The Hukumar Tarayyar Turai ƙungiya ce ta EU da ke da ikon sarrafawa akan fasahar dijital. Sashe na 45 na EC na eIDAS, ƙa'ida da aka tsara, zai raunana yankunan tsaro na intanit da gangan waɗanda masana'antar ta haɓaka da kuma taurare sama da shekaru 25. Matakin zai baiwa gwamnatocin EU 27 damar fadada ikon sa ido kan amfani da intanet.
Dokar za ta buƙaci duk masu binciken intanet su amince da ƙarin takaddun tushe daga wata hukuma (ko wata hukuma) daga kowace gwamnatocin ƙasa na kowace ɗaya daga cikin membobin EU. Ga masu karatu waɗanda ba fasaha ba, zan bayyana menene tushen takaddun shaida, yadda amincin intanet ya samo asali, da abin da Mataki na 45 ya yi ga wannan. Sannan zan haskaka wasu daga cikin sharhohin da masana fasahar ke yi kan wannan al'amari.
Sashe na gaba na wannan labarin zai bayyana yadda amintattun kayan aikin intanet ke aiki. Wannan bayanan yana da mahimmanci don fahimtar yadda labarin da aka tsara yake da tsattsauran ra'ayi. Bayanin an yi niyya ne don samun isa ga mai karatu mara fasaha.
Ka'idar da ake tambaya tana magance tsaron intanet. Anan, “internet” na nufin, galibi, masu bincike suna ziyartar gidajen yanar gizo. Tsaron Intanet ya ƙunshi bangarori daban-daban. Mataki na 45 yana nufin gyarawa Maɓalli na jama'a (PKI), wani ɓangare na tsaro na intanet tun tsakiyar shekarun 90s. An karɓi PKI da farko, sannan kuma an inganta shi cikin shekaru 25, don baiwa masu amfani da wallafe-wallafen tabbacin masu zuwa:
- Sirri na tattaunawa tsakanin mai lilo da gidan yanar gizon: Masu bincike da gidajen yanar gizo suna tattaunawa akan intanit, hanyar sadarwa ta hanyar sadarwa Masu ba da sabis na Intanet, Da kuma Masu ɗaukar mataki na 1; ko masu ɗaukar wayar salula idan na'urar ta hannu ce. Cibiyar sadarwar kanta ba ta da aminci kuma ba amintacce ba. Naku ISP na gida, matafiyi a falon filin jirgi inda kuke jiran jirgin ku, ko mai sayar da bayanai yana neman siyar yana kaiwa ga masu talla iya son yi muku leken asiri. Ba tare da wata kariya ba, mugun ɗan wasan zai iya duba bayanan sirri kamar kalmar sirri, ma'auni na katin kiredit, ko bayanin lafiya.
- Tabbatar cewa kun duba shafin daidai yadda gidan yanar gizon ya aika muku: Lokacin da kake duba shafin yanar gizon, shin an yi tabarbarewa tsakanin mawallafin da mai binciken ku? Masu tace bayanai na iya son cire abun ciki wanda basa son ka gani. Abun cikin da aka yiwa lakabi da "bayanan da ba daidai ba" an danne ko'ina a lokacin covid hysteria. Wani dan gwanin kwamfuta wanda ya sace katin kiredit na iya so ya cire shaidar zarginsu na yaudara.
- Tabbatar cewa gidan yanar gizon da kuke gani shine ainihin wanda ke cikin mashigin wurin mai lilo: Lokacin da ka haɗa da banki ta yaya za ka san cewa kana ganin gidan yanar gizon bankin, ba nau'i na karya ba mai kama da juna? Kuna duba sandar wuri a cikin burauzar ku. Shin za a iya yaudarar burauzarka ta nuna maka gidan yanar gizon karya wanda ya bayyana kama da na ainihi? Ta yaya mai binciken ku ya san - tabbas - cewa an haɗa shi da madaidaicin rukunin yanar gizon?
A farkon lokacin intanet, babu ɗayan waɗannan tabbacin da ya wanzu. A shekarar 2010, plugin ɗin mai binciken da ake samu a cikin kantin ƙara-kan ya baiwa mai amfani damar shiga tattaunawar rukunin Facebook na wani a cikin wurin cafe. Yanzu - godiya ga PKI, kuna iya tabbatar da waɗannan abubuwan.
Waɗannan fasalulluka na tsaro ana kiyaye su tare da tsarin bisa takaddun shaida na dijital. Takaddun shaida na dijital nau'i ne na ID - sigar intanet na lasisin tuƙi. Lokacin da mai lilo ya haɗu da rukunin yanar gizon, rukunin yanar gizon yana ba da takaddun shaida ga mai binciken. Takaddun shaida ya ƙunshi maɓallin ɓoye. Mai lilo da gidan yanar gizon suna aiki tare tare da jerin lissafin ƙididdiga don saita amintaccen sadarwa.
Tare, mai bincike da gidan yanar gizon suna ba da garantin tsaro guda uku:
- tsare sirri: ta hanyar ɓoye tattaunawar.
- sa hannun dijital na cryptographic: don tabbatar da hakan Ba a gyaggyara abun ciki a cikin jirgin.
- tabbatar da mawallafin: ta hanyar sarkar amana da PKI ta bayar, zan yi bayani dalla-dalla a kasa.
Kyakkyawan ainihi yakamata ya zama da wahala a yi jabu. A zamanin d duniya, wani kakin zuma simintin hatimi ya yi aiki da wannan manufa. Halaye na mutane sun dogara da na'urorin halitta. Fuskar ku tana ɗaya daga cikin tsofaffin siffofi. A cikin duniyar da ba ta dijital ba, lokacin da kuke buƙatar samun damar saiti mai iyakance shekaru, kamar yin odar abin sha, za a nemi ID ɗin hoto.
Wani biometric daga kafin zamanin dijital shine ya dace da sabon sa hannun alkalami da tawada akan sa hannun ku na asali a bayan ID na ku. Yayin da waɗannan tsofaffin nau'ikan na'urorin halitta suka zama masu sauƙi don yin jabu, tabbatar da shaidar ɗan adam ta daidaita. Yanzu, ya zama ruwan dare bankin ya aika maka da lambar tabbatarwa akan wayar hannu. Ƙa'idar tana buƙatar ka ƙaddamar da tantance shaidar mutum akan wayarka ta hannu don duba lambar kamar tantance fuska ko sawun yatsa.
Bugu da ƙari ga na'urar halitta, abu na biyu da ke tabbatar da amincin ID shine mai bayarwa. Tambayoyin da aka yarda da su sun dogara ne da ikon mai bayarwa don tabbatar da cewa wanda ke neman ID shine wanda suka ce shi ne. Yawancin nau'ikan ID da aka fi yarda da su ana bayar da su daga hukumomin gwamnati, kamar Sashen Motoci. Idan hukumar bayar da tallafi tana da amintattun hanyoyin bin diddigin su waye da kuma wuraren da al’amuranta suke, kamar biyan haraji, bayanan aikin yi, ko amfani da ayyukan samar da ruwa, to akwai kyakkyawar dama hukumar ta tabbatar da cewa wanda aka ambata a cikin ID din shi ne mutumin.
A cikin duniyar kan layi, gwamnatoci suna da, galibi, ba sa hannu a cikin tantancewa. Kamfanoni masu zaman kansu da aka fi sani da suna bayar da takaddun shaida hukumomin takardar shaida (CAs). Duk da yake takaddun shaida sun kasance masu tsada sosai, kudade sun ragu sosai har zuwa inda wasu suna da kyauta. Mafi sanannun CA sune Verisign, DigiCert da GoDaddy. Ryan Hurst ya nuna manyan CAs guda bakwai (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft, da IdenTrust) suna ba da 99% na duk takaddun shaida.
Mai binciken zai karɓi takaddun shaida a matsayin shaidar ainihi kawai idan filin suna a kan takardar shaidar ya yi daidai da sunan yankin, wanda mai binciken ya nuna a mashigin wurin. Ko da sunayen sun yi daidai, shin hakan ya tabbatar da cewa takardar shaidar tana cewa “apple.com” yana cikin kasuwancin masu amfani da lantarki da aka sani da Apple, Inc. zai iya samun ID na karya. Kamar ID na ɗan adam, takaddun shaida na dijital kuma na iya zama na karya, ko mara aiki saboda wasu dalilai. Injiniyan software da ke amfani da kayan aikin buɗe tushen kyauta na iya ƙirƙirar takaddun dijital mai suna “apple.com” tare da 'yan Linux umarni.
Tsarin PKI ya dogara da CAs don ba da kowane takaddun shaida ga mai gidan yanar gizon kawai. Tsarin aiki don siyan satifiket yana tafiya kamar haka:
- Mawallafin gidan yanar gizon ya shafi CA da suka fi so don takaddun shaida, don yanki.
- CA ta tabbatar da cewa buƙatar takardar shedar ta fito daga ainihin mai wannan rukunin yanar gizon. Ta yaya CA ta kafa wannan? CA na buƙatar mahaɗin da ke buƙatar buga takamaiman yanki na abun ciki akan takamaiman URL. Ikon yin wannan yana tabbatar da cewa mahaɗan yana da iko akan gidan yanar gizon.
- Da zarar gidan yanar gizon ya tabbatar da ikon mallakar yankin, CA yana ƙara a sa hannun dijital na cryptographic zuwa takardar shaidar tana amfani da maɓalli na sirri na sirri. Sa hannun ya bayyana CA a matsayin mai bayarwa.
- Ana isar da satifiket ɗin da aka sa hannu ga mutum ko ƙungiyar da ke yin buƙatar.
- Mawallafin suna shigar da takaddun shaida akan gidan yanar gizon su, don haka ana iya gabatar da shi ga masu bincike.
Sa hannun dijital na Cryptographic sune "tsarin lissafi don tabbatar da sahihancin saƙon dijital ko takaddun." Ba iri ɗaya bane da sa hannun daftarin aiki akan layi wanda DocuSign da masu siyar da makamantansu suka bayar. Idan za a iya ƙirƙira sa hannun, to takaddun shaida ba za su kasance amintacce ba. Tsawon lokaci girman maɓallan rubutun ya ƙaru da nufin sa jabun ya fi wahala. Masu bincike na Cryptography sun yi imanin cewa sa hannu na yanzu, a cikin sharuddan aiki, ba zai yuwu a ƙirƙira su ba. Wani rauni shine lokacin da CA ta sami satar maɓallan sirrinta. Barawon zai iya samar da ingantattun sa hannun CA.
Da zarar an shigar da takardar shaidar, to ana amfani da ita yayin saitin tattaunawar yanar gizo. The Register ya bayyana yadda hakan ke faruwa:
Idan sanannen CA mai kyau ne ya ba da takardar shedar, kuma duk cikakkun bayanai daidai ne, to an amince da rukunin yanar gizon, kuma mai binciken zai yi ƙoƙarin kafa amintacciyar hanyar haɗin yanar gizon don kada ayyukan ku tare da rukunin yanar gizon ba su ganuwa ga masu sauraran saƙon kan hanyar sadarwa. Idan CA wanda ba amintacce ne ya ba da takardar shaidar ba, ko kuma takardar shaidar ba ta dace da adireshin gidan yanar gizon ba, ko wasu cikakkun bayanai ba daidai ba ne, mai binciken zai ƙi gidan yanar gizon saboda damuwar cewa ba ya haɗawa da ainihin gidan yanar gizon da mai amfani yake so, kuma yana iya magana da mai kwaikwayi.
Za mu iya amincewa da mai bincike saboda mai binciken ya amince da gidan yanar gizon. Mai binciken ya amince da gidan yanar gizon saboda “sanann mai kyau” CA ne ya ba da takardar shaidar. Amma menene "sanannen kyau CA?" Yawancin masu bincike sun dogara da CAs da tsarin aiki ke bayarwa. Jerin amintattun CAs an yanke shawarar ta na'ura da masu siyar da software. Manyan masu siyar da kwamfuta da na'urori - Microsoft, Apple, masana'antun wayar Android, da masu rarraba Linux masu buɗewa - suna fara loda tsarin aiki akan na'urorinsu tare da saitin takaddun shaida.
Waɗannan takaddun shaida sun gano CAs ɗin da suka tantance kuma suna ɗaukan abin dogaro. Wannan tarin takaddun shaida ana kiransa “kantin dogara.” Don ɗaukar misali kusa da ni, Windows PC ɗin da nake amfani da shi don rubuta wannan yanki yana da takaddun tushe guda 70 a cikin Amintaccen Tushen Takaddun shaida. Shafin tallafi na Apple ya lissafa duk tushen da aka amince da sigar MacOS ta Saliyo.
Ta yaya kwamfuta da dillalan waya ke yanke shawarar waɗanne CAs ne amintacce? Suna da shirye-shiryen dubawa da bin doka don kimanta ingancin CAs. Wadanda suka wuce ne kawai aka hada. Dubi misali, Chrome browser (wanda ke ba da kantin amincewa da kansa maimakon amfani da wanda ke kan na'urar). EFF (wanda ke bayyana kanta a matsayin "babban ƙungiyar sa-kai da ke kare 'yancin ɗan adam a duniyar dijital") ya bayyana:
Masu bincike suna aiki da “tsare-tsare na tushen” don saka idanu kan tsaro da amincin CAs ɗin da suka amince da su. Waɗannan shirye-shiryen tushen suna ba da adadin buƙatu daban-daban daga “yadda dole ne a kiyaye kayan maɓalli” zuwa “yadda za a yi ingantaccen ikon sarrafa sunan yanki” zuwa “abin da dole ne a yi amfani da algorithms don sa hannun takardar shaidar.”
Bayan mai siyarwa ya karɓi CA, mai siyarwar ya ci gaba da sa ido akan sa. Masu siyarwa za su cire CAs daga kantin dogara idan CA ta kasa kiyaye ƙa'idodin tsaro masu mahimmanci. Hukumomin takaddun shaida na iya, kuma su yi, yin damfara, ko kasa saboda wasu dalilai. The Register rahotanni:
Takaddun shaida da CAs waɗanda ke ba su ba koyaushe amintattu ba ne kuma masu yin bincike tsawon shekaru sun cire takaddun tushen CA daga CAs da ke Turkiyya, Faransa, China, Kazakhstan, da sauran wurare lokacin da aka gano mahaɗan da ke ba da izini ko ƙungiyar da ke da alaƙa suna kutse zirga-zirgar yanar gizo.
A cikin 2022, mai bincike Ian Carroll ya ruwaito Damuwar tsaro tare da e-Tug takardar shaidar hukuma. Carroll "ya sami wasu batutuwa masu ban tsoro da ke damun ni game da ayyukan tsaro a cikin kamfaninsu," kamar rashin ƙarfi na ƙididdiga. Manyan dillalan software sun tabbatar da rahotannin Carroll. A sakamakon haka, e-Tugra ya kasance cire daga amintattun shagunan takaddun shaida.
The Lokacin gazawar Hukumar Takaddun shaida ya ba da labarin wasu irin waɗannan abubuwan.
Har yanzu akwai wasu sanannun ramuka a cikin PKI kamar yadda yake a halin yanzu. Domin wani batu na musamman yana da mahimmanci ga fahimtar eIDAS Mataki na 45, zan bayyana hakan na gaba. Amincewar CA ba ta keɓanta ga waɗannan gidajen yanar gizon da ke gudanar da kasuwancinsu tare da CA. Mai bincike zai karɓi takaddun shaida daga kowane amintaccen CA don kowane gidan yanar gizo. Babu wani abu da zai hana CA bayar da gidan yanar gizon ga wani mummunan dan wasan kwaikwayo wanda mai shafin bai nema ba. Irin wannan takardar shaidar za ta zama yaudara ta hanyar doka saboda wanda aka ba shi. Amma abubuwan da ke cikin takardar shaidar za su yi aiki da fasaha ta hanyar mai bincike.
Idan akwai hanyar haɗa kowane gidan yanar gizo tare da CA da aka fi so, to duk wani takaddun shaida na wannan rukunin yanar gizon daga kowane CA za a gane nan da nan azaman yaudara. Ƙaddamar da takaddun shaida wani ma'auni ne wanda ke ɗaukar mataki a wannan hanya. Amma ta yaya za a buga wannan ƙungiyar kuma ta yaya za a amince da mai shela?
A kowane nau'i na wannan tsari, hanyar fasaha ta dogara da tushen dogara na waje. Amma ta yaya aka kafa wannan amana? Ta hanyar dogaro da wani madaidaicin tushe akan babban jirgin sama na gaba? Wannan tambaya ta nuna "kunkuru, har zuwa kasa" yanayin matsalar PKI tana da kunkuru a ƙasa: suna, ganuwa, da bayyana gaskiyar masana'antar tsaro da abokan cinikinta. An gina aminci a wannan matakin ta hanyar sa ido akai-akai, buɗaɗɗen ƙa'idodi, masu haɓaka software, da CAs.
An ba da takaddun shaida na yaudara. A cikin 2013, ArsTechnica ya ruwaito Hukumar Faransa ta kama suna aikin takaddun shaida na SSL suna kwaikwayon Google:
A cikin 2011…masu binciken tsaro gano takardar shaidar bogi don Google.com wanda ya bai wa maharan damar yin koyi da sabis na saƙo na gidan yanar gizon da sauran abubuwan da ake bayarwa. An yi amfani da takardar shaidar jabu ne bayan da maharan suka soki tsaron DigiNotar na kasar Netherlands tare da samun ikon sarrafa tsarin bayar da takardar shedar.
Ingantacciyar takardar shaida ta sanya hannu ta hanyar lambobi ta hanyar lambobi masu aminci Layer sockets Layer (SSL).
Bayar da takardar shedar zamba na iya faruwa. Dan damfara CA na iya fitar da guda ɗaya, amma ba za su yi nisa ba. Za a gano mummunar takardar shaidar. Mummunan CA ba zai gaza shirye-shiryen yarda ba kuma za a cire shi daga shagunan amintattu. Ba tare da karɓa ba, CA zai fita daga kasuwanci. Tabbatar da Takaddun shaida, ƙayyadaddun ƙayyadaddun kwanan nan, yana ba da damar saurin gano takaddun shaida na yaudara.
Me yasa CA zata tafi dan damfara? Wace fa'ida mara kyau zai iya samu daga takardar shedar da ba ta da izini? Tare da takaddun shaida kadai, ba da yawa ba, koda lokacin da amintaccen CA ya sanya hannu. Amma idan mugun mutumin zai iya haɗa kai da ISP, ko in ba haka ba ya shiga hanyar sadarwar da mai binciken ke amfani da shi, takaddun shaida yana ba mugun ɗan wasan ikon karya duk tabbacin tsaro na PKI.
Hacker zai iya hawa a harin mutum-a-tsakiyar (MITM) akan tattaunawar. Maharin zai iya saka kansa a tsakanin mai binciken da ainihin gidan yanar gizon. A cikin wannan yanayin, mai amfani zai yi magana kai tsaye da maharin, kuma maharin zai watsa abubuwan da ke ciki gaba da gaba tare da ainihin gidan yanar gizon. Maharin zai gabatar da takardar shaidar zamba ga mai binciken. Domin amintaccen CA ne ya rattaba hannu, mai binciken zai karbe shi. Maharin zai iya dubawa har ma ya gyara abin da kowane bangare ya aika kafin daya bangaren ya karba.
Yanzu mun zo ga mugunyar eIDAS ta EU, Mataki na 45. Wannan ƙa'idar da aka tsara tana buƙatar duk masu bincike su amince da kwandon takaddun shaida daga CAs waɗanda EU ta keɓance. Ashirin da bakwai don zama daidai: ɗaya ga kowace ƙasa memba. Dole ne a kira waɗannan takaddun shaida Takaddun Takaddun Shaida na Yanar Gizon Yanar Gizo. Gagarancin "QWAC" yana da rashin tausayin homophone zuwa quackery - ko watakila EC tana zazzage mu.
Za a bayar da QWACs ko dai ta hukumomin gwamnati, ko abin da Michael Rectenwald ya kira gwamnatoci: "Kamfanoni da kamfanoni da sauran masu haɗin gwiwa na jihar waɗanda ake kira 'masu zaman kansu,' amma da gaske suna aiki a matsayin tsarin gwamnati, ta yadda suke aiwatar da labarun jihar kuma suna yin umarni."
Wannan makirci zai kawowa gwamnatocin EU mataki daya kusa da inda za su iya kai farmaki kan 'yan kasarsu daga tsaka-tsaki. Hakanan za su buƙaci shiga hanyoyin sadarwar. Gwamnatoci suna da damar yin hakan. Idan ana gudanar da ISP a matsayin kamfani na gwamnati, to da sun riga sun samu. Idan ISPs kamfanoni ne masu zaman kansu, to na gida hukumomi zai iya amfani da ikon 'yan sanda don samun dama.
Batu ɗaya wanda ba a nanata a cikin tattaunawar jama'a ba shine cewa ana buƙatar mai bincike a cikin kowace ƙasa memba na EU 27 ya karɓi kowane QWAC guda ɗaya, ɗaya daga kowane. Memba na EU. Wannan yana nufin cewa mai bincike a cikin, misali, Spain, dole ne ya amince da QWAC daga ƙungiyoyi a cikin Croatia, Finland, da Ostiriya. Mai amfani da Mutanen Espanya da ke ziyartar gidan yanar gizon Austrian dole ne ya wuce ta hanyar intanet na Austrian. Batutuwan da aka taso a sama duk za su yi aiki a cikin ƙasashen EU.
Register, a wani yanki mai suna Mummunan eIDAS: Turai tana shirye don shiga tsakani, leƙen asirin haɗin HTTPS ɗin ku ya bayyana hanya ɗaya wannan na iya aiki:
[T] hat gwamnati na iya tambayar CA abokantaka don kwafin [takardar QWAC] domin gwamnati ta iya kwaikwayon gidan yanar gizon - ko kuma ta nemi wasu masu binciken takaddun shaida za su amince da karɓar shafin. Don haka, ta yin amfani da harin mutum-mutumi, wannan gwamnati na iya kutsawa tare da ɓoye ɓoyayyen zirga-zirgar HTTPS tsakanin gidan yanar gizon da masu amfani da shi, ba da damar gwamnati ta sa ido kan ainihin abin da mutane ke yi da wannan rukunin a kowane lokaci.
Bayan shigar da garkuwar ɓoyewa, saka idanu na iya haɗawa da adana kalmomin sirri na masu amfani, sannan amfani da su a wani lokaci don shiga asusun imel na ƴan ƙasa. Baya ga saka idanu, gwamnatoci na iya canza abun ciki cikin layi. Misali, za su iya cire labaran da suke so su tantance. Suna iya haɗawa da ban haushi Nanny state fact checks da kuma gargadin abun ciki zuwa ra'ayoyin da ba su dace ba.
Kamar yadda abubuwa ke gudana a halin yanzu, CAs dole ne su kula da amincin al'ummar mai binciken. Masu bincike a halin yanzu suna gargaɗi mai amfani idan rukunin yanar gizon ya gabatar da takardar shedar ƙarewa ko akasin haka. Karkashin Mataki na 45, gargadi ko korar masu cin amana za a haramta. Ba wai kawai masu bincike ne aka wajabta amincewa da QWACs ba, amma Mataki na ashirin da 45 ya hana masu bincike nuna gargadin cewa takardar shaidar da QWAC ta sa hannu.
Dama na ƙarshe don eIDAS (wani gidan yanar gizon da ke nuna tambarin Mozilla) yana ba da shawara ga Mataki na 45:
Duk wata ƙasa memba ta EU tana da ikon zayyana maɓallan sirri don rarrabawa a cikin masu binciken gidan yanar gizo kuma an hana masu bincike soke amincewa da waɗannan maɓallan ba tare da izinin gwamnati ba.
...Babu wani bincike mai zaman kansa ko daidaito kan shawarar da kasashe mambobin kungiyar suka yanke dangane da makullan da suka ba da izini da kuma amfani da su. Wannan yana da ban tsoro musamman ganin cewa bin doka yana da ba uniform ba a duk ƙasashe membobin, tare da rubuce-rubucen misalai na tilastawa 'yan sandan sirri don dalilai na siyasa.
a wani buɗaɗɗen wasiƙa mai ɗaruruwan masu binciken tsaro da masana kimiyyar kwamfuta suka sa hannu:
Mataki na 45 kuma ya hana bincikar tsaro akan takaddun gidan yanar gizo na EU sai dai idan ƙa'ida ta ba da izini a kaikaice lokacin kafa hanyoyin haɗin yanar gizo masu ɓoye. Maimakon ƙayyadaddun ƙayyadaddun ƙayyadaddun matakan tsaro waɗanda dole ne a aiwatar da su azaman tushe, yadda ya kamata ya ƙayyadadden iyaka akan matakan tsaro waɗanda ba za a iya inganta su ba tare da izinin ETSI ba. Wannan ya ci karo da ingantattun ka'idoji na duniya inda aka haɓaka sabbin fasahohin tsaro ta yanar gizo tare da tura su don mayar da martani ga ci gaban da ke cikin fasaha.
Yawancinmu mun dogara ga dillalan mu don tantance jerin amintattun CAs. Koyaya, azaman mai amfani, zaku iya ƙara ko cire takaddun shaida kamar yadda kuke so akan na'urorin ku. Microsoft Windows yana da wani kayan aiki don yin wannan. A Linux, tushen takaddun shaida fayiloli ne da ke cikin kundi guda ɗaya. Ana iya rashin amincewa da CA ta hanyar share fayil ɗin. Shin wannan kuma za a haramta? Steve Gibson, masanin harkokin tsaro. columnist, kuma mai masaukin baki Tsaro Yanzu podcast mai tsayi tambaya:
Amma EU ta bayyana cewa za a buƙaci masu bincike su girmama waɗannan sabbin hukumomin takaddun shaida, waɗanda ba a tabbatar da su ba kuma ba a gwada su ba, don haka duk takaddun shaida da suka bayar, ba tare da togiya ba kuma ba tare da la'akari ba. Shin hakan yana nufin cewa misalin Firefox ɗina zai kasance bisa doka don ƙin yunƙurin cire waɗannan takaddun shaida?
Gibson ya lura cewa wasu kamfanoni suna aiwatar da irin wannan sa ido na ma'aikatan su a cikin hanyar sadarwar su masu zaman kansu. Ko menene ra'ayin ku game da waɗancan yanayin aiki, wasu masana'antu suna da ingantacciyar tantancewa da dalilai masu yarda don waƙa da yin rikodin abin da ma'aikatansu ke yi da albarkatun kamfani. Amma, kamar yadda Gibson ci gaba,
Matsalar ita ce EU da ƙasashe membobinta sun bambanta da ma'aikatan wata ƙungiya mai zaman kanta. A duk lokacin da ma'aikaci ba ya son a yi masa leƙen asiri, za su iya amfani da nasu wayoyin hannu don kewaya hanyar sadarwar mai aiki. Kuma ba shakka cibiyar sadarwar mai zaman kanta ta ma'aikata ita ce kawai, cibiyar sadarwa mai zaman kanta. EU na son yin hakan don duk Intanet ɗin jama'a wanda ba za a sami kubuta daga gare shi ba.
Yanzu mun kafa yanayin yanayin wannan tsari. Lokaci ya yi da za a yi tambaya, wadanne dalilai EC ta bayar don motsa wannan canji? EC ta ce tabbatar da shaidar asali a ƙarƙashin PKI bai isa ba. Kuma ana buƙatar waɗannan canje-canje don inganta shi.
Shin akwai gaskiya kan ikirarin EC? PKI na yanzu a mafi yawan lokuta kawai yana buƙatar buƙatar tabbatar da sarrafa gidan yanar gizon. Duk da yake wannan wani abu ne, baya bada garantin, alal misali, cewa mallakar gidan yanar gizon "apple.com" mallakin kamfanin lantarki ne na mabukaci da aka sani da Apple Inc, wanda ke da hedikwata a Cupertino, California. Mai amfani da mugunta zai iya samun ingantacciyar takardar shaida don yanki mai kama da na sananniyar kasuwanci. Za a iya amfani da ingantacciyar takardar shaidar a cikin harin da ya dogara ga wasu masu amfani da ba su da wahala su lura cewa sunan bai yi daidai ba. Wannan ya faru da Mai sarrafa biyan kuɗi Stripe.
Ga masu wallafe-wallafen da za su so su tabbatar wa duniya cewa haƙiƙanin haɗin gwiwa ɗaya ne, wasu CA sun bayar. Takaddun Takaddun Tabbatarwa (EV).. Bangaren “Extended” ya ƙunshi ƙarin tabbaci akan kasuwancin da kanta, kamar adireshin kasuwanci, lambar waya mai aiki, lasisin kasuwanci ko haɗawa, da sauran halaye na nuna damuwa. An jera EVs a wurin farashi mafi girma saboda suna buƙatar ƙarin aiki ta CA.
Masu bincike da aka yi amfani da su don nuna fitattun ra'ayoyin gani don EV, kamar launi daban-daban ko gunkin kulle mai ƙarfi. A cikin 'yan shekarun nan, EVs ba su kasance sananne musamman a kasuwa ba. Yawancin sun mutu a kashe. Yawancin masu bincike sun daina nuna bambancin ra'ayi.
Duk da raunin da har yanzu akwai, PKI ta inganta sosai a kan lokaci. Kamar yadda aka fahimci kurakurai, an magance su. An ƙarfafa algorithms na ƙididdiga, tsarin mulki ya inganta, kuma an toshe rashin ƙarfi. Mulki ta hanyar amincewar 'yan wasan masana'antu ya yi aiki sosai. Tsarin zai ci gaba da bunkasa, ta hanyar fasaha da kuma na hukuma. Ban da tsoma baki ta hanyar masu mulki, babu wani dalili da za a yi tsammani in ba haka ba.
Mun koya daga ƙarancin tarihin EVs cewa kasuwa ba ta damu sosai game da tabbatar da shaidar kamfani ba. Koyaya, idan masu amfani da intanit sun so hakan, ba zai buƙaci karya PKI ɗin da ke akwai don ba su ba. Wasu ƙananan tweaks zuwa ayyukan aiki na yanzu zasu wadatar. Wasu masu sharhi sun ba da shawarar yin gyara musafaha TLS; gidan yanar gizon zai gabatar da ƙarin takaddun shaida guda ɗaya. Takaddun shaida na farko zai yi aiki kamar yadda yake yanzu. Takaddun shaida na sakandare, wanda QWAC ya rattaba hannu, zai aiwatar da ƙarin ƙa'idodin shaidar da EC ta ce tana so.
Abubuwan da EC ta bayyana na eIDAS ba su da inganci. Ba wai kawai dalilan da aka ba su ba ne, EC ba ta damu da kukan da aka saba yi ba game da yadda dole ne mu sadaukar da muhimman yanci da sunan aminci saboda muna fuskantar babbar barazanar fataucin mutane, kare lafiyar yara, satar kuɗi, guje wa haraji, ko (abin da na fi so) canjin yanayi. Babu musun cewa EU tana mana hasken gas.
Idan EC ba ta da gaskiya game da ainihin manufarsu, to menene suke bi? Gibson gani mugun nufi:
Kuma akwai dalili guda ɗaya kawai mai yuwuwa a gare su suna son [don tilasta masu bincike su amince da QWACs], wanda shine ba da izinin shiga Intanet akan zirga-zirgar yanar gizo, daidai kamar yadda yake faruwa a cikin kamfanoni. Kuma an yarda da hakan.
(Abin da Gibson ke nufi da "tsakanin zirga-zirgar yanar gizo" shine harin MITM da aka kwatanta a sama.) Wasu sharhin ya nuna mummunar tasiri ga 'yancin magana da zanga-zangar siyasa. Hurst a cikin doguwar rubutu yana yin gardama mai zamewa:
Lokacin da dimokuradiyya mai sassaucin ra'ayi ta kafa irin wannan nau'in sarrafa fasaha a kan yanar gizo, duk da sakamakonsa, yana shimfida ginshiƙi ga ƙarin gwamnatoci masu kama da juna don yin koyi da shi ba tare da wani hukunci ba.
Mozilla nakalto a cikin techdirt (ba tare da hanyar haɗi zuwa asali ba) ya ce ƙari ko ƙasa da haka:
[F] tilasta masu bincike su amince da hukumomin takardar shedar gwamnati ta atomatik wata babbar dabara ce da gwamnatocin masu mulki ke amfani da su, kuma waɗannan ƴan wasan za su sami ƙarfin gwiwa ta hanyar halalta ayyukan EU…
Gibson yayi irin wannan kallo:
Sannan akwai ainihin abin kallon abin da wasu kofofin wannan ke buɗewa: Idan EU ta nuna wa sauran ƙasashen duniya cewa za ta iya yin nasarar aiwatar da sharuɗɗan amincewa ga masu binciken gidan yanar gizo masu zaman kansu da 'yan ƙasar ke amfani da su, menene wasu ƙasashe za su bi da irin wannan doka? Yanzu kowa zai buƙaci kawai a ƙara takaddun ƙasarsa. Wannan yana ɗaukar mu a daidai hanyar da ba ta dace ba.
Wannan Matakin Mataki na 45 hari ne kan sirrin mai amfani a cikin ƙasashen EU. Idan aka karbe shi, zai zama babban koma-baya ba kawai a harkar tsaro ta intanet ba, a’a a cikin tsarin da aka samu na mulki. Na yarda da Steve Gibson cewa:
Abin da ba a sani ba, kuma abin da ban ci karo da shi a ko'ina ba, shine bayanin hukumar da EU ke tunanin za ta iya ba da izini ga ƙira na wasu software na ƙungiyar. Domin wannan shi ne abin da wannan ya zo.
Martani ga abin da aka tsara a shafi na 45 ya kasance mara kyau sosai. Farashin EFF Mataki na 45 Zai Koma Tsaron Yanar Gizo da Shekaru 12 ya rubuta, "Wannan bala'i ne ga sirrin duk wanda ke amfani da intanet, amma musamman ga waɗanda ke amfani da intanet a cikin EU."
Yunkurin eIDAS wuta ce ta ƙararrawa huɗu ga jami'an tsaro. Mozilla – wanda ya yi buɗaɗɗen tushen burauzar gidan yanar gizon Firefox – ya buga wani Bayanin haɗin gwiwar masana'antu adawa da shi. Sanarwar ta sami sa hannun duk wani jerin taurari na kamfanonin samar da ababen more rayuwa na intanet ciki har da Mozilla kanta, Cloudflare, Fastly, da Linux Foundation.
Daga cikin bude wasika da aka ambata a sama:
Bayan karanta rubutu na kusa-karshe, mun damu sosai da rubutun da aka tsara don Mataki na ashirin da 45. Shawarwari na yanzu yana faɗaɗa ikon gwamnatoci don sa ido kan 'yan ƙasa da mazauna a duk faɗin EU ta hanyar samar musu da hanyoyin fasaha don kutse zirga-zirgar yanar gizo da aka ɓoye, da kuma lalata hanyoyin sa ido na yanzu da 'yan ƙasar Turai suka dogara.
Ina wannan ya tafi? An gabatar da tsarin na ɗan lokaci. An shirya yanke shawara ta ƙarshe don Nuwamba na 2023. Binciken yanar gizo ba ya nuna sabon bayani kan wannan batu tun lokacin.
A cikin waɗannan ƴan shekarun da suka gabata, sahihancin sa ido a kowane nau'i ya ƙaru. A lokacin hauka na covid, gwamnati da masana'antu sun haɗu don ƙirƙirar a cece-tuba-masana'antu hadaddun don inganta ingantaccen labarun karya da murkushe masu adawa. A cikin 'yan shekarun nan, masu shakku da muryoyin masu zaman kansu sun yi yaƙi da baya. a kotuna, kuma ta hanyar ƙirƙira ra'ayi - tsaka tsaki dandamali.
Yayin da tace magana ke ci gaba da zama babban haɗari, haƙƙin marubuta da ƴan jarida sun fi sauran haƙƙoƙi da yawa kariya. A cikin Amurka, da Kwaskwarimar Farko yana da kariya ta zahiri da kuma 'yancin sukar gwamnati. Kotuna na iya ganin cewa duk wani hakki ko yancin da ba a kiyaye shi ta takamaiman harshe na doka ba wasa ne mai adalci. Wannan na iya zama dalilin da ya sa juriya ta sami nasara a kan magana fiye da sauran ƙoƙarin dakatar da wasu cin zarafi na mulki kamar keɓe masu ciwo da kulle-kullen jama'a.
Maimakon abokan gaba da ke da cikakken tsaro, gwamnatoci suna jujjuya hare-haren su zuwa wasu nau'ikan abubuwan more rayuwa na intanet. Waɗannan sabis ɗin, kamar rajistar yanki, DNS, takaddun shaida, masu sarrafa biyan kuɗi, ɗaukar hoto, da shagunan app, sun ƙunshi galibin ma'amaloli masu zaman kansu na kasuwa. Waɗannan sabis ɗin ba su da kariya sosai fiye da magana saboda akwai, galibi, babu haƙƙin kowa don siyan takamaiman sabis daga wata kasuwanci ta musamman. Kuma ƙarin ayyukan fasaha irin su DNS da PKI ba su da fahimtar jama'a sosai fiye da buga yanar gizo.
Tsarin PKI yana da rauni musamman don kai hari saboda yana aiki ta hanyar suna da yarjejeniya. Babu wata hukuma da ke mulkin tsarin gaba ɗaya. Dole ne 'yan wasan su sami suna ta hanyar nuna gaskiya, bin ka'ida, da bayar da rahoton gazawar gaskiya. Kuma hakan ya sa ya zama mai rauni ga irin wannan harin da zai kawo cikas. Idan EU PKI ta fada hannun masu mulki, ina sa ran wasu kasashe za su bi. Ba wai kawai PKI ke cikin haɗari ba. Da zarar an tabbatar da cewa za a iya kai hari ga sauran sassan tari ta hanyar masu gudanarwa, za a yi niyya su ma.
-
Robert Blumen injiniyan software ne kuma mai watsa shirye-shiryen podcast wanda ke yin rubutu lokaci-lokaci game da batutuwan siyasa da tattalin arziki
Duba dukkan posts
