანიჭებს ევროკავშირის 27 მთავრობას ინტერნეტის გამოყენებაზე თვალთვალის მნიშვნელოვნად გაფართოებულ უფლებამოსილებებს.
წესის თანახმად, ყველა ინტერნეტ ბრაუზერს მოეთხოვება ენდოს ევროკავშირის წევრი სახელმწიფოების თითოეული ეროვნული მთავრობის სააგენტოს (ან რეგულირებადი ერთეულის) დამატებით root სერტიფიკატს. არატექნიკური მკითხველებისთვის ავხსნი, თუ რა არის root სერტიფიკატი, როგორ განვითარდა ინტერნეტ ნდობა და რას აკეთებს ამასთან დაკავშირებით 45-ე მუხლი. შემდეგ კი გამოვყოფ ამ საკითხთან დაკავშირებით ტექნიკური საზოგადოების ზოგიერთ კომენტარს.
ამ სტატიის შემდეგ ნაწილში ახსნილი იქნება, თუ როგორ მუშაობს ინტერნეტის ნდობის ინფრასტრუქტურა. ეს ინფორმაცია აუცილებელია შემოთავაზებული სტატიის რადიკალურობის გასაგებად. ახსნა შექმნილია ისე, რომ ხელმისაწვდომი იყოს არატექნიკური მკითხველისთვის.
განსახილველი რეგულაცია ეხება ინტერნეტ უსაფრთხოებას. აქ „ინტერნეტი“ ძირითადად ნიშნავს ბრაუზერებს, რომლებიც ვებსაიტებს სტუმრობენ. ინტერნეტ უსაფრთხოება მრავალი განსხვავებული ასპექტისგან შედგება. 45-ე მუხლი ითვალისწინებს ცვლილებების შეტანას. საჯარო გასაღების ინფრასტრუქტურა (PKI), ინტერნეტ უსაფრთხოების ნაწილი 90-იანი წლების შუა პერიოდიდან. PKI თავდაპირველად დანერგილი და შემდეგ გაუმჯობესებული იქნა 25 წლის განმავლობაში, რათა მომხმარებლებისა და გამომცემლებისთვის შემდეგი გარანტიები მიეცათ:
- ბრაუზერსა და ვებსაიტს შორის საუბრის კონფიდენციალურობაბრაუზერები და ვებსაიტები ურთიერთობენ ინტერნეტით, ქსელების ქსელით, რომელსაც მართავს ინტერნეტ მომსახურების მიმწოდებლებიდა პირველი დონის გადამზიდავებიან ფიჭური ოპერატორები თუ მოწყობილობა მობილურია. ქსელი თავისთავად არ არის უსაფრთხო და სანდო. თქვენი ცნობისმოყვარე სახლის ინტერნეტ პროვაიდერი, მგზავრი აეროპორტის ლაუნჯში სადაც თქვენს რეისს ელოდებით, ან მონაცემთა გამყიდველი, რომელიც ცდილობს პოტენციური კლიენტების გაყიდვას რეკლამის განმთავსებლებისთვის შესაძლოა, თქვენზე ჯაშუშობა მოინდომონ. ყოველგვარი დაცვის გარეშე, ბოროტმოქმედს შეუძლია ისეთი კონფიდენციალური მონაცემების ნახვა, როგორიცაა პაროლი, საკრედიტო ბარათის ბალანსი ან ჯანმრთელობის შესახებ ინფორმაცია.
- გარანტიას გაძლევთ, რომ გვერდს ზუსტად ისე ნახავთ, როგორც ვებსაიტმა გამოგიგზავნათვებგვერდის დათვალიერებისას, შესაძლებელია თუ არა, რომ ის გამომცემელსა და თქვენს ბრაუზერს შორის ურთიერთშეთანხმებით იყოს გატეხილი? ცენზორს შეიძლება სურდეს ისეთი კონტენტის წაშლა, რომლის ნახვაც არ სურს. „დეზინფორმაციად“ მონიშნული კონტენტი ფართოდ იქნა აკრძალული კოვიდ-ისტერიის დროს. ჰაკერმა, რომელმაც თქვენი საკრედიტო ბარათი მოიპარა, შეიძლება სურდეს თაღლითური ბრალდებების დამადასტურებელი მტკიცებულებების წაშლა.
- დარწმუნდით, რომ თქვენს მიერ ნანახი ვებსაიტი ნამდვილად ბრაუზერის მდებარეობის ზოლში მითითებული ვებსაიტიაროდესაც ბანკს უკავშირდებით, როგორ უნდა გაიგოთ, რომ ხედავთ ამ ბანკის ვებსაიტს და არა ყალბ ვერსიას, რომელიც იდენტურია? თქვენ ბრაუზერში ამოწმებთ მდებარეობის ზოლს. შესაძლებელია თუ არა, რომ თქვენი ბრაუზერი მოტყუებით გაჩვენოთ ყალბი ვებსაიტი, რომელიც იდენტურია ნამდვილის? როგორ იცის თქვენმა ბრაუზერმა - დანამდვილებით - რომ ის დაკავშირებულია სწორ საიტთან?
ინტერნეტის გაჩენის პირველ ხანებში, ამ გარანტიებიდან არცერთი არ არსებობდა. 2010 წელს, ბრაუზერის დანამატი, რომელიც ხელმისაწვდომია დანამატების მაღაზიაში მომხმარებელს კაფეში არსებულ ცხელ წერტილში სხვისი Facebook ჯგუფის ჩატში მონაწილეობის საშუალება მისცა. ახლა - PKI-ის წყალობით, ამაში საკმაოდ დარწმუნებული შეგიძლიათ იყოთ.
ეს უსაფრთხოების მახასიათებლები დაცულია სისტემით, რომელიც დაფუძნებულია ციფრული სერთიფიკატებიციფრული სერტიფიკატები პირადობის დამადასტურებელი დოკუმენტის ერთ-ერთი ფორმაა - მართვის მოწმობის ინტერნეტ ვერსია. როდესაც ბრაუზერი უკავშირდება საიტს, საიტი მას სერტიფიკატს წარუდგენს. სერტიფიკატი შეიცავს კრიპტოგრაფიულ გასაღებს. ბრაუზერი და ვებსაიტი ერთად მუშაობენ კრიპტოგრაფიული გამოთვლების სერიით, რათა უზრუნველყონ უსაფრთხო კომუნიკაცია.
ერთად, ბრაუზერი და ვებსაიტი უზრუნველყოფენ უსაფრთხოების სამ გარანტიას:
- კონფიდენციალურობის: საუბრის დაშიფვრით.
- კრიპტოგრაფიული ციფრული ხელმოწერები: იმის უზრუნველსაყოფად შინაარსი ფრენის დროს არ იცვლება.
- გამომცემლის ვერიფიკაცია: PKI-ის მიერ უზრუნველყოფილი ნდობის ჯაჭვის მეშვეობით, რომელსაც ქვემოთ უფრო დეტალურად ავხსნი.
კარგი იდენტობის გაყალბება რთული უნდა იყოს. ანტიკურ სამყაროში, ბეჭდის ცვილის ჩამოსხმა ამ მიზანს ემსახურებოდა. ადამიანების ვინაობა ბიომეტრიას ეყრდნობოდა. თქვენი სახე ერთ-ერთი უძველესი ფორმაა. არაციფრულ სამყაროში, როდესაც ასაკობრივი შეზღუდვის მქონე გარემოში წვდომა გჭირდებათ, მაგალითად, ალკოჰოლური სასმელის შეკვეთისას, თქვენ მოგეთხოვებათ პირადობის დამადასტურებელი ფოტო დოკუმენტის წარდგენა.
ციფრულ ერამდე არსებული კიდევ ერთი ბიომეტრიული მონაცემი იყო თქვენი ახალი, კალმითა და მელნით შესრულებული ხელმოწერის შედარება პირადობის მოწმობის უკანა მხარეს არსებულ ორიგინალურ ხელმოწერასთან. რადგან ბიომეტრიის ამ ძველი ტიპების გაყალბება უფრო ადვილი ხდება, ადამიანის ვინაობის დადასტურება ადაპტირებულია. ახლა ბანკისთვის ჩვეულებრივი მოვლენაა თქვენს მობილურზე დამადასტურებელი კოდის გამოგზავნა. აპლიკაცია მოითხოვს, რომ გაიაროთ ბიომეტრიული ვინაობის შემოწმება თქვენს მობილურ ტელეფონზე, რათა ნახოთ კოდი, როგორიცაა სახის ამოცნობა ან თითის ანაბეჭდი.
ბიომეტრიული მონაცემების გარდა, მეორე ფაქტორი, რომელიც პირადობის მოწმობას სანდოს ხდის, არის გამცემი. ფართოდ აღიარებული პირადობის მოწმობები დამოკიდებულია გამცემის უნარზე, დაადასტუროს, რომ პირადობის მოწმობის მსურველი პირი ის არის, ვინც თავს აცხადებს. პირადობის მოწმობის უფრო ფართოდ აღიარებული ფორმების უმეტესობას გასცემენ სამთავრობო უწყებები, როგორიცაა საავტომობილო გზების დეპარტამენტი. თუ გამცემ სააგენტოს აქვს სანდო საშუალებები იმის თვალყურის დევნებისთვის, თუ ვინ და სად იმყოფებიან მისი სუბიექტები, როგორიცაა გადასახადების გადახდები, დასაქმების ჩანაწერები ან წყალმომარაგების სერვისების გამოყენება, მაშინ დიდი შანსია, რომ სააგენტოს შეეძლოს დაადასტუროს, რომ პირადობის მოწმობაზე მითითებული პირი სწორედ ეს პირია.
ონლაინ სამყაროში, მთავრობები, ძირითადად, არ არიან ჩართულნი პირადობის დადასტურებაში. სერტიფიკატებს გასცემენ კერძო სექტორის ფირმები, რომლებიც ცნობილია როგორც სერტიფიკატის ორგანოები (CAs). მიუხედავად იმისა, რომ სერტიფიკატები ადრე საკმაოდ ძვირი ღირდა, საფასური მნიშვნელოვნად შემცირდა იმ დონემდე, რომ ზოგი თავისუფალიაყველაზე ცნობილი CA-ებია Verisign, DigiCert და GoDaddy. რაიან ჰერსტის შოუები შვიდი ძირითადი CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft და IdenTrust) გასცემს ყველა სერტიფიკატის 99%-ს.
ბრაუზერი სერტიფიკატს პირადობის დამადასტურებელ საბუთად მხოლოდ იმ შემთხვევაში მიიღებს, თუ სერტიფიკატზე სახელის ველი ემთხვევა დომენის სახელს, რომელსაც ბრაუზერი მდებარეობის ზოლში აჩვენებს. მაშინაც კი, თუ სახელები ემთხვევა, ადასტურებს თუ არა ეს, რომ სერტიფიკატი, რომელიც ამბობს „apple.com„ეკუთვნის Apple, Inc.-ის სახელით ცნობილ სამომხმარებლო ელექტრონიკის ბიზნესს? არა. საიდენტიფიკაციო სისტემები ტყვიაგაუმტარი არ არის. არასრულწლოვანი მსმელები შეიძლება ყალბი პირადობის მოწმობების მიღებაადამიანის პირადობის მოწმობების მსგავსად, ციფრული სერტიფიკატებიც შეიძლება იყოს ყალბი ან არასწორი სხვა მიზეზების გამო. პროგრამული უზრუნველყოფის ინჟინერს, რომელიც იყენებს უფასო ღია კოდის ინსტრუმენტებს, შეუძლია შექმნას ციფრული სერტიფიკატი სახელწოდებით „apple.com“ პროგრამით. რამდენიმე Linux ბრძანება.
PKI სისტემა ეყრდნობა CA-ებს, რომლებიც მხოლოდ ვებსაიტის მფლობელს გასცემენ სერტიფიკატს. სერტიფიკატის მიღების სამუშაო პროცესი ასე მიმდინარეობს:
- ვებსაიტის გამომცემელი დომენის სერტიფიკატის მისაღებად მიმართავს მისთვის სასურველ CA-ს.
- სერტიფიკატის მიმღები ორგანო ადასტურებს, რომ სერტიფიკატის მოთხოვნა საიტის ფაქტობრივი მფლობელისგან მოდის. როგორ ადგენს ამას სერტიფიკატის მიმღები ორგანო? სერტიფიკატის მიმღები ორგანო მოითხოვს, რომ მოთხოვნის წარმდგენი ორგანო კონკრეტულ URL-ზე გამოაქვეყნოს კონტენტის კონკრეტული ნაწილი. ამის გაკეთების შესაძლებლობა ადასტურებს, რომ ორგანიზაციას აქვს კონტროლი ვებსაიტზე.
- მას შემდეგ, რაც ვებსაიტი დაამტკიცებს დომენის საკუთრებას, CA ამატებს კრიპტოგრაფიული ციფრული ხელმოწერა სერტიფიკატზე საკუთარი კერძო კრიპტოგრაფიული გასაღების გამოყენებით. ხელმოწერა CA-ს, როგორც გამცემს, იდენტიფიცირებს.
- ხელმოწერილი სერტიფიკატი გადაეცემა მოთხოვნის წარმდგენ პირს ან ორგანიზაციას.
- გამომცემელი თავის სერტიფიკატს საკუთარ ვებსაიტზე აყენებს, რათა ის ბრაუზერებისთვის იყოს წარმოდგენილი.
კრიპტოგრაფიული ციფრული ხელმოწერები წარმოადგენს „ციფრული შეტყობინებების ან დოკუმენტების ავთენტურობის დასადასტურებელ მათემატიკურ სქემას“. ისინი არ არის იგივე, რაც DocuSign-ის და მსგავსი მომწოდებლების მიერ მოწოდებული ონლაინ დოკუმენტების ხელმოწერა. თუ ხელმოწერის გაყალბება შესაძლებელი იქნებოდა, მაშინ სერტიფიკატები სანდო არ იქნებოდა. დროთა განმავლობაში კრიპტოგრაფიული გასაღებების ზომა გაიზარდა, რათა გაყალბება გართულებულიყო. კრიპტოგრაფიის მკვლევარები თვლიან, რომ ამჟამინდელი ხელმოწერების გაყალბება, პრაქტიკულად, შეუძლებელია. კიდევ ერთი დაუცველობაა, როდესაც CA-ს საიდუმლო გასაღებები მოპარულია. ქურდს შემდეგ შეუძლია წარმოადგინოს ამ CA-ს ვალიდური ხელმოწერები.
სერტიფიკატის დაყენების შემდეგ, ის გამოიყენება ვებ-საუბრის დაყენების დროს. ის რეგისტრაცია განმარტავს როგორ მიდის ეს:
თუ სერტიფიკატი გაცემულია ცნობილი, სანდო CA-ს მიერ და ყველა დეტალი სწორია, მაშინ საიტი სანდოა და ბრაუზერი შეეცდება ვებსაიტთან უსაფრთხო, დაშიფრული კავშირის დამყარებას ისე, რომ საიტთან თქვენი აქტივობა ქსელში მყოფი ფარული ინფორმატორისთვის ხილული არ იყოს. თუ სერტიფიკატი გაცემულია არასანდო CA-ს მიერ, ან სერტიფიკატი არ ემთხვევა ვებსაიტის მისამართს, ან ზოგიერთი დეტალი არასწორია, ბრაუზერი უარყოფს ვებსაიტს იმის შიშით, რომ ის არ უკავშირდება მომხმარებლისთვის სასურველ ვებსაიტს და შესაძლოა, იმპერსონაციას აკეთებდეს.
ჩვენ შეგვიძლია ვენდოთ ბრაუზერს, რადგან ბრაუზერი ენდობა ვებსაიტს. ბრაუზერი ენდობა ვებსაიტს, რადგან სერტიფიკატი გაცემულია „ცნობილი კარგი“ CA-ს მიერ. მაგრამ რა არის „ცნობილი კარგი CA“? ბრაუზერების უმეტესობა ეყრდნობა ოპერაციული სისტემის მიერ მოწოდებულ CA-ებს. სანდო CA-ების სიას ადგენენ მოწყობილობებისა და პროგრამული უზრუნველყოფის მომწოდებლები. კომპიუტერებისა და მოწყობილობების ძირითადი მომწოდებლები - Microsoft, Apple, Android ტელეფონების მწარმოებლები და ღია კოდის Linux-ის დისტრიბუტორები - წინასწარ ატვირთავენ ოპერაციულ სისტემას თავიანთ მოწყობილობებზე root სერტიფიკატების ნაკრებით.
ეს სერტიფიკატები განსაზღვრავს მათ მიერ შემოწმებულ და სანდოდ მიჩნეულ სერტიფიკატების ცენტრებს. root სერტიფიკატების ამ კრებულს „ნდობის საცავი“ ეწოდება. მაგალითად, Windows კომპიუტერს, რომელსაც ამ ნაშრომის დასაწერად ვიყენებ, სანდო Root სერტიფიკატების საცავში 70 root სერტიფიკატია. Apple-ის მხარდაჭერის საიტი ჩამოთვლილია ყველა root, რომელსაც MacOS-ის Sierra ვერსია ენდობა..
როგორ წყვეტენ კომპიუტერებისა და ტელეფონების მომწოდებლები, რომელი სერტიფიცირების სააგენტოები არიან სანდო? მათ აქვთ აუდიტისა და შესაბამისობის პროგრამები სერტიფიცირების სააგენტოების ხარისხის შესაფასებლად. მხოლოდ ის სააგენტოები შედიან სიაში, რომლებიც წარმატებით აკმაყოფილებენ კრიტერიუმებს. იხილეთ მაგალითად, Chrome ბრაუზერი (რომელიც მოწყობილობაზე არსებულის გამოყენების ნაცვლად საკუთარ ნდობის საცავს უზრუნველყოფს). EFF (რომელიც საკუთარ თავს აღწერს, როგორც „ციფრულ სამყაროში სამოქალაქო თავისუფლებების დამცველ წამყვან არაკომერციულ ორგანიზაციას“.) განმარტავს:
ბრაუზერები იყენებენ „root პროგრამებს“, რათა აკონტროლონ მათთვის სანდო CA-ების უსაფრთხოება და სანდოობა. ეს root პროგრამები აწესებს რიგ მოთხოვნებს, დაწყებული „როგორ უნდა იყოს დაცული საკვანძო მასალა“-დან „როგორ უნდა განხორციელდეს დომენური სახელის კონტროლის ვალიდაცია“-მდე და დამთავრებული „რა ალგორითმები უნდა იქნას გამოყენებული სერტიფიკატის ხელმოწერისთვის“.
მას შემდეგ, რაც სერტიფიკატის ავტორი დამტკიცდება გამყიდველის მიერ, გამყიდველი აგრძელებს მის მონიტორინგს. გამყიდველები ამოიღებენ სერტიფიკატის ავტორებს სანდო საცავიდან, თუ სერტიფიკატის ავტორი ვერ დაიცავს საჭირო უსაფრთხოების სტანდარტებს. სერტიფიკატის ორგანოებს შეუძლიათ და აკეთებენ კიდეც ამას, გაიარონ უგულებელყოფა ან სხვა მიზეზების გამო ვერ შეძლონ მუშაობა. ის რეგისტრაცია რეპორტაჟი:
სერტიფიკატები და მათი გამცემი CA ყოველთვის სანდო არ არის და ბრაუზერების შემქმნელებმა წლების განმავლობაში ამოიღეს CA root სერტიფიკატები თურქეთში, საფრანგეთში, ჩინეთში, ყაზახეთსა და სხვა ქვეყნებში დაფუძნებული CA-ებიდან, როდესაც აღმოჩნდა, რომ გამცემი ორგანიზაცია ან მასთან დაკავშირებული მხარე ვებ ტრაფიკის ჩაჭრას ახდენდა.
2022 წელს, მკვლევარმა იან კეროლმა განაცხადა, რომ უსაფრთხოების საკითხები e-Tugra-ს სერტიფიკატის ორგანოსთან დაკავშირებითკეროლმა „აღმოაჩინა არაერთი საგანგაშო პრობლემა, რომელიც მაშფოთებს მათი კომპანიის შიგნით უსაფრთხოების პრაქტიკასთან დაკავშირებით“, მაგალითად, სუსტი ავტორიზაციის მონაცემები. კეროლის ანგარიშები გადამოწმდა პროგრამული უზრუნველყოფის ძირითადი მომწოდებლების მიერ. შედეგად, e-Tugra იყო ამოღებულია მათი სანდო სერტიფიკატების მაღაზიებიდან.
ის სერტიფიკატის ორგანოს წარუმატებლობის ქრონოლოგია სხვა მსგავს შემთხვევებზეც საუბრობს.
PKI-ში ჯერ კიდევ არსებობს რამდენიმე ცნობილი ხარვეზი, როგორც ეს ამჟამად არსებობს. რადგან ერთი კონკრეტული საკითხი მნიშვნელოვანია eIDAS-ის 45-ე მუხლის გასაგებად, ამას შემდეგ ავხსნი. CA-ს ნდობა არ ვრცელდება იმ ვებსაიტებზე, რომლებიც ამ CA-სთან აწარმოებენ საქმიანობას. ბრაუზერი მიიღებს ნებისმიერი სანდო CA-ს სერტიფიკატს ნებისმიერი ვებსაიტისთვის. არაფერი უშლის ხელს CA-ს, გასცეს ვებსაიტი არაკეთილსინდისიერ პირზე, რომელიც არ არის მოთხოვნილი საიტის მფლობელის მიერ. ასეთი სერტიფიკატი იურიდიული თვალსაზრისით თაღლითური იქნება იმის გამო, თუ ვისზე გაიცა იგი. თუმცა, სერტიფიკატის შინაარსი ტექნიკურად ვალიდური იქნება ბრაუზერის თვალსაზრისით.
თუ არსებობდა თითოეული ვებსაიტის მის სასურველ CA-სთან დაკავშირების გზა, მაშინ ამ საიტისთვის ნებისმიერი სხვა CA-სგან მიღებული ნებისმიერი სერტიფიკატი დაუყოვნებლივ აღიარებული იქნებოდა თაღლითურად. სერთიფიკატის დამაგრება კიდევ ერთი სტანდარტია, რომელიც ამ მიმართულებით ნაბიჯს დგამს. მაგრამ როგორ გამოქვეყნდებოდა ეს ასოციაცია და რამდენად სანდო იქნებოდა ეს გამომცემელი?
ამ პროცესის თითოეულ დონეზე ტექნიკური გადაწყვეტა ეყრდნობა ნდობის გარე წყაროს. მაგრამ როგორ ხდება ამ ნდობის დამყარება? კიდევ უფრო სანდო წყაროზე დაყრდნობით, რომელიც უფრო მაღალ დონეზეა? ეს კითხვა ასახავს „კუები, ბოლომდე„პრობლემის ბუნება. PKI-ს ძირში ნამდვილად ჰყავს ერთი მთავარი პრობლემა: უსაფრთხოების ინდუსტრიისა და მისი მომხმარებლების რეპუტაცია, ხილვადობა და გამჭვირვალობა. ნდობა ამ დონეზე მუდმივი მონიტორინგის, ღია სტანდარტების, პროგრამული უზრუნველყოფის შემქმნელებისა და კონფიდენციალურობის ორგანოების მეშვეობით იქმნება.“
გაცემულია თაღლითური სერტიფიკატები. 2013 წელს, ArsTechnica-მ განაცხადა ფრანგული სააგენტო Google-ის სახელით გაყალბებული SSL სერთიფიკატების დამზადებაში დააკავეს:
2011 წელს… უსაფრთხოების მკვლევარები Google.com-ის ყალბი სერტიფიკატი აღმოვაჩინე რამაც თავდამსხმელებს ვებსაიტის საფოსტო სერვისისა და სხვა შეთავაზებების გაყალბების შესაძლებლობა მისცა. ყალბი სერტიფიკატი მას შემდეგ შეიქმნა, რაც თავდამსხმელებმა ნიდერლანდებში დაფუძნებული DigiNotar-ის უსაფრთხოება გაარღვიეს და მისი სერტიფიკატების გამცემი სისტემების კონტროლი მოიპოვეს.
უსაფრთხო სოკეტების ფენის (SSL) სერთიფიკატები ციფრულად იყო ხელმოწერილი მოქმედი სერტიფიკატის ორგანოს მიერ... სინამდვილეში, სერტიფიკატები წარმოადგენდა არაავტორიზებული დუბლიკატებს, რომლებიც გაცემული იყო ბრაუზერის მწარმოებლებისა და სერტიფიკატის ორგანოს სერვისების მიერ დადგენილი წესების დარღვევით.
შესაძლოა, თაღლითური სერტიფიკატის გაცემა მოხდეს. არაკეთილსინდისიერი სერტიფიკატის მიმღებ ორგანოს შეუძლია მისი გაცემა, მაგრამ ისინი შორს ვერ წავლენ. არასწორი სერტიფიკატი აღმოჩენილი იქნება. არასწორი სერტიფიკატი ვერ დააკმაყოფილებს შესაბამისობის პროგრამებს და ამოღებული იქნება სანდო საცავებიდან. დამტკიცების გარეშე, სერტიფიკატის მიმღები ორგანო გაკოტრდება. სერთიფიკატის გამჭვირვალობა, უფრო ახალი სტანდარტი, ყალბი სერტიფიკატების უფრო სწრაფად აღმოჩენის საშუალებას იძლევა.
რატომ უნდა გახდეს სერტიფიკატის მიმწოდებელი არაავტორიზებული? რა უპირატესობას მიიღებს ბოროტმოქმედი არაავტორიზებული სერტიფიკატით? მხოლოდ სერტიფიკატით დიდად არაფერი, მაშინაც კი, თუ ის ხელმოწერილია სანდო სერტიფიკატის მიერ. თუმცა, თუ ბოროტმოქმედს შეუძლია ინტერნეტ პროვაიდერთან თანამშრომლობა ან სხვაგვარად წვდომა ჰქონდეს ბრაუზერის მიერ გამოყენებულ ქსელზე, სერტიფიკატი ბოროტმოქმედს აძლევს PKI-ის ყველა უსაფრთხოების გარანტიის დარღვევის შესაძლებლობას.
ჰაკერს შეეძლო მოეწყო შუაში მყოფი ადამიანის შეტევა (MITM) საუბარში. თავდამსხმელს შეეძლო ბრაუზერსა და რეალურ ვებსაიტს შორის ჩაენაცვლებინა. ამ სცენარში, მომხმარებელი პირდაპირ თავდამსხმელს დაუკავშირდებოდა და თავდამსხმელი რეალურ ვებსაიტს გადასცემდა შინაარსს. თავდამსხმელი ბრაუზერს წარუდგენდა თაღლითურ სერტიფიკატს. რადგან ის ხელმოწერილი იყო სანდო CA-ს მიერ, ბრაუზერი მიიღებდა მას. თავდამსხმელს შეეძლო ენახა და შეეცვალა ის, რაც ორივე მხარემ გაგზავნა, სანამ მეორე მხარე მიიღებდა მას.
ახლა კი ევროკავშირის საზარელ eIDAS-ს, 45-ე მუხლს მივადექით. შემოთავაზებული რეგულაცია ყველა ბრაუზერს ავალდებულებს, ენდოს ევროკავშირის მიერ დანიშნული CA-ების სერტიფიკატების კალათას. უფრო ზუსტად, ოცდაშვიდი: თითო თითოეული წევრი ქვეყნისთვის. ამ სერტიფიკატებს უნდა ეწოდოს კვალიფიციური ვებსაიტის ავტორიზაციის სერთიფიკატებიაკრონიმ „QWAC“-ს სამწუხაროდ ჰომოფონი აქვს ქოქოსი – ან იქნებ ევროკავშირი გვტროლაობს.
QWAC-ებს გასცემდნენ ან სამთავრობო უწყებები, ან როგორც მაიკლ რეკტენვალდი უწოდებს... სამთავრობო უწყებები„კორპორაციები, კომპანიები და სახელმწიფოს სხვა დამატებები, რომლებსაც სხვაგვარად „კერძოსაც“ უწოდებენ, მაგრამ სინამდვილეში სახელმწიფო აპარატებად მოქმედებენ იმ გაგებით, რომ ისინი სახელმწიფო ნარატივებსა და დიქტატებს ახორციელებენ“.
ეს სქემა ევროკავშირის წევრი ქვეყნების მთავრობებს კიდევ ერთი ნაბიჯით მიუახლოვდებოდა იმ წერტილს, სადაც მათ შეეძლებოდათ საკუთარი მოქალაქეების წინააღმდეგ „შუამავალი ადამიანის“ ტიპის თავდასხმები. მათ ასევე დასჭირდებოდათ ქსელებზე წვდომა. მთავრობებს ამის გაკეთების საშუალება აქვთ. თუ ინტერნეტ პროვაიდერი სახელმწიფო საწარმოს სახით იმართება, მაშინ ის მათ უკვე ექნებათ. თუ ინტერნეტ პროვაიდერები კერძო ფირმები არიან, მაშინ ადგილობრივი ხელისუფლების შეეძლო პოლიციის ძალების გამოყენება წვდომის მოსაპოვებლად.
ერთი საკითხი, რომელზეც საჯარო დისკუსიაში ხაზი არ გაესვათ, არის ის, რომ ევროკავშირის 27 წევრი ქვეყნიდან ნებისმიერ ბრაუზერს მოეთხოვება ყველა QWAC-ის მიღება, თითოეული მათგანიდან თითო. ევროკავშირის წევრიეს ნიშნავს, რომ, მაგალითად, ესპანეთში ბრაუზერს მოუწევს ენდოს ხორვატიის, ფინეთისა და ავსტრიის ორგანიზაციების QWAC-ს. ესპანელ მომხმარებელს, რომელიც ავსტრიულ ვებსაიტს სტუმრობს, ინტერნეტის ავსტრიულ ნაწილებში მოუწევს გადასვლა. ზემოთ წამოჭრილი საკითხები ევროკავშირის ყველა ქვეყანაში გავრცელდება.
რეესტრი, ნაშრომში სახელწოდებით ცუდი eIDAS: ევროპა მზადაა თქვენი დაშიფრული HTTPS კავშირების ჩასართავად და ჯაშუშობისთვის განმარტავს ერთ-ერთ გზას, თუ როგორ შეიძლება ეს იმუშაოს:
[ამ] მთავრობას შეუძლია სთხოვოს თავის მეგობრულ კონკურენციის სააგენტოს [QWAC] სერტიფიკატის ასლი, რათა მთავრობამ შეძლოს ვებსაიტის იმიტაცია - ან მოითხოვოს სხვა სერტიფიკატი, რომელსაც ბრაუზერები ენდობიან და მიიღებენ საიტისთვის. ამრიგად, შუამავალი ადამიანის შეტევის გამოყენებით, ამ მთავრობას შეუძლია ჩაჭრას და გაშიფროს ვებსაიტსა და მის მომხმარებლებს შორის დაშიფრული HTTPS ტრაფიკი, რაც რეჟიმს საშუალებას აძლევს ნებისმიერ დროს აკონტროლოს, თუ რას აკეთებენ ადამიანები ამ საიტზე.
დაშიფვრის ფარის გარღვევის შემდეგ, მონიტორინგი შეიძლება მოიცავდეს მომხმარებლების პაროლების შენახვას და შემდეგ მათ სხვა დროს გამოყენებას მოქალაქეების ელექტრონული ფოსტის ანგარიშებზე წვდომისთვის. მონიტორინგის გარდა, მთავრობებს შეუძლიათ შინაარსის შეცვლა. მაგალითად, მათ შეუძლიათ წაშალონ ის ნარატივები, რომელთა ცენზურა სურთ. მათ შეუძლიათ დაურთონ შემაწუხებელი ფაილები. ძიძების სახელმწიფოს ფაქტების შემოწმება მდე კონტენტის გაფრთხილებები განსხვავებული მოსაზრებების მიმართ.
ამჟამად, კონფიდენციალურობის ორგანოებმა უნდა შეინარჩუნონ ბრაუზერების საზოგადოების ნდობა. ბრაუზერები ამჟამად აფრთხილებენ მომხმარებელს, თუ საიტი წარმოადგენს ვადაგასულ ან სხვაგვარად არასანდო სერტიფიკატს. 45-ე მუხლის თანახმად, ნდობის დამრღვევთა გაფრთხილებები ან გაუქმება აკრძალულია. ბრაუზერებს არა მხოლოდ ევალებათ QWAC-ების ნდობა, არამედ 45-ე მუხლი კრძალავს ბრაუზერებს გაფრთხილების ჩვენებას QWAC-ის მიერ ხელმოწერილი სერტიფიკატის შესახებ.
eIDAS-ის ბოლო შანსი (ვებსაიტი, რომელზეც Mozilla-ს ლოგოა გამოსახული) 45-ე მუხლის წინააღმდეგ გამოდის:
ევროკავშირის ნებისმიერ წევრ სახელმწიფოს აქვს ვებ ბრაუზერებში გავრცელებისთვის კრიპტოგრაფიული გასაღებების დანიშვნის უფლება და ბრაუზერებს ეკრძალებათ ამ გასაღებების მიმართ ნდობის გაუქმება მთავრობის ნებართვის გარეშე.
... წევრი სახელმწიფოების მიერ მათ მიერ ავტორიზებული გასაღებებისა და მათი გამოყენების შესახებ მიღებულ გადაწყვეტილებებზე დამოუკიდებელი კონტროლი ან ბალანსი არ არსებობს. ეს განსაკუთრებით შემაშფოთებელია იმის გათვალისწინებით, რომ კანონის უზენაესობის დაცვა... ერთგვაროვანი არ ყოფილა ყველა წევრ სახელმწიფოში, დოკუმენტირებული შემთხვევებით საიდუმლო პოლიციის მიერ იძულება პოლიტიკური მიზნებისთვის.
ამ ღია წერილი, რომელსაც ხელს აწერენ რამდენიმე ასეული უსაფრთხოების მკვლევარი და კომპიუტერული მეცნიერი:
45-ე მუხლი ასევე კრძალავს ევროკავშირის ვებ-სერტიფიკატების უსაფრთხოების შემოწმებას, თუ ეს პირდაპირ არ არის დაშვებული რეგულაციით დაშიფრული ვებ-ტრაფიკის კავშირების დამყარებისას. მინიმალური უსაფრთხოების ზომების ნაკრების განსაზღვრის ნაცვლად, რომლებიც უნდა იქნას აღსრულებული საბაზისო დონეზე, ის ფაქტობრივად განსაზღვრავს უსაფრთხოების ზომების ზედა ზღვარს, რომლის გაუმჯობესებაც შეუძლებელია ETSI-ის ნებართვის გარეშე. ეს ეწინააღმდეგება კარგად დამკვიდრებულ გლობალურ ნორმებს, სადაც ახალი კიბერუსაფრთხოების ტექნოლოგიები შემუშავებული და დანერგილია ტექნოლოგიური განვითარების სწრაფი ტემპით.
ჩვენი უმეტესობა სანდო CA-ების სიის შესადგენად ჩვენს მომწოდებლებს ვენდობით. თუმცა, როგორც მომხმარებელს, თქვენ შეგიძლიათ დაამატოთ ან წაშალოთ სერთიფიკატები თქვენივე მოწყობილობებზე. Microsoft Windows-ს აქვს ინსტრუმენტი ამის გასაკეთებლადLinux-ზე, root სერთიფიკატები არის ფაილები, რომლებიც ერთ დირექტორიაშია განთავსებული. CA შეიძლება არასანდო გახდეს ფაილის წაშლით. ესეც აკრძალული იქნება? სტივ გიბსონი, ცნობილი უსაფრთხოების ექსპერტი, მიმომხილველიდა მასპინძელი დიდი ხნის განმავლობაში გამოშვებული Security Now პოდკასტი სთხოვს:
თუმცა, ევროკავშირი აცხადებს, რომ ბრაუზერები ვალდებულნი იქნებიან პატივი სცენ ამ ახალ, დაუმტკიცებელ და შეუმოწმებელ სერტიფიკატის ორგანოებს და შესაბამისად, მათ მიერ გაცემულ ნებისმიერ სერტიფიკატს, გამონაკლისის გარეშე და ყოველგვარი სამართლებრივი დაცვის გარეშე. ნიშნავს ეს, რომ Firefox-ის ჩემი ეგზემპლარი იურიდიულად ვალდებული იქნება უარი თქვას ამ სერტიფიკატების წაშლის ჩემს მცდელობაზე?
გიბსონი აღნიშნავს, რომ ზოგიერთი კორპორაცია მსგავს თვალთვალს ახორციელებს თანამშრომლების მიმართ საკუთარი კერძო ქსელის ფარგლებში. როგორიც არ უნდა იყოს თქვენი აზრი ამ სამუშაო პირობებთან დაკავშირებით, ზოგიერთ ინდუსტრიას აქვს ლეგიტიმური აუდიტისა და შესაბამისობის მიზეზები, რათა თვალყური ადევნონ და ჩაიწერონ, თუ რას აკეთებენ მათი თანამშრომლები კომპანიის რესურსებით. თუმცა, როგორც გიბსონი აგრძელებს,
პრობლემა ის არის, რომ ევროკავშირი და მისი წევრი ქვეყნები ძალიან განსხვავდებიან კერძო ორგანიზაციის თანამშრომლებისგან. როდესაც თანამშრომელს არ სურს, რომ მასზე თვალთვალი იყოს, მას შეუძლია გამოიყენოს საკუთარი სმარტფონი დამსაქმებლის ქსელის გვერდის ავლისთვის. და რა თქმა უნდა, დამსაქმებლის კერძო ქსელი სწორედ ეს არის, კერძო ქსელი. ევროკავშირს სურს ამის გაკეთება მთელი საჯარო ინტერნეტისთვის, საიდანაც თავის დაღწევა შეუძლებელია.
ახლა ჩვენ დავადგინეთ ამ წინადადების რადიკალური ბუნება. დროა ვიკითხოთ, რა მიზეზებს გვთავაზობს ევროკომისია ამ ცვლილების მოტივაციისთვის? ევროკომისია ამბობს, რომ PKI-ის ფარგლებში პირადობის დადასტურება არასაკმარისია. და რომ ეს ცვლილებები მის გასაუმჯობესებლად არის საჭირო.
არის თუ არა რაიმე სიმართლე ევროკომისიის მტკიცებებში? ამჟამინდელი PKI უმეტეს შემთხვევაში მხოლოდ ვებსაიტზე კონტროლის დამტკიცების მოთხოვნას მოითხოვს. მართალია, ეს გარკვეულწილად მართალია, მაგრამ ის არ იძლევა გარანტიას, მაგალითად, რომ ვებ-საკუთრება „apple.com“ ეკუთვნის სამომხმარებლო ელექტრონიკის კომპანია Apple Inc-ს, რომლის სათაო ოფისიც კალიფორნიის შტატის ქალაქ კუპერტინოში მდებარეობს. მავნე მომხმარებელს შეუძლია მიიღოს მოქმედი სერტიფიკატი ცნობილი ბიზნესის დომენის სახელის მსგავსი დომენის სახელისთვის. მოქმედი სერტიფიკატი შეიძლება გამოყენებულ იქნას შეტევაში, რომელიც დამოკიდებული იქნება იმაზე, რომ ზოგიერთი მომხმარებელი საკმარისად კარგად არ ეძებს, რათა შეამჩნიოს, რომ სახელი სრულად არ ემთხვევა. ეს მოხდა... გადახდის პროცესორი Stripe.
გამომცემლებისთვის, რომელთაც სურთ მსოფლიოსთვის დაუმტკიცონ, რომ ისინი ნამდვილად ერთი და იგივე კორპორატიული სუბიექტია, ზოგიერთმა კონფიდენციალურობის სააგენტომ შესთავაზა გაფართოებული ვალიდაციის (EV) სერთიფიკატები„გაფართოებული“ ნაწილი მოიცავს თავად ბიზნესის დამატებით დადასტურებებს, როგორიცაა ბიზნესის მისამართი, მოქმედი ტელეფონის ნომერი, ბიზნესის ლიცენზია ან რეგისტრაცია და სხვა ატრიბუტები, რომლებიც დამახასიათებელია მოქმედი საწარმოსთვის. ელექტრომობილები უფრო მაღალ ფასად იყიდება, რადგან ისინი კონკურენციის სააგენტოს მხრიდან მეტ შრომას მოითხოვს.
ბრაუზერები ელექტრომობილებისთვის ადრე გამოყოფილ ვიზუალურ უკუკავშირს აჩვენებდნენ, როგორიცაა განსხვავებული ფერი ან უფრო მყარი საკეტის ხატულა. ბოლო წლებში ელექტრომობილები ბაზარზე განსაკუთრებით პოპულარული არ ყოფილა. ისინი ძირითადად გაქრა. ბევრი ბრაუზერი აღარ აჩვენებს დიფერენციალურ უკუკავშირს.
მიუხედავად არსებული სისუსტეებისა, PKI დროთა განმავლობაში მნიშვნელოვნად გაუმჯობესდა. როგორც კი ხარვეზები გახდა ცნობილი, ისინი გამოსწორდა. გაძლიერდა კრიპტოგრაფიული ალგორითმები, გაუმჯობესდა მმართველობა და დაიბლოკა დაუცველობები. ინდუსტრიის მოთამაშეების კონსენსუსის საფუძველზე მმართველობა საკმაოდ კარგად მუშაობდა. სისტემა გააგრძელებს განვითარებას, როგორც ტექნოლოგიურად, ასევე ინსტიტუციურად. მარეგულირებლების ჩარევის გარდა, არ არსებობს მიზეზი, რომ სხვაგვარად ვივარაუდოთ.
ელექტრომობილების უინტერესო ისტორიიდან ვისწავლეთ, რომ ბაზარს კორპორატიული იდენტობის დადასტურება დიდად არ აინტერესებს. თუმცა, თუ ინტერნეტ მომხმარებლებს ეს სურთ, არსებული PKI-ის გატეხვა არ იქნება საჭირო მისი მისაცემად. საკმარისი იქნება არსებული სამუშაო პროცესების მცირედი ცვლილებები. ზოგიერთმა კომენტატორმა შესთავაზა მისი შეცვლა. TLS ხელის ჩამორთმევა; ვებსაიტი წარმოადგენდა ერთ დამატებით სერტიფიკატს. პირველადი სერტიფიკატი იმუშავებდა ისე, როგორც ახლა მუშაობს. მეორადი სერტიფიკატი, რომელსაც ხელს აწერს QWAC, დანერგავდა დამატებით იდენტობის სტანდარტებს, რომლებიც ევროკომისიის მიერ არის მოთხოვნილი.
ევროკომისიის მიერ ელექტრონული IDAS-ის გამოყენების სავარაუდო მიზეზები უბრალოდ არასანდოა. მოყვანილი მიზეზები არა მხოლოდ დაუჯერებელია, არამედ ევროკომისია არც კი იწუხებს თავს ჩვეული ფარისევლური წუწუნით იმის შესახებ, თუ როგორ უნდა შევწიროთ მნიშვნელოვანი თავისუფლებები უსაფრთხოების სახელით, რადგან [აირჩიეთ ერთი] ადამიანებით ვაჭრობის, ბავშვთა უსაფრთხოების, ფულის გათეთრების, გადასახადებისგან თავის არიდების ან (ჩემი პირადი ფავორიტი) სერიოზული საფრთხის წინაშე ვდგავართ. კლიმატის ცვლილებაუდავოა, რომ ევროკავშირი ჩვენზე გაზით ვაჭრობს.
თუ ევროკომისია არ არის გულწრფელი თავისი ნამდვილი მოტივების შესახებ, მაშინ რას ეძებენ? გიბსონი ხედავს ბოროტი განზრახვა:
და არსებობს მხოლოდ ერთი შესაძლო მიზეზი, რის გამოც მათ სურთ [ბრაუზერების QWAC-ების ნდობის იძულება], რაც ინტერნეტ ვებ ტრაფიკის მომენტალურად ჩაჭრის დაშვებაა, ზუსტად ისე, როგორც ეს კორპორაციებში ხდება. და ეს აღიარებულია.
(გიბსონი „ვებ ტრაფიკის ჩახშობაში“ ზემოთ აღწერილ MITM შეტევას გულისხმობს.) სხვა კომენტარებში ხაზგასმულია სიტყვის თავისუფლებისა და პოლიტიკური პროტესტისთვის სავალალო შედეგები. ჰერსტი გრძელ ფორმატში ესეში მოლიპულ ფერდობზე დადებულ არგუმენტს მოჰყავს:
როდესაც ლიბერალური დემოკრატია ინტერნეტში ტექნოლოგიაზე ამ ტიპის კონტროლს ამყარებს, მისი შედეგების მიუხედავად, ეს საფუძველს უყრის უფრო ავტორიტარულ მთავრობებს, რომ დაუსჯელად მიჰყვნენ მას.
Mozilla ციტირებულია techdirt-ში (ორიგინალთან ბმულის გარეშე) დაახლოებით იგივეს ამბობს:
[]ბრაუზერების იძულება, ავტომატურად ენდონ მთავრობის მიერ მხარდაჭერილ სერტიფიკატის ორგანოებს, ავტორიტარული რეჟიმების მიერ გამოყენებული მთავარი ტაქტიკაა და ეს აქტორები ევროკავშირის ქმედებების ლეგიტიმაციის ეფექტით გათამამდებიან...
გიბსონი მსგავსს ქმნის სადამკვირვებლო:
და შემდეგ არსებობს ძალიან რეალური აჩრდილი იმისა, თუ რა სხვა კარებს ხსნის ეს: თუ ევროკავშირი დანარჩენ მსოფლიოს აჩვენებს, რომ მას შეუძლია წარმატებით განსაზღვროს ნდობის პირობები მისი მოქალაქეების მიერ გამოყენებული დამოუკიდებელი ვებ ბრაუზერებისთვის, რომელი სხვა ქვეყნები მიჰყვებიან მსგავს კანონებს? ახლა ყველას შეუძლია უბრალოდ მოითხოვოს საკუთარი ქვეყნის სერტიფიკატების დამატება. ეს აბსოლუტურად არასწორი მიმართულებით მიგვიყვანს.
შემოთავაზებული 45-ე მუხლი ევროკავშირის ქვეყნებში მომხმარებლის კონფიდენციალურობაზე თავდასხმას წარმოადგენს. მისი მიღების შემთხვევაში, ეს არა მხოლოდ ინტერნეტ უსაფრთხოებისთვის, არამედ მმართველობის განვითარებულ სისტემაშიც დიდი უკუსვლა იქნება. ვეთანხმები სტივ გიბსონს, რომ:
რაც სრულიად გაუგებარია და რაც არსად შემხვედრია, არის იმ უფლებამოსილების ახსნა, რომლითაც ევროკავშირი წარმოიდგენს, რომ მას შეუძლია სხვა ორგანიზაციის პროგრამული უზრუნველყოფის დიზაინის კარნახი. რადგან სწორედ ამას ეფუძნება საქმე.
შემოთავაზებული 45-ე მუხლის მიმართ რეაქცია მკვეთრად უარყოფითი იყო. მუხლი 45 ვებ-უსაფრთხოებას 12 წლით გააუქმებს წერს: „ეს კატასტროფაა ინტერნეტის ყველა მომხმარებლის კონფიდენციალურობისთვის, განსაკუთრებით კი მათთვის, ვინც ინტერნეტს ევროკავშირში იყენებს“.
eIDAS-ის მცდელობა უსაფრთხოების საზოგადოებისთვის ოთხსიგნალიზატორიანი ხანძარია. Mozilla-მ - ღია კოდის Firefox ვებ ბრაუზერის შემქმნელმა - გამოაქვეყნა ინდუსტრიის ერთობლივი განცხადება განცხადებას ხელს აწერენ ინტერნეტ ინფრასტრუქტურის ცნობილი კომპანიების მთელი რიგი, მათ შორის თავად Mozilla, Cloudflare, Fastly და Linux Foundation.
-დან ღია წერილი ზემოთ ნახსენები:
თითქმის საბოლოო ტექსტის წაკითხვის შემდეგ, ჩვენ ღრმად შეშფოთებულები ვართ 45-ე მუხლის შემოთავაზებული ტექსტით. ამჟამინდელი წინადადება რადიკალურად აფართოებს მთავრობების შესაძლებლობას, თვალყური ადევნონ როგორც საკუთარ მოქალაქეებს, ასევე ევროკავშირის მასშტაბით მაცხოვრებლებს, მათთვის დაშიფრული ვებ ტრაფიკის ჩაჭრის ტექნიკური საშუალებების მიწოდებით, ასევე ძირს უთხრის არსებულ ზედამხედველობის მექანიზმებს, რომლებსაც ევროპელი მოქალაქეები ეყრდნობიან.
სად მიდის ეს? რეგულაცია უკვე გარკვეული ხანია შემოთავაზებულია. საბოლოო გადაწყვეტილების მიღება 2023 წლის ნოემბრისთვის იყო დაგეგმილი. ვებ-ძიებები მას შემდეგ ამ თემაზე ახალ ინფორმაციას არ აჩვენებს.
ბოლო რამდენიმე წლის განმავლობაში, ყველა ფორმით აშკარა ცენზურა გაიზარდა. კოვიდ-სიგიჟის დროს, მთავრობამ და ინდუსტრიამ პარტნიორობა გაამყარეს, რათა შეექმნათ ცენზურა-ინდუსტრიული კომპლექსი ცრუ ნარატივების უფრო ეფექტურად გასავრცელებლად და დისიდენტების ჩასახშობად. ბოლო რამდენიმე წლის განმავლობაში სკეპტიკოსებმა და დამოუკიდებელმა ხმებმა წინააღმდეგობა გაუწიეს, სასამართლოებშიდა შექმნით, ნეიტრალური თვალსაზრისი პლატფორმებისთვის.
მიუხედავად იმისა, რომ სიტყვის ცენზურა კვლავ დიდ საფრთხეს წარმოადგენს, მწერლებისა და ჟურნალისტების უფლებები უკეთ არის დაცული, ვიდრე სხვა მრავალი უფლება. აშშ-ში, პირველი შესწორება აქვს სიტყვისა და მთავრობის კრიტიკის თავისუფლების აშკარა დაცვა. სასამართლოები შეიძლება იმ აზრს იზიარებდნენ, რომ ნებისმიერი უფლება ან თავისუფლება, რომელიც არ არის დაცული მკაცრად სპეციფიკური საკანონმდებლო ფორმულირებით, სამართლიანი არჩევანია. ეს შეიძლება იყოს მიზეზი იმისა, რომ წინააღმდეგობამ სიტყვის თავისუფლების კუთხით უფრო მეტი წარმატება მოიპოვა, ვიდრე სხვა მცდელობებმა ძალაუფლების სხვა ბოროტად გამოყენების შესაჩერებლად, როგორიცაა კარანტინები და მოსახლეობის ლოკდაუნები.
კარგად დაცული მტრის ნაცვლად, მთავრობები თავიანთ შეტევებს ინტერნეტ ინფრასტრუქტურის სხვა ფენებზე გადააქვთ. ეს სერვისები, როგორიცაა დომენის რეგისტრაცია, DNS, სერტიფიკატები, გადახდის პროცესორები, ჰოსტინგი და აპლიკაციების მაღაზიები, ძირითადად კერძო ბაზრის ტრანზაქციებისგან შედგება. ეს სერვისები გაცილებით ნაკლებად არის დაცული, ვიდრე მეტყველების უფლება, რადგან, უმეტესწილად, არავის აქვს უფლება შეიძინოს კონკრეტული სერვისი კონკრეტული ბიზნესისგან. ხოლო უფრო ტექნიკური სერვისები, როგორიცაა DNS და PKI, საზოგადოებისთვის ნაკლებად გასაგებია, ვიდრე ვებ-გამოქვეყნება.
PKI სისტემა განსაკუთრებით დაუცველია თავდასხმების მიმართ, რადგან ის რეპუტაციისა და კონსენსუსის საფუძველზე მუშაობს. არ არსებობს ერთიანი ორგანო, რომელიც მთელ სისტემას მართავს. მოთამაშეებმა რეპუტაცია უნდა მოიპოვონ გამჭვირვალობის, შესაბამისობისა და შეცდომების შესახებ გულწრფელი ინფორმაციის მიწოდების გზით. ეს კი მას დაუცველს ხდის ამ ტიპის დესტრუქციული თავდასხმების მიმართ. თუ ევროკავშირის PKI მარეგულირებლების ხელში გადავა, მე მოველი, რომ სხვა ქვეყნებიც მიბაძავენ მას. PKI არა მხოლოდ რისკის ქვეშაა. როგორც კი დამტკიცდება, რომ მარეგულირებლების მიერ შეიძლება სისტემის სხვა ფენებზე თავდასხმა, ისინიც სამიზნე გახდებიან.
-
რობერტ ბლუმენი პროგრამული უზრუნველყოფის ინჟინერი და პოდკასტების წამყვანია, რომელიც დროდადრო პოლიტიკურ და ეკონომიკურ საკითხებზე წერს.
ყველა წერილის ნახვა
