eIDAS 2.0 اروپا: تهدیدی برای امنیت وب مدرن؟


تصویر بزرگ: شورای اتحادیه اروپا در حال آماده سازی مجموعه جدیدی از قوانین برای ارتباطات الکترونیکی و شناسایی ایمن است. با این حال، eIDAS 2.0 به عقب برمی گردد و یک مدل امنیتی را اتخاذ می کند که مدت هاست توسط مرورگرهای مدرن و پلتفرم های اینترنتی رها شده است.

eIDAS یا «خدمات شناسایی الکترونیکی، احراز هویت و اعتماد» مجموعه قوانینی است که در اروپا برای فعال کردن تراکنش‌های آنلاین امن در سراسر بازار واحد اروپا اتخاذ شده است. هر کشور عضو باید قوانین eIDAS را بپذیرد، و همین امر در مورد سازمان ها و شرکت هایی که می خواهند خدمات دیجیتال عمومی را در آنجا ارائه دهند، صدق می کند.

شورای اروپا – یکی از دو نهاد قانونگذاری اتحادیه اروپا – اخیراً تجدید نظر جدیدی در eIDAS را تصویب کرده است که عمدتاً در رابطه با کیف پول دیجیتال اروپایی برای ذخیره اطلاعات شخصی شهروندان اروپایی در یک برنامه دولتی است. eIDAS 2.0 همچنین شامل قوانین بازنگری شده برای گواهی‌های دیجیتال است، مدلی جدید که به گفته فعالان دیجیتال و سازمان‌های غیرانتفاعی، یک گام بزرگ به عقب برای امنیت اینترنت مدرن است.

به گفته بنیاد Electronic Frontier (EFF)، اصل موضوع در ماده 45.2 قوانین جدید eIDAS است: اتحادیه اروپا اکنون پیشنهاد می‌کند که مرورگرهای وب و سایر سرمایه‌گذاری‌های اینترنتی باید از «گواهی‌های احراز هویت وب واجد شرایط» یا QWAC صادر شده پشتیبانی کنند. توسط ارائه دهندگان خدمات اعتماد واجد شرایط (QTSP).

اگر ماده 45.2 تصویب شود، کشورهای عضو اروپایی اساساً می‌توانند به‌عنوان مقامات صدور گواهی (CA) با ابرقدرت‌ها عمل کنند: یک گواهی QWAC که به این روش صادر می‌شود باید مورد اعتماد مرورگرهای وب باشد بدون توجه به اینکه ارائه‌دهندگان QTSP توسط مقررات اتحادیه اروپا تأیید شده‌اند و نه توسط مرورگر. – شرکت سازنده حتی اگر گواهی‌ها به خطر بیفتند، مرورگرها موظف هستند به آنها اعتماد کنند.

EFF خاطرنشان کرد: اتحادیه اروپا اساساً بازگشت به مدل قدیمی گواهینامه های اعتبار سنجی توسعه یافته (EV) را پیشنهاد می کند، یک سیستم امنیتی که به خوبی کار نمی کرد و مدت هاست که برای سیستم فعلی مبتنی بر رمزگذاری HTTPS با اعتبار سنجی دامنه رها شده است. DV) گواهینامه ها. مرورگرها می‌توانند انتخاب کنند که به کدام CA می‌توان اعتماد کرد، به‌گونه‌ای که بتوانند به‌سرعت آن‌ها را حذف کنند.

EFF اعلام کرد که ماده 45.2 قوانین جدید eIDAS یک مدل قدیمی را در تلاش برای سلب قدرت از Big Tech و بازگرداندن آن به افراد در وب از طریق مقررات اعمال می کند. همانطور که در حال حاضر، سازمان غیر انتفاعی خاطرنشان کرد، ماده 45.2 امنیت وب را “دستیابی و اجرای آن سخت تر می کند، و اینترنت را به مکانی کمتر امن برای همه تبدیل می کند.”



منبع