eIDAS संशोधन का आख़िरी मौका: इंटरनेट सुरक्षा को खतरे में डालने वाला यूरोपीय संघ (EU) का गुप्त कानून

 (last-chance-for-eidas.org)
2 पॉइंट द्वारा GN⁺ 2023-11-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • eIDAS विनियमन के लगभग अंतिम टेक्स्ट पर EU की प्रमुख संस्थाओं ने सहमति बना ली है, और इसे साल के अंत तक मंज़ूरी के लिए पेश किया जाना है.
  • नया कानूनी प्रावधान यह अनिवार्य करता है कि यूरोप के सभी web browser उन certification authorities और encryption keys पर भरोसा करें जिन्हें EU सरकारें चुनें.
  • यह बदलाव EU सरकारों की EU-भर में encrypted web traffic को intercept करके नागरिकों की निगरानी करने की क्षमता का विस्तार करता है.
  • कोई भी EU सदस्य देश web browser में encryption keys वितरित कर सकता है, और browser इन keys पर से भरोसा सरकार की अनुमति के बिना वापस नहीं ले सकते.
  • इससे कोई भी EU सदस्य देश निगरानी और interception के लिए वेबसाइट certificates जारी कर सकता है, चाहे EU नागरिक का जारी करने वाले सदस्य देश से निवास या कोई संबंध हो या नहीं.
  • सदस्य देशों द्वारा प्रमाणित और उपयोग की जाने वाली keys के बारे में लिए गए फैसलों पर कोई स्वतंत्र inspection या checks and balances नहीं हैं.
  • यह टेक्स्ट browser को इन EU keys और certificates पर सुरक्षा जांच लागू करने से रोकता है, सिवाय उन मामलों के जिन्हें EU की IT standards संस्था ETSI ने पहले से मंज़ूरी दी हो.
  • ETSI का रिकॉर्ड चिंताजनक रहा है: उसने पहले भी compromised encryption standards बनाए हैं और interception technology के विकास के लिए working groups चलाए हैं.
  • 300 से अधिक cyber security experts और researchers ने एक open letter पर हस्ताक्षर किए हैं, जिसमें EU से इन योजनाओं को छोड़ने और web की सुरक्षा करने की अपील की गई है.
  • Linux Foundation, Mullvad, DNS0.EU और Mozilla सहित civil society groups, साथ ही इंटरनेट का निर्माण और सुरक्षा करने वाली कंपनियों ने भी इस पत्र का समर्थन किया है.
  • 8 नवंबर को ब्रुसेल्स में होने वाली अंतिम बंद-द्वार trilogue बैठक में मंज़ूरी मिलने के बाद, इस टेक्स्ट को प्रकाशित किया जाएगा और European Parliament में औपचारिक अनुमोदन के लिए भेजा जाएगा.
  • यूरोपीय नागरिक eIDAS फ़ाइल की ज़िम्मेदार European Parliament member Romana JERKOVIĆ को लिखकर अपनी चिंताएँ दर्ज करा सकते हैं.
  • cyber security experts, researchers या NGO, https://eidas-open-letter.org पर open letter पर हस्ताक्षर कर सकते हैं.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-11-03
Hacker News राय
  • EU के eIDAS क़ानून से उत्पन्न हो सकने वाले संभावित सुरक्षा खतरों पर लेख
  • चिंता कि यह क़ानून निगरानी उद्देश्यों के लिए इस्तेमाल किए जा सकने वाले किसी भी certificate के जारी होने की अनुमति दे सकता है
  • कुछ टिप्पणीकारों का तर्क है कि चूँकि सभी EU क़ानून अपनी आधिकारिक भाषाओं में वेबसाइटों पर प्रकाशित होने चाहिए और प्रभावी होने से पहले European Parliament में सार्वजनिक रूप से अनुमोदित होने चाहिए, इसलिए यह कोई "गुप्त क़ानून" नहीं है
  • यह दृष्टिकोण कि यह क़ानून digital administration को आसान बनाने के लिए निजी संस्थाओं से EU सरकारों की ओर शक्ति का हस्तांतरण कर सकता है
  • open source browsers पर प्रभाव को लेकर सवाल, क्या उन्हें इसे लागू करने के लिए मजबूर किया जाएगा, और क्या सरकारें यह जाँचने के लिए code audit करेंगी कि सरकारी certificates हटाए गए संस्करण कौन जारी कर रहा है
  • कुछ टिप्पणीकारों का कहना है कि मौजूदा browser CA system मूल रूप से दोषपूर्ण है, और यदि वे IP traffic को intercept कर सकें तथा दुर्भावनापूर्ण certificates बना सकें, तो state actors MITM हमले कर सकते हैं
  • eIDAS में trust को अनिवार्य करने की कोशिश शामिल है, और कुछ लोगों का मानना है कि इससे इंटरनेट का पूरा trust model नष्ट हो जाता है
  • क़ानून की माँग है कि "वेबसाइट प्रमाणीकरण के लिए qualified certificates" को web browsers द्वारा पहचाना जाए और user-friendly तरीके से दिखाया जाए
  • भारत जैसे दूसरे देश भी ऐसे ही क़ानून तैयार कर रहे हैं ताकि उनके OS और browsers के पास अपना स्वयं का CA हो
  • कुछ टिप्पणीकार इस क़ानून से संतुष्ट हैं, बशर्ते उस CA द्वारा जारी certificates स्वतंत्र certificate transparency (CT) services और specific country top-level domains से जुड़े हों