批评欧盟计划的信件的签署人与日报分享他们的疑虑beplay2018官网
欧盟的建议迫使浏览器接受由集团风险创建的网络证书,“破坏精心策划的规则和技术,几乎所有beplay体育能用吗这些规则和技术隐私一位领先的网络安全专家说,在线安全性”。
互联网协会的杰出技术专家约瑟夫·洛伦佐·霍尔(Joseph Lorenzo Hall)是38个签署者之一打开信封向批评计划的欧洲议会讲话。
其他签署者包括美国,加拿大,英国,法国和德国的学者,安全工程师和安全研究人员。
QWAC医学
这位传记于3月3日出版,敦促欧盟立法者拒绝拟议的修正案Eidas- 或电子识别,身份验证和信托服务 - 法规,该法规于2014年通过,以促进欧洲内部信托服务市场的出现。
EIDA要求创建合格的网站身份验证证书(QWAC),这实际上是为网站自称的身份提供beplay体育能用吗保证。因此,该计划旨在保护用户免受合法平台游行的恶意领域的影响,因此,恶意软件,监视,身份盗窃和金融犯罪。
但是,批评家指出,QWACS试图解决现有系统已经解决的问题,而不是有效地解决了。QWAC到目前为止未能在Web生态系统中获得很多吸引力,“由于其技术实施模型的缺陷,”beplay体育能用吗
更糟糕的是,在引人注目的网络中beplay体育能用吗浏览器为了承认QWAC的权威,欧盟委员会的一项有争议的提议将避免由现行机制提供的久经考验的安全保护。
现状
目前,有效的网站证书由100多个颁发beplay体育能用吗证书机构(CAS),其适合这种关键守门角色的能力由领先的浏览器制造商审查。
beplay体育能用吗通过召集的网站使用TLS- 加密的HTTPS协议,该协议可保护与站点的通信,并通过URL地址栏中的挂锁图标标记为安全。
Google(Chrome的开发商),Mozilla(Firefox),微软(Edge和IE)以及Apple(Safari)所有运行“ root程序”,验证CAS遵守发行惯例。可以删除落在所需标准以下的CA。
相比之下,QWAC是由“信托服务提供商”(TSP)发行的,这些QWAC不是由浏览器而不是欧盟成员国政府批准的。
这促使Firefox CTO Eric Rescorla提升警告欧盟计划可能会激起已经尝试并未能“通过强迫浏览器自动信任他们的CAS来提高其监视能力的压制性政权”。
技术差距
通过强迫浏览器开发人员将TSP在其根程序中包括,许多安全专家认为欧盟不必要地削弱了技术熟练专家的忠实管理的系统。
“简而言之,当前的浏览器供应商在审查证书方面具有丰富的经验。”每日swbeplay2018官网ig。
这对影响的评估他补充说,对于拟议的法规,未能解释欧盟决策者如何与此专业知识相匹配。
有关Infosec专家的公开信说,这“标志着危险的网络安全政策趋势”。它读取:
特别是在网络安全领域,威胁不断发展和实时操作响应至关重要,监管框架不应具有防止供应商为了用户利益而采取安全措施的作用。
“系统没有破坏”
数亿用户经常在线提交付款卡详细信息,通常是向他们不熟悉的网站提交付款卡详细信息,可以说证明了当前系统在引起网络中的信任方面的成功。beplay体育能用吗
批评家相信欧盟提案可能会通过提高不知不觉地发给网络犯罪分子的证书的风险来破坏这一硬核信任。
互联网社会的约瑟夫·洛伦佐·霍尔(Joseph Lorenzo Hall)告诉他说:“我认为我们都可以理解想要拥有全国控制的信任根,而没有什么阻止欧盟这样做的,希望做得很好。”每日swbeplay2018官网ig。
“但是,将互联网和Web各个方面的密钥存储的这些'根程序'是平衡的生态系统,在这里,激励,进化,审核性和问责制的设计唯一目的是保护和确保数十亿美元的交易和通信。beplay体育能用吗
“在这种情况下,系统不会被打破,而是将其修改以在这里做欧盟想要的事情必定会破坏它。”
Firefox浏览器背后的非营利组织Mozilla通过一个开放咨询在2020年的计划中。
除其他事项外该组织说:“从密码上将QWAC绑定到连接或TLS证书的举动”将违反EIDAS自称优先级验证,互操作性和技术中立的原则。
它还说,Firefox的技术和政策要求“更加透明,具有更严格的审计要求,并提供了与EIDAS对TSP的要求相比,可以改善公众监督”。
然而,2021年6月,欧洲委员会提议根据新的QWAC进行认可数字身份框架(PDF)对于Eidas。
前进的道路
Olejnik博士可疑欧盟政策制定者希望被视为对网络安全性做“某件事”。beplay体育能用吗他说:“所以他们确实做到了 - 他们做了一些事情。”“我可以想象,从心理上讲,很难在组织上进行投资的建议。它在公司环境中的工作原理类似。”
然而,洛伦佐·霍尔(Lorenzo Hall)“充满希望”,这种常识最终将占上风。
“我们希望欧盟政策制定者现在了解到,将这些证书强加给现有景观的风险不仅是失败,因为这些证书不太可能非常有用,但它的风险完全使一套精心策划的规则和技术都破坏了一套精心策划的规则和技术。在网上几乎所有隐私和安全性。”他说。
瑞士ETH Future Computing Laboratory的公开信的另一个共同签名,泰拉·范·德·梅尔(Thyla van der Merwe)博士告诉每日swbeplay2018官网ig:“在确保用户在线安全方面,浏览器供应商有很多经验,并且检查数字证书是此难题的重要组成部分。
“理想情况下,EC应该与浏览器供应商合作,以找到一种解决方案,该解决方案允许浏览器政策保持在原位,同时实现欧盟数字身份框架背后的目标。”
欧盟新闻办公室没有回应每日swbeplay2018官网ig。
