الاتحاد الأوروبي يريد التجسس على استخدام الأوروبيين للإنترنت

• المفوضية الاوروبية هي هيئة تشريعية تابعة للاتحاد الأوروبي تتمتع بسلطة تنظيمية على التكنولوجيا الرقمية. إن المادة 45 من قانون eIDAS الخاص بالمفوضية الأوروبية، وهي لائحة مقترحة، من شأنها أن تضعف عمدا مجالات أمن الإنترنت التي طورتها الصناعة وعززتها بعناية لأكثر من 25 عاما. ومن شأن هذه المادة أن تمنح حكومات الاتحاد الأوروبي السبعة والعشرين صلاحيات مراقبة موسعة إلى حد كبير على استخدام الإنترنت. 

ستتطلب القاعدة من جميع متصفحات الإنترنت أن تثق بشهادة جذر إضافية من وكالة (أو كيان منظم) من كل حكومة وطنية لكل دولة من الدول الأعضاء في الاتحاد الأوروبي. بالنسبة للقراء غير التقنيين، سأشرح ما هي الشهادة الجذرية، وكيف تطورت الثقة على الإنترنت، وما تفعله المادة 45 بهذا الشأن. وبعد ذلك سأسلط الضوء على بعض التعليقات من مجتمع التكنولوجيا حول هذه المسألة. 

سيشرح القسم التالي من هذه المقالة كيفية عمل البنية التحتية للثقة على الإنترنت. هذه الخلفية ضرورية لفهم مدى جذرية المادة المقترحة. يهدف الشرح إلى أن يكون في متناول القارئ غير التقني.

تتناول اللائحة المعنية أمن الإنترنت. هنا، تعني كلمة "الإنترنت"، إلى حد كبير، المتصفحات التي تزور مواقع الويب. يتكون أمن الإنترنت من العديد من الجوانب المتميزة. المادة 45 تعتزم تعديلها البنية التحتية للمفتاح العام (PKI)، وهو جزء من أمن الإنترنت منذ منتصف التسعينيات. تم اعتماد البنية التحتية للمفاتيح العمومية (PKI) في البداية، ثم تم تحسينها على مدار 90 عامًا لمنح المستخدمين والناشرين الضمانات التالية: 

• خصوصية المحادثة بين المتصفح والموقع: المتصفحات ومواقع الويب تتحدث عبر شبكة الإنترنت، وهي شبكة من الشبكات التي تديرها مزودو خدمات الانترنتو ناقلات المستوى 1. أو الناقلات الخلوية إذا كان الجهاز محمولا. الشبكة نفسها ليست آمنة بطبيعتها ولا جديرة بالثقة. لك فضولي مزود خدمة الإنترنت المنزل, مسافر في صالة المطار حيث تنتظر رحلتك، أو بائع بيانات يتطلع إلى بيع عملاء محتملين للمعلنين ربما يريد التجسس عليك وبدون أي حماية، يمكن للممثل السيئ الاطلاع على البيانات السرية مثل كلمة المرور أو رصيد بطاقة الائتمان أو المعلومات الصحية. 
• تأكد من عرض الصفحة بالطريقة التي أرسلها إليك بها الموقع تمامًا: عند عرض صفحة ويب، هل من الممكن أن يتم التلاعب بها بين الناشر والمتصفح الخاص بك؟ قد يرغب أحد الرقيبين في إزالة المحتوى الذي لا يريدك أن تراه. تم قمع المحتوى الذي تم تصنيفه على أنه "معلومات مضللة" على نطاق واسع أثناء هستيريا فيروس كورونا. قد يرغب المتسلل الذي سرق بطاقتك الائتمانية في إزالة الأدلة على التهم الاحتيالية الخاصة به. 
• تأكد من أن موقع الويب الذي تراه هو بالفعل الموقع الموجود في شريط الموقع بالمتصفح: عندما تتصل بأحد البنوك، كيف تعرف أنك ترى الموقع الإلكتروني لذلك البنك، وليس نسخة مزيفة تبدو متطابقة؟ يمكنك التحقق من شريط الموقع في المتصفح الخاص بك. هل يمكن خداع متصفحك ليظهر لك موقع ويب مزيفًا يبدو مطابقًا للموقع الحقيقي؟ كيف يعرف متصفحك – بالتأكيد – أنه متصل بالموقع الصحيح؟ 

في الأيام الأولى للإنترنت، لم يكن أي من هذه الضمانات موجودًا. في 2010، مكون إضافي للمتصفح متاح في متجر الوظائف الإضافية تمكين المستخدم من المشاركة في دردشة جماعية لشخص آخر على فيسبوك في نقطة اتصال مقهى. الآن – بفضل تقنية PKI، يمكنك أن تكون متأكدًا تمامًا من هذه الأشياء. 

ميزات الأمان هذه محمية بنظام يعتمد على شهادات رقمية. الشهادات الرقمية هي شكل من أشكال الهوية - نسخة الإنترنت من رخصة القيادة. عندما يتصل متصفح بموقع ما، يقدم الموقع شهادة للمتصفح. تحتوي الشهادة على مفتاح تشفير. يعمل المتصفح وموقع الويب معًا مع سلسلة من حسابات التشفير لإعداد اتصال آمن.

يوفر المتصفح والموقع معًا ضمانات الأمان الثلاثة:

• خصوصية: عن طريق تشفير المحادثة.
• التوقيعات الرقمية المشفرة: لتتآكد من ذلك لا يتم تعديل المحتوى أثناء الرحلة. 
• التحقق من الناشر: من خلال سلسلة الثقة التي توفرها PKI، والتي سأشرحها بمزيد من التفصيل أدناه. 

يجب أن يكون من الصعب تزوير الهوية الجيدة. في العالم القديم، صب الشمع من الختم خدم هذا الغرض. اعتمدت هويات البشر على القياسات الحيوية. وجهك هو أحد أقدم الأشكال. في العالم غير الرقمي، عندما تحتاج إلى الوصول إلى إعداد مقيد بالفئة العمرية، مثل طلب مشروب كحولي، سيُطلب منك تقديم بطاقة هوية تحتوي على صورة.

من بين المقاييس الحيوية الأخرى التي تعود إلى ما قبل العصر الرقمي، مطابقة توقيعك الجديد بالقلم والحبر مع توقيعك الأصلي الموجود على ظهر بطاقة هويتك. نظرًا لأن هذه الأنواع القديمة من القياسات الحيوية أصبحت أسهل في التزوير، فقد تكيف التحقق من الهوية البشرية. من الشائع الآن أن يرسل لك البنك رمز التحقق على هاتفك المحمول. يتطلب التطبيق منك اجتياز فحص الهوية البيومترية على هاتفك المحمول لعرض الرمز مثل التعرف على الوجه أو بصمة إصبعك. 

بالإضافة إلى القياسات الحيوية، فإن العامل الثاني الذي يجعل بطاقة الهوية جديرة بالثقة هو المُصدر. تعتمد بطاقات الهوية المقبولة على نطاق واسع على قدرة جهة الإصدار على التحقق من أن الشخص الذي يتقدم بطلب للحصول على بطاقة هوية هو نفسه. يتم إصدار معظم نماذج الهوية المقبولة على نطاق واسع من قبل الوكالات الحكومية، مثل إدارة المركبات الآلية. إذا كانت الوكالة المصدرة للبطاقة لديها وسيلة موثوقة لتتبع هوية الأشخاص ومكان تواجدهم، مثل مدفوعات الضرائب أو سجلات التوظيف أو استخدام خدمات مرافق المياه، فهناك فرصة جيدة أن تتمكن الوكالة من التحقق من أن الشخص المذكور في بطاقة الهوية هو ذلك الشخص.

في عالم الإنترنت، لم تشارك الحكومات في أغلب الأحيان في عملية التحقق من الهوية. يتم إصدار الشهادات من قبل شركات القطاع الخاص المعروفة باسم المراجع المصدقة (المراجع المصدقة). في حين أن الشهادات كانت باهظة الثمن، فقد انخفضت الرسوم بشكل كبير إلى حد كبير بعضها مجاني. أشهر المراجع المصدقة هي Verisign وDigiCert وGoDaddy. يظهر ريان هيرست تصدر المراجع المصدقة السبعة الرئيسية (ISRG، وDigiCert، وSectigo، وGoogle، وGoDaddy، وMicrosoft، وIdenTrust) 99% من جميع الشهادات.

لن يقبل المتصفح الشهادة كإثبات للهوية إلا إذا كان حقل الاسم الموجود في الشهادة يتطابق مع اسم المجال، الذي يعرضه المتصفح في شريط الموقع. وحتى لو تطابقت الأسماء فهل هذا يثبت أن شهادة تقول "apple.com" تنتمي إلى شركة الإلكترونيات الاستهلاكية المعروفة باسم Apple, Inc.؟ لا، أنظمة الهوية ليست مضادة للرصاص. يشربون دون السن القانونية يمكن الحصول على هويات مزورة. كما هو الحال مع الهويات البشرية، يمكن أن تكون الشهادات الرقمية أيضًا مزيفة أو غير صالحة لأسباب أخرى. يمكن لمهندس البرمجيات الذي يستخدم أدوات مجانية مفتوحة المصدر إنشاء شهادة رقمية باسم "apple.com" باستخدامها بعض أوامر Linux. 

يعتمد نظام PKI على المراجع المصدقة لإصدار أي شهادة لمالك الموقع فقط. يسير سير العمل للحصول على الشهادة على النحو التالي:

1. يتقدم ناشر موقع الويب إلى المرجع المصدق المفضل لديه للحصول على شهادة للمجال. 
2. يتحقق المرجع المصدق من أن طلب الشهادة يأتي من المالك الفعلي لذلك الموقع. كيف يحدد CA ذلك؟ يطلب CA من الكيان الذي يقدم الطلب نشر جزء محدد من المحتوى على عنوان URL محدد. تثبت القدرة على القيام بذلك أن الجهة لديها سيطرة على الموقع.
3. بمجرد أن يثبت موقع الويب ملكيته للنطاق، يقوم المرجع المصدق بإلحاق أ التوقيع الرقمي التشفير إلى الشهادة باستخدام مفتاح التشفير الخاص به. يعرّف التوقيع المرجع المصدق (CA) باعتباره المُصدر. 
4. يتم تسليم الشهادة الموقعة إلى الشخص أو الجهة مقدمة الطلب. 
5. يقوم الناشر بتثبيت شهادته على موقعه على الويب، بحيث يمكن تقديمها للمتصفحات. 

التوقيعات الرقمية التشفير هي "مخطط رياضي للتحقق من صحة الرسائل أو المستندات الرقمية." إنها ليست نفس الشيء مثل توقيع المستندات عبر الإنترنت الذي توفره DocuSign والبائعين المماثلين. فإذا أمكن تزوير التوقيع، فلن تكون الشهادات جديرة بالثقة. مع مرور الوقت، زاد حجم مفاتيح التشفير بهدف جعل التزوير أكثر صعوبة. يعتقد الباحثون في علم التشفير أن التوقيعات الحالية، من الناحية العملية، من المستحيل تزويرها. هناك ثغرة أخرى تتمثل في سرقة مفاتيح CA السرية. يستطيع اللص بعد ذلك إنتاج توقيعات صالحة لذلك المرجع المصدق. 

بمجرد تثبيت الشهادة، يتم استخدامها أثناء إعداد محادثة الويب. • تسجيل ويوضح كيف تسير الأمور:

إذا تم إصدار الشهادة من مرجع مصدق معروف وجيد، وكانت جميع التفاصيل صحيحة، فهذا يعني أن الموقع موثوق به، وسيحاول المتصفح إنشاء اتصال آمن ومشفر مع موقع الويب حتى لا يكون نشاطك مع الموقع مرئيًا إلى المتنصت على الشبكة. إذا تم إصدار الشهادة من قبل مرجع مصدق غير موثوق به، أو كانت الشهادة لا تتطابق مع عنوان موقع الويب، أو كانت بعض التفاصيل خاطئة، فسيرفض المتصفح موقع الويب بسبب القلق من عدم اتصاله بموقع الويب الفعلي الذي يريده المستخدم ، وربما يتحدث إلى منتحل.

يمكننا الوثوق بالمتصفح لأن المتصفح يثق بموقع الويب. يثق المتصفح بموقع الويب لأن الشهادة صادرة عن مرجع مصدق "معروف". ولكن ما هو "المرجع المصدق الجيد المعروف؟" تعتمد معظم المتصفحات على المراجع المصدقة التي يوفرها نظام التشغيل. يتم تحديد قائمة المراجع المصدقة الجديرة بالثقة بواسطة بائعي الأجهزة والبرامج. يقوم كبار موردي أجهزة الكمبيوتر والأجهزة - Microsoft وApple وشركات تصنيع هواتف Android وموزعي Linux مفتوح المصدر - بتحميل نظام التشغيل مسبقًا على أجهزتهم باستخدام مجموعة من الشهادات الجذرية.

تحدد هذه الشهادات المراجع المصدقة التي قاموا بفحصها وتعتبرها موثوقة. تسمى هذه المجموعة من الشهادات الجذرية "مخزن الثقة". لنأخذ مثالاً قريبًا مني، جهاز الكمبيوتر الشخصي الذي يعمل بنظام Windows والذي أستخدمه لكتابة هذه القطعة يحتوي على 70 شهادة جذر في متجر الشهادات الجذر الموثوق به. موقع دعم أبل يسرد جميع الجذور الموثوقة بواسطة إصدار Sierra من MacOS. 

كيف يقرر بائعو أجهزة الكمبيوتر والهواتف أي المراجع المصدقة جديرة بالثقة؟ لديهم برامج التدقيق والامتثال لتقييم جودة المراجع المصدقة. يتم تضمين فقط تلك التي تمر. انظر على سبيل المثال، متصفح كروم (الذي يوفر متجر الثقة الخاص به بدلاً من استخدام المتجر الموجود على الجهاز). إي إف (والتي تصف نفسها بأنها "المنظمة غير الربحية الرائدة في الدفاع عن الحريات المدنية في العالم الرقمي") ويوضح:

تقوم المتصفحات بتشغيل "برامج الجذر" لمراقبة أمان وموثوقية المراجع المصدقة التي يثقون بها. تفرض برامج الجذر هذه عددًا من المتطلبات تتراوح من "كيف يجب تأمين المواد الأساسية" إلى "كيفية التحقق من صحة التحكم في اسم المجال" إلى "ما هي الخوارزميات التي يجب استخدامها لتوقيع الشهادة".

بعد قبول المرجع المصدق من قبل البائع، يستمر البائع في مراقبته. سيقوم البائعون بإزالة المراجع المصدقة من المتجر الموثوق به في حالة فشل المرجع المصدق في الالتزام بمعايير الأمان الضرورية. يمكن للمراجع المصدقة أن تفسد أو تفشل لأسباب أخرى. • تسجيل تقارير:

الشهادات والمراجع المصدقة التي تصدرها ليست دائمًا جديرة بالثقة وقد قام صانعو المتصفحات على مر السنين بإزالة شهادات جذر المرجع المصدق من المراجع المصدقة الموجودة في تركيا وفرنسا والصين وكازاخستان وأماكن أخرى عندما تبين أن الكيان المُصدر أو الطرف المرتبط يعترض الويب مرور. 

في عام 2022، أفاد الباحث إيان كارول المخاوف الأمنية مع سلطة شهادات e-Tugra. "وجد كارول عددًا من المشكلات المثيرة للقلق التي تقلقني فيما يتعلق بالممارسات الأمنية داخل شركتهم"، مثل بيانات الاعتماد الضعيفة. تم التحقق من تقارير كارول من قبل بائعي البرامج الرئيسيين. ونتيجة لذلك، كان e-Tugra تمت إزالتها من مخازن الشهادات الموثوقة الخاصة بهم. 

• الجدول الزمني لفشل المرجع المصدق يحكي عن حوادث أخرى مماثلة. 

لا تزال هناك بعض الثغرات المعروفة في البنية التحتية للمفاتيح العامة (PKI) كما هي موجودة حاليًا. نظرًا لأن هناك قضية معينة مهمة لفهم المادة 45 من eIDAS، فسوف أشرح ذلك بعد ذلك. لا تقتصر ثقة المرجع المصدق على مواقع الويب التي تجري أعمالها مع هذا المرجع المصدق. سيقبل المتصفح شهادة من أي مرجع مصدق موثوق به لأي موقع ويب. لا يوجد ما يمنع المرجع المصدق من إصدار موقع إلكتروني لشخص سيء لم يطلبه صاحب الموقع. ستكون مثل هذه الشهادة احتيالية بالمعنى القانوني بسبب الجهة التي صدرت إليها. لكن محتويات الشهادة ستكون صالحة من الناحية الفنية من وجهة نظر المتصفح. 

إذا كانت هناك طريقة لربط كل موقع ويب بالمرجع المصدق المفضل لديه، فسيتم التعرف فورًا على أي شهادة لهذا الموقع من أي مرجع مصدق آخر على أنها احتيالية. تثبيت الشهادة هو معيار آخر يأخذ خطوة في هذا الاتجاه. ولكن كيف سيتم نشر هذه الجمعية وكيف يمكن الوثوق بهذا الناشر؟ 

وفي كل طبقة من هذه العملية، يعتمد الحل التقني على مصدر خارجي للثقة. ولكن كيف يتم تأسيس هذه الثقة؟ من خلال الاعتماد على مصدر أكثر ثقة على المستوى الأعلى التالي؟ يوضح هذا السؤال "السلاحف على طول الطريق"طبيعة المشكلة. إن البنية التحتية للمفاتيح العامة لديها سلحفاة في القاع: سمعة ورؤية وشفافية صناعة الأمن وعملائها. يتم بناء الثقة على هذا المستوى من خلال المراقبة المستمرة والمعايير المفتوحة ومطوري البرامج والمراجع المصدقة. 

تم إصدار شهادات مزورة. في عام 2013، ذكرت ArsTechnica ضبطت وكالة فرنسية تعمل على سك شهادات SSL تنتحل صفة Google:

في عام 2011...باحثون أمنيون رصدت شهادة مزورة لموقع Google.com والتي أعطت للمهاجمين القدرة على انتحال شخصية خدمة بريد الموقع والعروض الأخرى. تم سك الشهادة المزيفة بعد أن اخترق المهاجمون أمن شركة DigiNotar ومقرها هولندا وسيطروا على أنظمة إصدار الشهادات الخاصة بها.

تم توقيع بيانات اعتماد طبقة المقابس الآمنة (SSL) رقميًا بواسطة مرجع مصدق صالح... في الواقع، كانت الشهادات عبارة عن نسخ مكررة غير مصرح بها تم إصدارها في انتهاك للقواعد التي وضعتها الشركات المصنعة للمتصفح وخدمات المرجع المصدق.

يمكن أن يحدث إصدار شهادة احتيالية. يمكن لهيئة تصديق مارقة أن تصدر واحدة، لكنها لن تذهب بعيدًا. سيتم اكتشاف الشهادة السيئة. سوف يفشل المرجع المصدق (CA) السيئ في برامج الامتثال وسيتم إزالته من المتاجر الموثوقة. بدون القبول، سيتوقف CA عن العمل. شفافية الشهادة، وهو معيار أحدث، يتيح الكشف السريع عن الشهادات الاحتيالية. 

لماذا قد يصبح CA مارقًا؟ ما هي الفائدة التي يمكن أن يستفيد منها الشخص السيئ من شهادة غير مصرح بها؟ مع الشهادة وحدها، ليس كثيرًا، حتى عند التوقيع عليها من قبل مرجع مصدق موثوق به. ولكن إذا تمكن الشخص السيئ من التعاون مع مزود خدمة الإنترنت، أو الوصول بطريقة أخرى إلى الشبكة التي يستخدمها المتصفح، فإن الشهادة تمنح الممثل السيئ القدرة على كسر جميع الضمانات الأمنية الخاصة بـ PKI. 

يمكن للهاكر تحميل ملف هجوم رجل في الوسط (MITM) على المحادثة. يمكن للمهاجم إدخال نفسه بين المتصفح والموقع الحقيقي. في هذا السيناريو، سيتحدث المستخدم مباشرة إلى المهاجم، وسيقوم المهاجم بنقل المحتويات ذهابًا وإيابًا مع موقع الويب الحقيقي. سيقدم المهاجم الشهادة المزورة إلى المتصفح. ونظرًا لأنه تم توقيعه بواسطة مرجع مصدق موثوق به، فسيقبله المتصفح. يمكن للمهاجم عرض وحتى تعديل ما أرسله أي من الطرفين قبل أن يستلمه الطرف الآخر.

نأتي الآن إلى المادة 45 من قانون eIDAS المشؤوم للاتحاد الأوروبي. وتتطلب هذه اللائحة المقترحة من جميع المتصفحات أن تثق في سلة من الشهادات الصادرة عن المراجع المصدقة المعينة من قبل الاتحاد الأوروبي. سبعة وعشرون على وجه الدقة: واحدة لكل دولة عضو. يجب أن يتم استدعاء هذه الشهادات شهادات مصادقة موقع الويب المؤهلة. يحتوي الاختصار "QWAC" على لفظ متجانس مؤسف دجل - أو ربما تصيدنا المفوضية الأوروبية.

سيتم إصدار QWACs إما عن طريق الوكالات الحكومية، أو ما يسميه مايكل ريكتنوالد الحكومات: "الشركات والشركات وغيرها من الجهات التابعة للدولة والتي تسمى بطريقة أخرى "خاصة"، ولكنها في الحقيقة تعمل كأجهزة دولة، حيث أنها تطبق سرديات الدولة وإملاءاتها." 

وهذا المخطط من شأنه أن يقرب الحكومات الأعضاء في الاتحاد الأوروبي خطوة واحدة من النقطة التي يصبح بوسعها فيها مهاجمة مواطنيها. سيحتاجون أيضًا إلى الوصول إلى الشبكات. والحكومات في وضع يمكنها من القيام بذلك. إذا تم تشغيل مزود خدمة الإنترنت كمؤسسة مملوكة للدولة، فسيكون لديهم ذلك بالفعل. إذا كان مقدمو خدمات الإنترنت شركات خاصة، فهي محلية سلطات يمكن استخدام صلاحيات الشرطة للوصول. 

إحدى النقاط التي لم يتم التأكيد عليها في المحادثة العامة هي أن المتصفح في أي من الدول الأعضاء في الاتحاد الأوروبي البالغ عددها 27 دولة سيُطلب منه قبول كل QWAC، واحدًا من كل منها. عضو في الاتحاد الأوروبي. وهذا يعني أن المتصفح في إسبانيا، على سبيل المثال، يجب أن يثق في QWAC من كيانات في كرواتيا وفنلندا والنمسا. سيتعين على المستخدم الإسباني الذي يزور موقعًا إلكترونيًا نمساويًا المرور عبر الأجزاء النمساوية من الإنترنت. تنطبق جميع القضايا المثارة أعلاه على جميع البلدان داخل الاتحاد الأوروبي. 

السجل، في قطعة بعنوان eIDAS السيئ: أوروبا جاهزة لاعتراض اتصالات HTTPS المشفرة الخاصة بك والتجسس عليها يشرح إحدى الطرق التي قد يعمل بها هذا:

[T] يمكن للحكومة أن تطلب من CA الصديق الحصول على نسخة من شهادة [QWAC] حتى تتمكن الحكومة من انتحال شخصية موقع الويب - أو طلب بعض متصفحات الشهادات الأخرى التي تثق بها وتقبلها للموقع. وبالتالي، باستخدام هجوم الرجل في الوسط، يمكن لتلك الحكومة اعتراض وفك تشفير حركة مرور HTTPS المشفرة بين موقع الويب ومستخدميه، مما يسمح للنظام بمراقبة ما يفعله الأشخاص بالضبط بهذا الموقع في أي وقت.

وبعد اختراق درع التشفير، يمكن أن تشمل المراقبة حفظ كلمات مرور المستخدمين، ثم استخدامها في وقت آخر للوصول إلى حسابات البريد الإلكتروني للمواطنين. وبالإضافة إلى المراقبة، يمكن للحكومات تعديل المحتوى على الإنترنت. على سبيل المثال، يمكنهم إزالة الروايات التي يريدون فرض الرقابة عليها. يمكنهم إرفاق مزعج التحقق من صحة حالة المربية و تحذيرات المحتوى إلى الآراء المخالفة.

في الوضع الحالي، يجب على المراجع المصدقة الحفاظ على ثقة مجتمع المتصفح. تقوم المتصفحات حاليًا بتحذير المستخدم إذا كان الموقع يقدم شهادة منتهية الصلاحية أو غير موثوقة. وبموجب المادة 45، فإن التحذيرات أو طرد منتهكي الثقة محظور. لا يقتصر الأمر على المتصفحات المفوضة بالثقة في QWACs، ولكن المادة 45 تحظر على المتصفحات إظهار تحذير بأن الشهادة موقعة من QWAC. 

الفرصة الأخيرة لـ eIDAS (موقع يعرض شعار موزيلا) يناصر المادة 45: 

تتمتع أي دولة عضو في الاتحاد الأوروبي بالقدرة على تعيين مفاتيح التشفير للتوزيع في متصفحات الويب، ويحظر على المتصفحات إلغاء الثقة في هذه المفاتيح دون إذن من الحكومة. 

... لا يوجد فحص أو توازن مستقل للقرارات التي تتخذها الدول الأعضاء فيما يتعلق بالمفاتيح التي تسمح بها والاستخدام الذي تستخدمه فيه. وهذا أمر مثير للقلق بشكل خاص بالنظر إلى الالتزام بسيادة القانون لم تكن موحدة في جميع الدول الأعضاء، مع حالات موثقة الإكراه من قبل الشرطة السرية لأغراض سياسية.

في رسالة مفتوحة موقعة من عدة مئات من الباحثين الأمنيين وعلماء الكمبيوتر:

تحظر المادة 45 أيضًا إجراء فحوصات أمنية على شهادات الويب الخاصة بالاتحاد الأوروبي ما لم تسمح اللوائح صراحةً بذلك عند إنشاء اتصالات مشفرة لحركة مرور الويب. وبدلاً من تحديد مجموعة من الحد الأدنى من التدابير الأمنية التي يجب إنفاذها كخط أساس، فإنها تحدد بشكل فعال حدًا أعلى للتدابير الأمنية التي لا يمكن تحسينها دون الحصول على إذن من المعهد الأوروبي لمعايير الاتصالات (ETSI). وهذا يتعارض مع المعايير العالمية الراسخة حيث يتم تطوير ونشر تقنيات الأمن السيبراني الجديدة استجابة للتطورات السريعة في التكنولوجيا. 

يعتمد معظمنا على موردينا لتنظيم قائمة المراجع المصدقة الموثوقة. ومع ذلك، كمستخدم، يمكنك إضافة الشهادات أو إزالتها كما تريد على أجهزتك الخاصة. مايكروسوفت ويندوز لديه أداة للقيام بذلك. في Linux، الشهادات الجذرية عبارة عن ملفات موجودة في دليل واحد. قد يكون المرجع المصدق (CA) غير موثوق به بمجرد حذف الملف. فهل هذا أيضا حرام؟ ستيف جيبسون، محلل أمني مشهور، كاتب عمودومضيف بودكاست Security Now طويل الأمد يسأل:

لكن الاتحاد الأوروبي ينص على أنه سيُطلب من المتصفحات احترام سلطات التصديق الجديدة وغير المثبتة وغير المختبرة، وبالتالي أي شهادات تصدرها، دون استثناء ودون حق الرجوع. هل هذا يعني أن مثيل Firefox الخاص بي سيكون ملزمًا قانونًا برفض محاولتي لإزالة تلك الشهادات؟

ويشير جيبسون إلى أن بعض الشركات تنفذ مراقبة مماثلة لموظفيها داخل شبكتها الخاصة. مهما كان رأيك حول ظروف العمل هذه، فإن بعض الصناعات لديها أسباب مشروعة للتدقيق والامتثال لتتبع وتسجيل ما يفعله موظفوها بموارد الشركة. ولكن، كما جيبسون تواصل,

والمشكلة هي أن الاتحاد الأوروبي والدول الأعضاء فيه يختلفون تمام الاختلاف عن موظفي المنظمات الخاصة. في أي وقت لا يريد الموظف أن يتم التجسس عليه، يمكنه استخدام هاتفه الذكي للتحايل على شبكة صاحب العمل. وبالطبع فإن الشبكة الخاصة لصاحب العمل هي مجرد شبكة خاصة. ويريد الاتحاد الأوروبي أن يفعل هذا من أجل شبكة الإنترنت العامة بالكامل، والتي لن يكون هناك مفر منها.

لقد حددنا الآن الطبيعة الجذرية لهذا الاقتراح. لقد حان الوقت لنسأل، ما هي الأسباب التي تقدمها المفوضية الأوروبية لتحفيز هذا التغيير؟ تقول المفوضية الأوروبية أن التحقق من الهوية بموجب البنية التحتية للمفاتيح العمومية (PKI) ليس كافيًا. وأن هذه التغييرات ضرورية لتحسينه. 

هل هناك أي حقيقة لادعاءات المفوضية الأوروبية؟ تتطلب البنية التحتية للمفاتيح العمومية (PKI) الحالية في معظم الحالات فقط طلب إثبات السيطرة على الموقع. وفي حين أن هذا شيء، إلا أنه لا يضمن، على سبيل المثال، أن ملكية الويب "apple.com" مملوكة لشركة الإلكترونيات الاستهلاكية المعروفة باسم Apple Inc، ومقرها في كوبرتينو، كاليفورنيا. قد يحصل مستخدم ضار على شهادة صالحة لاسم مجال مشابه لاسم شركة معروفة. يمكن استخدام الشهادة الصالحة في هجوم يعتمد على عدم بحث بعض المستخدمين بالقدر الكافي لملاحظة أن الاسم غير متطابق تمامًا. حدث هذا ل شريط معالج الدفع.

بالنسبة للناشرين الذين يرغبون في أن يثبتوا للعالم أنهم حقًا نفس الكيان المؤسسي، فقد عرضت عليهم بعض المراجع المصدقة شهادات التحقق الممتد (EV).. يتكون الجزء "الموسع" من عمليات تحقق إضافية ضد الشركة نفسها، مثل عنوان الشركة ورقم هاتف العمل ورخصة الأعمال أو التأسيس والسمات الأخرى النموذجية للمنشأة المستمرة. يتم إدراج المركبات الكهربائية بسعر أعلى لأنها تتطلب المزيد من العمل من قبل CA. 

تُستخدم المتصفحات لعرض تعليقات مرئية مميزة للسيارة الكهربائية، مثل لون مختلف أو رمز قفل أكثر قوة. في السنوات الأخيرة، لم تكن السيارات الكهربائية تحظى بشعبية خاصة في السوق. لقد ماتوا في الغالب. لم تعد العديد من المتصفحات تعرض التعليقات التفاضلية. 

وعلى الرغم من نقاط الضعف التي لا تزال موجودة، فقد تحسنت البنية التحتية للمفاتيح العمومية بشكل ملحوظ مع مرور الوقت. وبما أن العيوب أصبحت مفهومة، فقد تمت معالجتها. فقد تم تعزيز خوارزميات التشفير، وتحسنت الإدارة، وتم حظر نقاط الضعف. لقد نجحت الحوكمة بإجماع الأطراف الفاعلة في الصناعة بشكل جيد. وسيستمر النظام في التطور، سواء من الناحية التكنولوجية أو المؤسسية. وباستثناء تدخل الهيئات التنظيمية، لا يوجد سبب لتوقع خلاف ذلك.

لقد تعلمنا من التاريخ الباهت للمركبات الكهربائية أن السوق لا يهتم كثيرًا بالتحقق من هوية الشركة. ومع ذلك، إذا أراد مستخدمو الإنترنت ذلك، فلن يتطلب الأمر كسر البنية التحتية للمفاتيح العمومية (PKI) الحالية لمنحها لهم. قد تكون بعض التعديلات الصغيرة على سير العمل الحالي كافية. اقترح بعض المعلقين تعديل مصافحة TLS; سيقدم الموقع شهادة إضافية واحدة. ستعمل الشهادة الأساسية كما هي الآن. ستطبق الشهادة الثانوية، الموقعة من قبل QWAC، معايير الهوية الإضافية التي تقول المفوضية الأوروبية إنها تريدها.

إن الأسباب المزعومة التي تزعمها المفوضية الأوروبية بشأن eIDAS هي ببساطة غير ذات مصداقية. ليس فقط أن الأسباب المقدمة غير قابلة للتصديق، بل إن المفوضية الأوروبية لا تهتم حتى بالتذمر المعتاد حول كيفية التضحية بالحريات المهمة باسم السلامة لأننا نواجه التهديد الخطير المتمثل في الاتجار بالبشر، وسلامة الأطفال، وغسل الأموال. أو التهرب الضريبي أو (المفضل لدي شخصيا) تغير المناخ. ليس هناك من ينكر أن الاتحاد الأوروبي يسلط الضوء علينا.

إذا لم تكن المفوضية الأوروبية صادقة بشأن دوافعها الحقيقية، فماذا تسعى إذن؟ يرى جيبسون نية خبيثة:

وهناك سبب واحد محتمل لرغبتهم في [فرض ثقة المتصفحات في QWACs]، وهو السماح باعتراض حركة مرور الويب على الإنترنت أثناء التنقل، تمامًا كما يحدث داخل الشركات. وهذا معترف به. 

(ما يعنيه جيبسون بعبارة "اعتراض حركة المرور على شبكة الإنترنت" هو هجوم MITM الموصوف أعلاه). وقد سلطت تعليقات أخرى الضوء على العواقب الشريرة المترتبة على حرية التعبير والاحتجاج السياسي. هيرست في مقال طويل يجعل حجة المنحدر الزلق:

فعندما تفرض ديمقراطية ليبرالية هذا النوع من السيطرة على التكنولوجيا على شبكة الإنترنت، على الرغم من عواقبه، فإنها تضع الأساس لمزيد من الحكومات الاستبدادية لتحذو حذوها مع الإفلات من العقاب.

موزيلا نقلا عن techdirt (بدون رابط للأصل) يقول نفس الشيء تقريبًا:

[F] يعد إجبار المتصفحات على الثقة تلقائيًا في سلطات التصديق المدعومة من الحكومة تكتيكًا رئيسيًا تستخدمه الأنظمة الاستبدادية، وسوف تتشجع هذه الجهات الفاعلة من خلال التأثير الشرعي لإجراءات الاتحاد الأوروبي ...

جيبسون يصنع نفس الشيء ملاحظة:

ثم هناك شبح حقيقي للغاية حول الأبواب الأخرى التي يفتحها هذا: إذا أظهر الاتحاد الأوروبي لبقية العالم أنه يستطيع بنجاح إملاء شروط الثقة لمتصفحات الويب المستقلة التي يستخدمها مواطنوه، فما الذي ستتبعه الدول الأخرى بقوانين مماثلة ؟ الآن أصبح على الجميع أن يطلبوا ببساطة إضافة شهادات بلدهم. وهذا يأخذنا في الاتجاه الخاطئ تمامًا.

تعتبر المادة 45 المقترحة بمثابة هجوم على خصوصية المستخدم في دول الاتحاد الأوروبي. وإذا تم اعتماده، فإنه سيكون بمثابة انتكاسة هائلة ليس فقط لأمن الإنترنت، ولكن أيضًا لنظام الإدارة المتطور. وأنا أتفق مع ستيف جيبسون في أن:

الأمر غير الواضح تمامًا، والذي لم أواجهه في أي مكان، هو تفسير للسلطة التي يتصور الاتحاد الأوروبي أنه قادر من خلالها على إملاء تصميم برامج المنظمات الأخرى. لأن هذا هو ما يأتي عليه هذا.

كانت الاستجابة للمادة 45 المقترحة سلبية إلى حد كبير. EFF في المادة 45 ستؤدي إلى تراجع أمان الويب لمدة 12 عامًا "هذه كارثة على خصوصية كل من يستخدم الإنترنت، ولكن بشكل خاص لأولئك الذين يستخدمون الإنترنت في الاتحاد الأوروبي." 

إن جهد eIDAS هو بمثابة إنذار لمجتمع الأمن. نشرت شركة Mozilla - الشركة المصنعة لمتصفح الويب Firefox مفتوح المصدر - إعلانًا بيان الصناعة المشترك معارضة ذلك. تم التوقيع على البيان من قبل قائمة من كبار شركات البنية التحتية للإنترنت بما في ذلك Mozilla نفسها، وCloudflare، وFastly، وLinux Foundation. 

من رسالة مفتوحة المذكور أعلاه: 

بعد قراءة النص شبه النهائي، نشعر بقلق عميق إزاء النص المقترح للمادة 45. يعمل الاقتراح الحالي بشكل جذري على توسيع قدرة الحكومات على مراقبة مواطنيها والمقيمين في جميع أنحاء الاتحاد الأوروبي من خلال تزويدهم بالوسائل التقنية لاعتراض التشفير المشفر. حركة المرور على شبكة الإنترنت، فضلا عن تقويض آليات الرقابة القائمة التي يعتمد عليها المواطنون الأوروبيون. 

أين تذهب هذا؟ وقد تم اقتراح اللائحة لبعض الوقت. ومن المقرر اتخاذ القرار النهائي في نوفمبر 2023. ولم تظهر عمليات البحث على الويب أي معلومات جديدة حول هذا الموضوع منذ ذلك الوقت. 

في السنوات القليلة الماضية، زادت الرقابة الصريحة بجميع أشكالها. خلال جنون كوفيد، تعاونت الحكومة والصناعة لإنشاء مجمع رقابة صناعي لتعزيز الروايات الكاذبة بشكل أكثر كفاءة وقمع المنشقين. في السنوات القليلة الماضية، قاوم المتشككون والأصوات المستقلة، في المحاكم، وعن طريق إنشاء وجهة نظر محايدة المنصات. 

في حين أن الرقابة على التعبير لا تزال تشكل خطرا كبيرا، فإن حقوق الكتاب والصحفيين تحظى بحماية أفضل من العديد من الحقوق الأخرى. في الولايات المتحدة، التعديل الأول يتمتع بحماية صريحة للتعبير وحرية انتقاد الحكومة. قد ترى المحاكم أن أي حقوق أو حريات لا تحميها لغة قانونية محددة للغاية تعتبر لعبة عادلة. قد يكون هذا هو السبب وراء نجاح المقاومة في مجال التعبير أكثر من الجهود الأخرى لوقف إساءة استخدام السلطة مثل المحاجر والإغلاق السكاني. 

وبدلاً من أن تكون الحكومات عدواً يتم الدفاع عنه بشكل جيد، فإنها تحول هجماتها إلى طبقات أخرى من البنية التحتية للإنترنت. تتكون هذه الخدمات، مثل تسجيل النطاق ونظام أسماء النطاقات (DNS) والشهادات ومعالجات الدفع والاستضافة ومتاجر التطبيقات، إلى حد كبير من معاملات السوق الخاصة. تتمتع هذه الخدمات بحماية أقل بكثير من حرية التعبير لأنه، في أغلب الأحيان، لا يوجد حق لأي شخص في شراء خدمة معينة من شركة معينة. والخدمات الأكثر تقنية مثل DNS وPKI لا يفهمها الجمهور جيدًا مثل النشر على الويب.

نظام PKI معرض بشكل خاص للهجوم لأنه يعمل حسب السمعة والإجماع. ولا توجد سلطة واحدة تحكم النظام بأكمله. يجب أن يكتسب اللاعبون سمعة طيبة من خلال الشفافية والامتثال والإبلاغ الصادق عن حالات الفشل. وهذا يجعلها عرضة لهذا النوع من الهجمات التخريبية. وإذا وقعت مسؤولية البنية التحتية للمفاتيح العمومية في الاتحاد الأوروبي على عاتق الجهات التنظيمية، أتوقع أن تحذو حذوها دول أخرى. ليس فقط البنية التحتية للمفاتيح العمومية معرضة للخطر. وبمجرد إثبات أن الطبقات الأخرى من المكدس يمكن مهاجمتها من قبل الجهات التنظيمية، فسيتم استهدافها أيضًا.