Cơ hội cuối cùng để sửa đổi eIDAS: đạo luật bí mật của Liên minh châu Âu (EU) đe dọa an ninh Internet

 (last-chance-for-eidas.org)
2 điểm bởi GN⁺ 2023-11-03 | 1 bình luận | Chia sẻ qua WhatsApp
  • Văn bản gần như cuối cùng của quy định eIDAS đã được các cơ quan chủ chốt của EU thống nhất và dự kiến sẽ được trình phê duyệt trước cuối năm.
  • Điều khoản pháp lý mới yêu cầu mọi trình duyệt web tại châu Âu phải tin cậy các tổ chức chứng thực và khóa mã hóa do chính phủ EU lựa chọn.
  • Thay đổi này mở rộng khả năng của các chính phủ EU trong việc chặn luồng truy cập web được mã hóa trên toàn EU để giám sát công dân.
  • Bất kỳ quốc gia thành viên EU nào cũng có thể phân phối khóa mã hóa tới các trình duyệt web, và các trình duyệt không thể rút lại sự tin cậy đối với các khóa này nếu không có sự cho phép của chính phủ.
  • Điều này cho phép bất kỳ quốc gia thành viên EU nào cũng có thể phát hành chứng chỉ website phục vụ giám sát và chặn bắt đối với mọi công dân EU, bất kể họ có cư trú hoặc có liên hệ với quốc gia phát hành hay không.
  • Không có cơ chế kiểm tra hay đối trọng độc lập nào đối với các quyết định về những khóa được các quốc gia thành viên chứng nhận và sử dụng.
  • Văn bản này cấm các trình duyệt áp dụng kiểm tra bảo mật đối với các khóa và chứng chỉ của EU, ngoại trừ những gì đã được ETSI, cơ quan tiêu chuẩn CNTT của EU, phê duyệt trước.
  • ETSI có một tiền lệ đáng lo ngại trong việc tạo ra các tiêu chuẩn mã hóa bị thỏa hiệp và vận hành các nhóm làm việc để phát triển công nghệ chặn bắt.
  • Hơn 300 chuyên gia và nhà nghiên cứu an ninh mạng đã ký thư ngỏ kêu gọi EU từ bỏ kế hoạch này và bảo vệ web.
  • Các tổ chức xã hội dân sự và các công ty xây dựng, bảo vệ Internet, bao gồm Linux Foundation, Mullvad, DNS0.EU và Mozilla, cũng đã ủng hộ bức thư này.
  • Văn bản này dự kiến sẽ được ban hành sau khi được phê duyệt tại cuộc họp trilogue kín cuối cùng diễn ra ở Brussels vào ngày 8 tháng 11, sau đó sẽ được trình lên Nghị viện châu Âu để chính thức phê chuẩn.
  • Công dân châu Âu có thể viết thư cho Romana JERKOVIĆ, nghị sĩ Nghị viện châu Âu phụ trách hồ sơ eIDAS, để bày tỏ quan ngại của mình.
  • Các chuyên gia an ninh mạng, nhà nghiên cứu hoặc NGO có thể ký thư ngỏ tại https://eidas-open-letter.org.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-11-03
Ý kiến trên Hacker News
  • Bài viết về các mối đe dọa bảo mật tiềm tàng mà luật eIDAS của EU có thể gây ra
  • Lo ngại rằng luật này có thể cho phép phát hành mọi chứng chỉ có thể được sử dụng cho mục đích giám sát
  • Một số người bình luận cho rằng đây không phải là "luật bí mật" vì mọi luật của EU phải được công bố trên trang web bằng các ngôn ngữ chính thức và được Nghị viện châu Âu phê chuẩn công khai trước khi có hiệu lực
  • Góc nhìn cho rằng luật này có thể chuyển quyền lực từ các tổ chức tư nhân sang chính phủ EU nhằm giúp việc quản trị số trở nên dễ dàng hơn
  • Các câu hỏi về tác động đối với các trình duyệt mã nguồn mở, liệu họ có bị buộc phải triển khai hay không, và liệu chính phủ có kiểm tra mã nguồn để xác minh ai đang phát hành các phiên bản đã loại bỏ chứng chỉ của chính phủ hay không
  • Một số người bình luận cho rằng hệ thống CA hiện tại của trình duyệt vốn đã có khiếm khuyết, và nếu các tác nhân cấp quốc gia có thể chặn lưu lượng IP và tạo chứng chỉ độc hại thì họ có thể thực hiện các cuộc tấn công MITM
  • eIDAS có xu hướng áp đặt lòng tin, điều mà một số người tin rằng sẽ phá hủy toàn bộ mô hình tin cậy của Internet
  • Luật này yêu cầu "chứng chỉ đủ điều kiện cho xác thực website" phải được trình duyệt web nhận diện và hiển thị theo cách thân thiện với người dùng
  • Các quốc gia khác như Ấn Độ cũng đang chuẩn bị luật tương tự để hệ điều hành và trình duyệt của họ có CA riêng
  • Một số người bình luận cho biết họ có thể chấp nhận luật này nếu các chứng chỉ do CA đó phát hành được gắn với các dịch vụ Certificate Transparency (CT) độc lập và các tên miền cấp cao nhất theo mã quốc gia nhất định