यूरोपीय संघ यूरोपीय लोगों के इंटरनेट उपयोग की जासूसी करना चाहता है

RSI यूरोपीय आयोग डिजिटल प्रौद्योगिकी पर नियामक प्राधिकरण वाला एक यूरोपीय संघ विधायी निकाय है। ईसी का ईआईडीएएस अनुच्छेद 45, एक प्रस्तावित विनियमन, जानबूझकर इंटरनेट सुरक्षा के क्षेत्रों को कमजोर करेगा जिन्हें उद्योग ने 25 वर्षों से अधिक समय से सावधानीपूर्वक विकसित और सख्त किया है। यह अनुच्छेद प्रभावी रूप से 27 यूरोपीय संघ सरकारों को इंटरनेट के उपयोग पर व्यापक रूप से विस्तारित निगरानी शक्तियाँ प्रदान करेगा। 

नियम के अनुसार सभी इंटरनेट ब्राउज़रों को यूरोपीय संघ के प्रत्येक सदस्य देश की प्रत्येक राष्ट्रीय सरकार से एक एजेंसी (या एक विनियमित इकाई) से अतिरिक्त रूट प्रमाणपत्र पर भरोसा करना होगा। गैर-तकनीकी पाठकों के लिए, मैं समझाऊंगा कि रूट प्रमाणपत्र क्या है, इंटरनेट ट्रस्ट कैसे विकसित हुआ है, और अनुच्छेद 45 इस पर क्या करता है। और फिर मैं इस मामले पर तकनीकी समुदाय की कुछ टिप्पणियों पर प्रकाश डालूँगा। 

इस लेख का अगला भाग समझाएगा कि इंटरनेट का ट्रस्ट इंफ्रास्ट्रक्चर कैसे काम करता है। यह पृष्ठभूमि यह समझने के लिए आवश्यक है कि प्रस्तावित अनुच्छेद कितना क्रांतिकारी है। स्पष्टीकरण का उद्देश्य गैर-तकनीकी पाठक के लिए सुलभ होना है।

विचाराधीन विनियमन इंटरनेट सुरक्षा को संबोधित करता है। यहां, "इंटरनेट" का अर्थ है, मोटे तौर पर, वेबसाइटों पर जाने वाले ब्राउज़र। इंटरनेट सुरक्षा में कई विशिष्ट पहलू शामिल हैं। अनुच्छेद 45 में संशोधन का इरादा है सार्वजनिक कुंजी अवसंरचना (पीकेआई), 90 के दशक के मध्य से इंटरनेट सुरक्षा का एक हिस्सा। उपयोगकर्ताओं और प्रकाशकों को निम्नलिखित आश्वासन देने के लिए पीकेआई को पहले अपनाया गया और फिर 25 साल की अवधि में इसमें सुधार किया गया: 

• ब्राउज़र और वेबसाइट के बीच बातचीत की गोपनीयता: ब्राउज़र और वेबसाइट इंटरनेट पर बातचीत करते हैं, जो नेटवर्कों का एक नेटवर्क संचालित होता है इंटरनेट सेवा प्रदाता, तथा टियर 1 वाहक, या सेलुलर वाहक यदि डिवाइस मोबाइल है. नेटवर्क स्वयं स्वाभाविक रूप से सुरक्षित या भरोसेमंद नहीं है। आपका नासमझ होम आईएसपी, हवाई अड्डे के लाउंज में एक यात्री जहां आप अपनी उड़ान की प्रतीक्षा कर रहे हैं, या एक डेटा विक्रेता विज्ञापनदाताओं को लीड बेचना चाहता है शायद आपकी जासूसी करना चाहता हो. बिना किसी सुरक्षा के, एक बुरा अभिनेता गोपनीय डेटा जैसे पासवर्ड, क्रेडिट कार्ड बैलेंस या स्वास्थ्य जानकारी देख सकता है। 
• गारंटी दें कि आप पृष्ठ को ठीक उसी प्रकार देखेंगे जिस प्रकार वेबसाइट ने आपको भेजा है: जब आप कोई वेब पेज देखते हैं, तो क्या प्रकाशक और आपके ब्राउज़र के बीच इसके साथ छेड़छाड़ की जा सकती है? हो सकता है कि सेंसर उस सामग्री को हटाना चाहे जो वे नहीं चाहते कि आप देखें। कोविड उन्माद के दौरान "गलत सूचना" के रूप में लेबल की गई सामग्री को व्यापक रूप से दबा दिया गया था। एक हैकर जिसने आपका क्रेडिट कार्ड चुराया था, वह शायद अपने धोखाधड़ी के आरोपों के सबूत हटाना चाहता हो। 
• गारंटी दें कि जो वेबसाइट आप देख रहे हैं वह वास्तव में ब्राउज़र के लोकेशन बार में मौजूद वेबसाइट ही है: जब आप किसी बैंक से जुड़ते हैं तो आपको कैसे पता चलता है कि आप उस बैंक की वेबसाइट देख रहे हैं, न कि कोई नकली संस्करण जो समान दिखता है? आप अपने ब्राउज़र में लोकेशन बार जांचें। क्या आपके ब्राउज़र को आपको एक नकली वेबसाइट दिखाने के लिए धोखा दिया जा सकता है जो वास्तविक वेबसाइट के समान दिखाई देती है? आपके ब्राउज़र को कैसे पता चलता है - निश्चित रूप से - कि वह सही साइट से जुड़ा है? 

इंटरनेट के शुरुआती दिनों में, इनमें से कोई भी आश्वासन मौजूद नहीं था। 2010 में, ऐड-ऑन स्टोर में एक ब्राउज़र प्लगइन उपलब्ध है उपयोगकर्ता को कैफे हॉटस्पॉट में किसी अन्य के फेसबुक समूह चैट में भाग लेने में सक्षम बनाया। अब - पीकेआई को धन्यवाद, आप इन चीज़ों के बारे में पूरी तरह आश्वस्त हो सकते हैं। 

इन सुरक्षा सुविधाओं को एक सिस्टम के आधार पर संरक्षित किया जाता है डिजिटल प्रमाण पत्र. डिजिटल प्रमाणपत्र आईडी का एक रूप है - ड्राइवर लाइसेंस का इंटरनेट संस्करण। जब कोई ब्राउज़र किसी साइट से कनेक्ट होता है, तो साइट ब्राउज़र को एक प्रमाणपत्र प्रस्तुत करती है। प्रमाणपत्र में एक क्रिप्टोग्राफ़िक कुंजी होती है. सुरक्षित संचार स्थापित करने के लिए ब्राउज़र और वेबसाइट क्रिप्टोग्राफ़िक गणनाओं की एक श्रृंखला के साथ मिलकर काम करते हैं।

ब्राउज़र और वेबसाइट मिलकर तीन सुरक्षा गारंटी प्रदान करते हैं:

• एकांत: बातचीत को एन्क्रिप्ट करके.
• क्रिप्टोग्राफ़िक डिजिटल हस्ताक्षर: यह सुनिश्चित करने के लिए उड़ान में सामग्री को संशोधित नहीं किया गया है. 
• प्रकाशक का सत्यापन: पीकेआई द्वारा प्रदान की गई विश्वास की श्रृंखला के माध्यम से, मैं नीचे और अधिक विस्तार से बताऊंगा। 

एक अच्छी पहचान की नकल करना कठिन होना चाहिए। प्राचीन दुनिया में, एक मुहर की मोम की ढलाई इस उद्देश्य की पूर्ति की। इंसानों की पहचान बायोमेट्रिक्स पर निर्भर रही है। आपका चेहरा सबसे पुराने रूपों में से एक है। गैर-डिजिटल दुनिया में, जब आपको उम्र-प्रतिबंधित सेटिंग तक पहुंचने की आवश्यकता होती है, जैसे कि मादक पेय का ऑर्डर करना, तो आपसे एक फोटो आईडी मांगी जाएगी।

डिजिटल युग से पहले का एक अन्य बायोमेट्रिक आपके नए पेन-और-स्याही हस्ताक्षर को आपकी आईडी के पीछे आपके मूल हस्ताक्षर से मिलान करना था। जैसे-जैसे इन पुराने प्रकार के बायोमेट्रिक्स को नकली बनाना आसान हो गया है, मानव पहचान सत्यापन को अनुकूलित किया गया है। अब, किसी बैंक द्वारा आपके मोबाइल पर एक सत्यापन कोड भेजना आम बात है। ऐप के लिए आपको चेहरे की पहचान या अपने फिंगरप्रिंट जैसे कोड को देखने के लिए अपने मोबाइल फोन पर बायोमेट्रिक पहचान जांच पास करनी होगी। 

बायोमेट्रिक के अलावा, आईडी को भरोसेमंद बनाने वाला दूसरा कारक जारीकर्ता है। जिन आईडी को व्यापक रूप से स्वीकार किया जाता है, वे जारीकर्ता की यह सत्यापित करने की क्षमता पर निर्भर करते हैं कि आईडी के लिए आवेदन करने वाला व्यक्ति वही है जो वे कहते हैं। आईडी के अधिकांश अधिक व्यापक रूप से स्वीकृत फॉर्म मोटर वाहन विभाग जैसी सरकारी एजेंसियों द्वारा जारी किए जाते हैं। यदि जारी करने वाली एजेंसी के पास यह ट्रैक करने के विश्वसनीय साधन हैं कि उसके विषय कौन और कहां हैं, जैसे कि कर भुगतान, रोजगार रिकॉर्ड, या जल उपयोगिता सेवाओं का उपयोग, तो एक अच्छा मौका है कि एजेंसी यह सत्यापित कर सकती है कि आईडी पर नामित व्यक्ति कौन है उस व्यक्ति।

ऑनलाइन दुनिया में, अधिकांश भाग में, सरकारें पहचान सत्यापन में स्वयं शामिल नहीं होती हैं। प्रमाणपत्र निजी क्षेत्र की फर्मों द्वारा जारी किए जाते हैं जिन्हें कहा जाता है प्रमाणपत्र प्राधिकारी (सी.ए.) जबकि प्रमाणपत्र काफी महंगे हुआ करते थे, अब फीस काफी कम हो गई है कुछ मुफ़्त हैं. सबसे प्रसिद्ध सीए वेरीसाइन, डिजीसर्ट और गोडैडी हैं। रयान हर्स्ट दिखाता है सात प्रमुख CA (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft, और IdenTrust) सभी प्रमाणपत्रों का 99% जारी करते हैं।

ब्राउज़र किसी प्रमाणपत्र को पहचान के प्रमाण के रूप में तभी स्वीकार करेगा जब प्रमाणपत्र पर नाम फ़ील्ड डोमेन नाम से मेल खाता हो, जिसे ब्राउज़र स्थान बार में दिखाता है। भले ही नाम मेल खाते हों, क्या इससे यह साबित होता है कि प्रमाणपत्र में कहा गया है कि "apple.com“एप्पल, इंक. के नाम से जाने जाने वाले उपभोक्ता इलेक्ट्रॉनिक्स व्यवसाय से संबंधित है? नहीं, पहचान प्रणालियाँ बुलेटप्रूफ़ नहीं हैं। कम उम्र में शराब पीने वाले फर्जी आईडी मिल सकती है. मानव आईडी की तरह, डिजिटल प्रमाणपत्र भी नकली या अन्य कारणों से अमान्य हो सकते हैं। एक सॉफ्टवेयर इंजीनियर फ्री ओपन सोर्स टूल का उपयोग करके "apple.com" नामक एक डिजिटल प्रमाणपत्र बना सकता है कुछ लिनक्स कमांड. 

पीकेआई प्रणाली केवल वेबसाइट के मालिक को कोई प्रमाणपत्र जारी करने के लिए सीए पर निर्भर करती है। प्रमाणपत्र प्राप्त करने का कार्यप्रवाह इस प्रकार है:

1. किसी वेबसाइट का प्रकाशक किसी डोमेन के लिए प्रमाणपत्र के लिए अपने पसंदीदा सीए पर आवेदन करता है। 
2. सीए सत्यापित करता है कि प्रमाणपत्र अनुरोध उस साइट के वास्तविक मालिक से आया है। सीए इसे कैसे स्थापित करता है? सीए की मांग है कि अनुरोध करने वाली इकाई एक विशिष्ट यूआरएल पर सामग्री का एक विशिष्ट टुकड़ा प्रकाशित करे। ऐसा करने की क्षमता साबित करती है कि इकाई का वेबसाइट पर नियंत्रण है।
3. एक बार जब वेबसाइट डोमेन पर स्वामित्व साबित कर देती है, तो सीए एक जोड़ देता है क्रिप्टोग्राफ़िक डिजिटल हस्ताक्षर प्रमाणपत्र के लिए अपनी निजी क्रिप्टोग्राफ़िक कुंजी का उपयोग करता है। हस्ताक्षर सीए को जारीकर्ता के रूप में पहचानता है। 
4. हस्ताक्षरित प्रमाणपत्र अनुरोध करने वाले व्यक्ति या संस्था को भेज दिया जाता है। 
5. प्रकाशक अपना प्रमाणपत्र अपनी वेबसाइट पर स्थापित करता है, ताकि इसे ब्राउज़रों के सामने प्रस्तुत किया जा सके। 

क्रिप्टोग्राफ़िक डिजिटल हस्ताक्षर "डिजिटल संदेशों या दस्तावेजों की प्रामाणिकता को सत्यापित करने के लिए एक गणितीय योजना है।" वे DocuSign और इसी तरह के विक्रेताओं द्वारा प्रदान किए गए ऑनलाइन दस्तावेज़ पर हस्ताक्षर के समान नहीं हैं। यदि हस्ताक्षर जाली हो सकते हैं तो प्रमाणपत्र विश्वसनीय नहीं होंगे। समय के साथ जालसाजी को और अधिक कठिन बनाने के उद्देश्य से क्रिप्टोग्राफ़िक कुंजियों का आकार बढ़ गया है। क्रिप्टोग्राफी शोधकर्ताओं का मानना ​​है कि वर्तमान हस्ताक्षर, व्यावहारिक रूप से, बनाना असंभव है। एक और भेद्यता तब होती है जब सीए की गुप्त चाबियाँ चोरी हो जाती हैं। इसके बाद चोर उस सीए के वैध हस्ताक्षर प्रस्तुत कर सका। 

एक बार प्रमाणपत्र स्थापित हो जाने के बाद, इसका उपयोग वेब वार्तालाप के सेटअप के दौरान किया जाता है। RSI रजिस्टर करें बताते हैं वह कैसे होता है:

यदि प्रमाणपत्र किसी ज्ञात अच्छे सीए द्वारा जारी किया गया था, और सभी विवरण सही हैं, तो साइट विश्वसनीय है, और ब्राउज़र वेबसाइट के साथ एक सुरक्षित, एन्क्रिप्टेड कनेक्शन स्थापित करने का प्रयास करेगा ताकि साइट के साथ आपकी गतिविधि दिखाई न दे। नेटवर्क पर एक गुप्तचर के लिए। यदि प्रमाणपत्र किसी गैर-विश्वसनीय सीए द्वारा जारी किया गया था, या प्रमाणपत्र वेबसाइट के पते से मेल नहीं खाता है, या कुछ विवरण गलत हैं, तो ब्राउज़र इस चिंता से वेबसाइट को अस्वीकार कर देगा कि यह उस वास्तविक वेबसाइट से कनेक्ट नहीं हो रही है जिसे उपयोगकर्ता चाहता है , और हो सकता है कि वह किसी प्रतिरूपणकर्ता से बात कर रहा हो।

हम ब्राउज़र पर भरोसा कर सकते हैं क्योंकि ब्राउज़र वेबसाइट पर भरोसा करता है। ब्राउज़र वेबसाइट पर भरोसा करता है क्योंकि प्रमाणपत्र एक "ज्ञात अच्छे" सीए द्वारा जारी किया गया था। लेकिन एक "ज्ञात अच्छा सीए" क्या है? अधिकांश ब्राउज़र ऑपरेटिंग सिस्टम द्वारा प्रदान किए गए CA पर निर्भर करते हैं। भरोसेमंद सीए की सूची डिवाइस और सॉफ्टवेयर विक्रेताओं द्वारा तय की जाती है। प्रमुख कंप्यूटर और डिवाइस विक्रेता - माइक्रोसॉफ्ट, ऐप्पल, एंड्रॉइड फोन निर्माता और ओपन सोर्स लिनक्स वितरक - रूट सर्टिफिकेट के सेट के साथ अपने डिवाइस पर ऑपरेटिंग सिस्टम को प्रीलोड करते हैं।

ये प्रमाणपत्र उन सीए की पहचान करते हैं जिनकी उन्होंने जांच की है और उन्हें विश्वसनीय मानते हैं। रूट प्रमाणपत्रों के इस संग्रह को "ट्रस्ट स्टोर" कहा जाता है। मेरे करीब एक उदाहरण लेने के लिए, जिस विंडोज पीसी का उपयोग मैं इस टुकड़े को लिखने के लिए कर रहा हूं, उसके ट्रस्टेड रूट सर्टिफिकेट स्टोर में 70 रूट सर्टिफिकेट हैं। Apple की सहायता साइट MacOS के सिएरा संस्करण द्वारा विश्वसनीय सभी जड़ों को सूचीबद्ध करता है. 

कंप्यूटर और फोन विक्रेता कैसे तय करते हैं कि कौन से सीए भरोसेमंद हैं? सीए की गुणवत्ता का मूल्यांकन करने के लिए उनके पास ऑडिट और अनुपालन कार्यक्रम हैं। जो पास होते हैं उन्हें ही शामिल किया जाता है। उदाहरण के लिए देखें, क्रोम ब्राउज़र (जो डिवाइस पर किसी का उपयोग करने के बजाय अपना स्वयं का ट्रस्ट स्टोर प्रदान करता है)। ईएफएफ (जो खुद को "डिजिटल दुनिया में नागरिक स्वतंत्रता की रक्षा करने वाला अग्रणी गैर-लाभकारी संगठन" बताता है।) बताते हैं:

ब्राउज़र जिन सीए पर भरोसा करते हैं उनकी सुरक्षा और विश्वसनीयता की निगरानी के लिए "रूट प्रोग्राम" संचालित करते हैं। वे रूट प्रोग्राम "मुख्य सामग्री को कैसे सुरक्षित किया जाना चाहिए" से लेकर "डोमेन नाम नियंत्रण का सत्यापन कैसे किया जाना चाहिए" से लेकर "प्रमाण पत्र पर हस्ताक्षर करने के लिए किस एल्गोरिदम का उपयोग किया जाना चाहिए" जैसी कई आवश्यकताओं को लागू करते हैं।

किसी विक्रेता द्वारा सीए को स्वीकार किए जाने के बाद, विक्रेता इसकी निगरानी करना जारी रखता है। यदि सीए आवश्यक सुरक्षा मानकों को बनाए रखने में विफल रहता है तो विक्रेता सीए को ट्रस्ट स्टोर से हटा देंगे। प्रमाणपत्र अधिकारी अन्य कारणों से गलत हो सकते हैं, और असफल हो सकते हैं। RSI रजिस्टर करें रिपोर्टों:

प्रमाणपत्र और उन्हें जारी करने वाले सीए हमेशा भरोसेमंद नहीं होते हैं और ब्राउज़र निर्माताओं ने पिछले कुछ वर्षों में तुर्की, फ्रांस, चीन, कजाकिस्तान और अन्य जगहों पर स्थित सीए से सीए रूट प्रमाणपत्र हटा दिए हैं, जब जारी करने वाली संस्था या संबंधित पार्टी को वेब को इंटरसेप्ट करते हुए पाया गया था। ट्रैफ़िक। 

2022 में शोधकर्ता इयान कैरोल ने बताया ई-तुगरा प्रमाणपत्र प्राधिकरण के साथ सुरक्षा संबंधी चिंताएँ. कैरोल को "कई चिंताजनक मुद्दे मिले जो मुझे उनकी कंपनी के अंदर सुरक्षा प्रथाओं के बारे में चिंतित करते हैं," जैसे कमजोर साख। कैरोल की रिपोर्टों को प्रमुख सॉफ़्टवेयर विक्रेताओं द्वारा सत्यापित किया गया था। परिणामस्वरूप, ई-तुगरा था उनके विश्वसनीय प्रमाणपत्र भंडार से हटा दिया गया. 

RSI प्रमाणपत्र प्राधिकारी विफलताओं की समयरेखा ऐसी अन्य घटनाओं के बारे में बताते हैं. 

पीकेआई में अभी भी कुछ ज्ञात खामियाँ हैं जैसा कि यह वर्तमान में मौजूद है। चूँकि eIDAS अनुच्छेद 45 को समझने के लिए एक विशेष मुद्दा महत्वपूर्ण है, मैं उसे आगे समझाऊंगा। एक सीए के भरोसे का दायरा उन वेबसाइटों तक नहीं है जो उस सीए के साथ अपना व्यवसाय संचालित करती हैं। एक ब्राउज़र किसी भी वेबसाइट के लिए किसी भी विश्वसनीय सीए से प्रमाणपत्र स्वीकार करेगा। सीए को किसी खराब अभिनेता को ऐसी वेबसाइट जारी करने से कोई नहीं रोक सकता जिसके लिए साइट के मालिक ने अनुरोध नहीं किया था। ऐसा प्रमाणपत्र कानूनी दृष्टि से कपटपूर्ण होगा क्योंकि यह किसे जारी किया गया है। लेकिन प्रमाणपत्र की सामग्री ब्राउज़र के दृष्टिकोण से तकनीकी रूप से मान्य होगी। 

यदि प्रत्येक वेबसाइट को उसके पसंदीदा सीए के साथ जोड़ने का कोई तरीका होता, तो उस साइट के लिए किसी अन्य सीए से प्राप्त कोई भी प्रमाणपत्र तुरंत धोखाधड़ी के रूप में पहचाना जाता। प्रमाणपत्र पिन करना एक और मानक है जो इस दिशा में एक कदम उठाता है। लेकिन उस संस्था का प्रकाशन कैसे होगा और उस प्रकाशक पर कैसे भरोसा किया जाएगा? 

इस प्रक्रिया की प्रत्येक परत पर, तकनीकी समाधान विश्वास के बाहरी स्रोत पर निर्भर करता है। लेकिन वह भरोसा स्थापित कैसे होता है? अगले उच्चतर स्तर पर और भी अधिक विश्वसनीय स्रोत पर भरोसा करके? यह प्रश्न दर्शाता है "कछुए, सभी तरह से नीचे"समस्या की प्रकृति. पीकेआई में सबसे नीचे एक कछुआ है: सुरक्षा उद्योग और उसके ग्राहकों की प्रतिष्ठा, दृश्यता और पारदर्शिता। इस स्तर पर निरंतर निगरानी, ​​खुले मानकों, सॉफ्टवेयर डेवलपर्स और सीए के माध्यम से विश्वास बनाया जाता है। 

फर्जी प्रमाणपत्र जारी किये गये हैं. 2013 में, ArsTechnica ने रिपोर्ट दी फ्रांसीसी एजेंसी को Google की नकल करके SSL प्रमाणपत्र बनाते हुए पकड़ा गया:

2011 में...सुरक्षा शोधकर्ता Google.com के लिए एक फर्जी प्रमाणपत्र देखा गया इससे हमलावरों को वेबसाइट की मेल सेवा और अन्य पेशकशों का प्रतिरूपण करने की क्षमता मिल गई। हमलावरों द्वारा नीदरलैंड स्थित डिजीनोटार की सुरक्षा में सेंध लगाने और उसके प्रमाणपत्र जारी करने वाले सिस्टम पर नियंत्रण हासिल करने के बाद नकली प्रमाणपत्र तैयार किया गया था।

सुरक्षित सॉकेट लेयर (एसएसएल) क्रेडेंशियल्स को एक वैध प्रमाणपत्र प्राधिकारी द्वारा डिजिटल रूप से हस्ताक्षरित किया गया था...वास्तव में, प्रमाणपत्र अनधिकृत डुप्लिकेट थे जो ब्राउज़र निर्माताओं और प्रमाणपत्र प्राधिकारी सेवाओं द्वारा स्थापित नियमों के उल्लंघन में जारी किए गए थे।

फर्जी प्रमाणपत्र जारी हो सकता है. एक दुष्ट सीए इसे जारी कर सकता है, लेकिन वे ज्यादा दूर तक नहीं पहुंच पाएंगे। खराब प्रमाणपत्र का पता चल जाएगा। खराब सीए अनुपालन कार्यक्रमों को विफल कर देगा और ट्रस्ट स्टोर से हटा दिया जाएगा। स्वीकृति के बिना, सीए व्यवसाय से बाहर हो जाएगा। प्रमाण पत्र पारदर्शिता, एक नवीनतम मानक, धोखाधड़ी वाले प्रमाणपत्रों का अधिक तेजी से पता लगाने में सक्षम बनाता है। 

एक सीए दुष्ट क्यों बनेगा? अनधिकृत प्रमाणपत्र से बुरे व्यक्ति को क्या लाभ हो सकता है? अकेले प्रमाणपत्र के साथ, ज़्यादा नहीं, यहां तक ​​कि किसी विश्वसनीय सीए द्वारा हस्ताक्षरित होने पर भी। लेकिन अगर बुरा आदमी आईएसपी के साथ टीम बना सकता है, या अन्यथा ब्राउज़र द्वारा उपयोग किए जाने वाले नेटवर्क तक पहुंच सकता है, तो प्रमाणपत्र बुरे अभिनेता को पीकेआई की सभी सुरक्षा गारंटी को तोड़ने की क्षमता देता है। 

हैकर माउंट कर सकता है मैन-इन-द-मिडिल अटैक (MITM) बातचीत पर. हमलावर खुद को ब्राउज़र और वास्तविक वेबसाइट के बीच में डाल सकता है। इस परिदृश्य में, उपयोगकर्ता सीधे हमलावर से बात कर रहा होगा, और हमलावर वास्तविक वेबसाइट के साथ सामग्री को आगे-पीछे रिले करेगा। हमलावर ब्राउज़र पर धोखाधड़ी प्रमाणपत्र प्रस्तुत करेगा। क्योंकि यह एक विश्वसनीय सीए द्वारा हस्ताक्षरित था, ब्राउज़र इसे स्वीकार करेगा। हमलावर किसी भी पक्ष द्वारा भेजे गए संदेश को दूसरे पक्ष के प्राप्त करने से पहले देख सकता है और संशोधित भी कर सकता है।

अब हम ईयू के भयावह ईआईडीएएस, अनुच्छेद 45 पर आते हैं। इस प्रस्तावित विनियमन के लिए सभी ब्राउज़रों को ईयू द्वारा नामित सीए से प्रमाणपत्रों की एक टोकरी पर भरोसा करने की आवश्यकता है। सटीक कहें तो सत्ताईस: प्रत्येक सदस्य राष्ट्र के लिए एक। इन प्रमाणपत्रों को मंगाया जाना है योग्य वेबसाइट प्रमाणीकरण प्रमाणपत्र. संक्षिप्त नाम "QWAC" का एक दुर्भाग्यपूर्ण होमोफोन है मिथ्या चिकित्सालय - या शायद चुनाव आयोग हमें ट्रोल कर रहा है।

QWACs या तो सरकारी एजेंसियों द्वारा जारी किए जाएंगे, या जिसे माइकल रेक्टेनवाल्ड कहते हैं सरकारी व्यवस्थाएँ: "निगम और कंपनियां और राज्य के अन्य सहायक जिन्हें अन्यथा 'निजी' कहा जाता है, लेकिन वास्तव में वे राज्य तंत्र के रूप में काम कर रहे हैं, जिसमें वे राज्य के आख्यानों और आदेशों को लागू कर रहे हैं।" 

यह योजना यूरोपीय संघ की सदस्य सरकारों को उस बिंदु के एक कदम करीब लाएगी जहां वे अपने ही नागरिकों के खिलाफ बीच-बीच में हमला कर सकते हैं। उन्हें नेटवर्क तक पहुंचने की भी आवश्यकता होगी। सरकारें ऐसा करने की स्थिति में हैं। यदि आईएसपी को राज्य के स्वामित्व वाले उद्यम के रूप में चलाया जाता है, तो यह उनके पास पहले से ही होगा। यदि आईएसपी निजी फर्म हैं, तो स्थानीय प्राधिकारी पहुँच प्राप्त करने के लिए पुलिस शक्तियों का उपयोग कर सकता है। 

एक बिंदु जिस पर सार्वजनिक बातचीत में जोर नहीं दिया गया है वह यह है कि 27 यूरोपीय संघ के सदस्य देशों में से किसी में भी ब्राउज़र को प्रत्येक QWAC को स्वीकार करना होगा, प्रत्येक में से एक ईयू सदस्य. इसका मतलब यह है कि उदाहरण के लिए, स्पेन के ब्राउज़र को क्रोएशिया, फ़िनलैंड और ऑस्ट्रिया की इकाइयों के QWAC पर भरोसा करना होगा। ऑस्ट्रियाई वेबसाइट पर जाने वाले स्पेनिश उपयोगकर्ता को इंटरनेट के ऑस्ट्रियाई हिस्सों पर पारगमन करना होगा। ऊपर उठाए गए मुद्दे यूरोपीय संघ के सभी देशों पर लागू होंगे। 

रजिस्टर, शीर्षक वाले एक अंश में ख़राब eIDAS: यूरोप आपके एन्क्रिप्टेड HTTPS कनेक्शन को रोकने, जासूसी करने के लिए तैयार है यह काम करने का एक तरीका बताता है:

[टी] सरकार अपने मित्र सीए से [क्यूडब्ल्यूएसी] प्रमाणपत्र की एक प्रति मांग सकती है ताकि सरकार वेबसाइट का प्रतिरूपण कर सके - या कुछ अन्य प्रमाणपत्र मांग सकती है जिन पर ब्राउज़र भरोसा करेंगे और साइट के लिए स्वीकार करेंगे। इस प्रकार, एक मैन-इन-द-मिडिल हमले का उपयोग करके, वह सरकार वेबसाइट और उसके उपयोगकर्ताओं के बीच एन्क्रिप्टेड HTTPS ट्रैफ़िक को रोक और डिक्रिप्ट कर सकती है, जिससे शासन को यह निगरानी करने की अनुमति मिलती है कि लोग किसी भी समय उस साइट के साथ क्या कर रहे हैं।

एन्क्रिप्शन की ढाल में प्रवेश करने के बाद, निगरानी में उपयोगकर्ताओं के पासवर्ड को सहेजना और फिर नागरिकों के ईमेल खातों तक पहुंचने के लिए किसी अन्य समय उनका उपयोग करना शामिल हो सकता है। निगरानी के अलावा, सरकारें सामग्री को इनलाइन संशोधित कर सकती हैं। उदाहरण के लिए, वे उन आख्यानों को हटा सकते हैं जिन्हें वे सेंसर करना चाहते हैं। वे कष्टप्रद संलग्न कर सकते हैं नानी राज्य तथ्य जाँच और सामग्री चेतावनियाँ असहमतिपूर्ण राय के लिए.

वर्तमान स्थिति में, सीए को ब्राउज़र समुदाय का विश्वास बनाए रखना चाहिए। यदि कोई साइट समाप्त हो चुका या अन्यथा अविश्वसनीय प्रमाणपत्र प्रस्तुत करती है तो ब्राउज़र वर्तमान में उपयोगकर्ता को चेतावनी देते हैं। अनुच्छेद 45 के तहत, विश्वास का दुरुपयोग करने वालों को चेतावनी या निष्कासन निषिद्ध होगा। न केवल ब्राउज़रों को QWACs पर भरोसा करना अनिवार्य है, बल्कि अनुच्छेद 45 ब्राउज़रों को यह चेतावनी दिखाने से भी रोकता है कि QWAC द्वारा हस्ताक्षरित प्रमाणपत्र। 

eIDAS के लिए आखिरी मौका (मोज़िला लोगो प्रदर्शित करने वाली एक वेबसाइट) अनुच्छेद 45 के विरुद्ध वकालत करती है: 

किसी भी यूरोपीय संघ के सदस्य राज्य के पास वेब ब्राउज़र में वितरण के लिए क्रिप्टोग्राफ़िक कुंजियाँ निर्दिष्ट करने की क्षमता है और ब्राउज़र को सरकारी अनुमति के बिना इन कुंजियों पर विश्वास रद्द करने से मना किया गया है। 

...सदस्य राज्यों द्वारा जिन कुंजियों को अधिकृत किया जाता है और उनका जो उपयोग किया जाता है, उसके संबंध में उनके द्वारा लिए गए निर्णयों पर कोई स्वतंत्र जाँच या संतुलन नहीं होता है। कानून के शासन के अनुपालन को देखते हुए यह विशेष रूप से परेशान करने वाला है एक समान नहीं रहा सभी सदस्य देशों में, दस्तावेजी उदाहरणों के साथ गुप्त पुलिस द्वारा जबरदस्ती राजनीतिक उद्देश्यों के लिए.

एक में कई सौ सुरक्षा शोधकर्ताओं और कंप्यूटर वैज्ञानिकों द्वारा हस्ताक्षरित खुला पत्र:

अनुच्छेद 45 ईयू वेब प्रमाणपत्रों पर सुरक्षा जांच पर भी प्रतिबंध लगाता है जब तक कि एन्क्रिप्टेड वेब ट्रैफ़िक कनेक्शन स्थापित करते समय विनियमन द्वारा स्पष्ट रूप से अनुमति न दी जाए। न्यूनतम सुरक्षा उपायों के एक सेट को निर्दिष्ट करने के बजाय जिसे आधार रेखा के रूप में लागू किया जाना चाहिए, यह प्रभावी रूप से सुरक्षा उपायों पर एक ऊपरी सीमा निर्दिष्ट करता है जिसे ईटीएसआई की अनुमति के बिना सुधार नहीं किया जा सकता है। यह अच्छी तरह से स्थापित वैश्विक मानदंडों के विपरीत है जहां प्रौद्योगिकी में तेजी से हो रहे विकास के जवाब में नई साइबर सुरक्षा प्रौद्योगिकियों को विकसित और तैनात किया जाता है। 

हममें से अधिकांश लोग विश्वसनीय सीए की सूची तैयार करने के लिए अपने विक्रेताओं पर भरोसा करते हैं। हालाँकि, एक उपयोगकर्ता के रूप में, आप अपनी डिवाइस पर अपनी इच्छानुसार प्रमाणपत्र जोड़ या हटा सकते हैं। माइक्रोसॉफ्ट विंडोज़ में एक है ऐसा करने का उपकरण. लिनक्स पर, रूट प्रमाणपत्र एक ही निर्देशिका में स्थित फ़ाइलें हैं। केवल फ़ाइल को हटाने से किसी सीए पर भरोसा नहीं किया जा सकता है। क्या इसकी भी मनाही होगी? स्टीव गिब्सन, प्रसिद्ध सुरक्षा पंडित, स्तम्भकार, और के मेजबान लंबे समय से चल रहा सिक्योरिटी नाउ पॉडकास्ट पूछता है:

लेकिन ईयू कह रहा है कि ब्राउज़रों को इन नए, अप्रमाणित और परीक्षण न किए गए प्रमाणपत्र प्राधिकारियों का सम्मान करना होगा और इस प्रकार उनके द्वारा जारी किए जाने वाले किसी भी प्रमाणपत्र का, बिना किसी अपवाद के और बिना किसी सहारा के सम्मान करना होगा। क्या इसका मतलब यह है कि फ़ायरफ़ॉक्स का मेरा उदाहरण उन प्रमाणपत्रों को हटाने के मेरे प्रयास को अस्वीकार करने के लिए कानूनी रूप से बाध्य होगा?

गिब्सन का कहना है कि कुछ निगम अपने निजी नेटवर्क के भीतर अपने कर्मचारियों की समान निगरानी लागू करते हैं। उन कामकाजी परिस्थितियों के बारे में आपकी जो भी राय हो, कुछ उद्योगों के पास कंपनी के संसाधनों के साथ उनके कर्मचारी क्या कर रहे हैं, इस पर नज़र रखने और रिकॉर्ड करने के लिए वैध ऑडिट और अनुपालन कारण होते हैं। लेकिन, गिब्सन के रूप में जारी,

परेशानी यह है कि यूरोपीय संघ और उसके सदस्य देश एक निजी संगठन के कर्मचारियों से बहुत अलग हैं। जब भी कोई कर्मचारी नहीं चाहता कि उसकी जासूसी की जाए, तो वे अपने नियोक्ता के नेटवर्क को चकमा देने के लिए अपने स्मार्टफोन का उपयोग कर सकते हैं। और निःसंदेह एक नियोक्ता का निजी नेटवर्क एक निजी नेटवर्क ही होता है। यूरोपीय संघ संपूर्ण सार्वजनिक इंटरनेट के लिए ऐसा करना चाहता है जिससे बच पाना संभव नहीं होगा।

अब हमने इस प्रस्ताव की कट्टरपंथी प्रकृति को स्थापित कर लिया है। यह पूछने का समय है कि चुनाव आयोग इस बदलाव को प्रेरित करने के लिए क्या कारण पेश करता है? चुनाव आयोग का कहना है कि पीकेआई के तहत पहचान सत्यापन पर्याप्त नहीं है। और इसमें सुधार के लिए ये बदलाव जरूरी हैं. 

क्या चुनाव आयोग के दावों में कोई सच्चाई है? अधिकांश मामलों में वर्तमान पीकेआई को केवल वेबसाइट पर नियंत्रण साबित करने के लिए अनुरोध की आवश्यकता होती है। हालाँकि यह कुछ ऐसा है, उदाहरण के लिए, यह गारंटी नहीं देता है कि वेब संपत्ति "apple.com" का स्वामित्व Apple Inc के नाम से जानी जाने वाली उपभोक्ता इलेक्ट्रॉनिक्स कंपनी के पास है, जिसका मुख्यालय क्यूपर्टिनो, कैलिफ़ोर्निया में है। एक दुर्भावनापूर्ण उपयोगकर्ता किसी प्रसिद्ध व्यवसाय के समान नाम वाले डोमेन के लिए वैध प्रमाणपत्र प्राप्त कर सकता है। वैध प्रमाणपत्र का उपयोग ऐसे हमले में किया जा सकता है जो कुछ उपयोगकर्ताओं पर निर्भर करता है जो यह ध्यान देने के लिए पर्याप्त नहीं हैं कि नाम बिल्कुल मेल नहीं खाता है। ऐसा हुआ भुगतान प्रोसेसर स्ट्राइप.

ऐसे प्रकाशकों के लिए जो दुनिया को यह साबित करना चाहते हैं कि वे वास्तव में एक ही कॉर्पोरेट इकाई हैं, कुछ सीए ने पेशकश की है विस्तारित सत्यापन (ईवी) प्रमाणपत्र. "विस्तारित" भाग में व्यवसाय के विरुद्ध अतिरिक्त सत्यापन शामिल होते हैं, जैसे कि व्यवसाय का पता, एक कामकाजी फ़ोन नंबर, एक व्यवसाय लाइसेंस या निगमन, और किसी चालू संस्था की अन्य विशेषताएँ। ईवी को उच्च मूल्य बिंदु पर सूचीबद्ध किया गया है क्योंकि उन्हें सीए द्वारा अधिक काम की आवश्यकता होती है। 

ब्राउज़र ईवी के लिए हाइलाइट किए गए विज़ुअल फीडबैक दिखाते थे, जैसे कि एक अलग रंग या अधिक मजबूत लॉक आइकन। हाल के वर्षों में, ईवी बाज़ार में विशेष रूप से लोकप्रिय नहीं रहे हैं। वे अधिकतर मर चुके हैं। कई ब्राउज़र अब अलग-अलग फीडबैक नहीं दिखाते हैं। 

अभी भी मौजूद कमजोरियों के बावजूद, पीकेआई में समय के साथ उल्लेखनीय सुधार हुआ है। जैसे-जैसे खामियां समझ में आई हैं, उन्हें दूर किया गया है। क्रिप्टोग्राफ़िक एल्गोरिदम को मजबूत किया गया है, प्रशासन में सुधार हुआ है, और कमजोरियों को अवरुद्ध किया गया है। उद्योग जगत के खिलाड़ियों की आम सहमति से शासन ने काफी अच्छा काम किया है। सिस्टम तकनीकी और संस्थागत रूप से विकसित होता रहेगा। नियामकों के हस्तक्षेप के अलावा, अन्यथा अपेक्षा करने का कोई कारण नहीं है।

हमने ईवी के निराशाजनक इतिहास से सीखा है कि बाज़ार कॉर्पोरेट पहचान सत्यापन के बारे में इतनी परवाह नहीं करता है। हालाँकि, यदि इंटरनेट उपयोगकर्ता ऐसा चाहते हैं, तो उन्हें इसे देने के लिए मौजूदा PKI को तोड़ने की आवश्यकता नहीं होगी। मौजूदा वर्कफ़्लो में कुछ छोटे बदलाव पर्याप्त होंगे। कुछ टिप्पणीकारों ने इसे संशोधित करने का प्रस्ताव दिया है टीएलएस हैंडशेक; वेबसाइट एक अतिरिक्त प्रमाणपत्र प्रस्तुत करेगी। प्राथमिक प्रमाणपत्र वैसे ही काम करेगा जैसे अभी करता है। QWAC द्वारा हस्ताक्षरित द्वितीयक प्रमाणपत्र, अतिरिक्त पहचान मानकों को लागू करेगा जो चुनाव आयोग का कहना है कि वह चाहता है।

ईआईडीएएस के लिए चुनाव आयोग के कथित कारण बिल्कुल विश्वसनीय नहीं हैं। न केवल दिए गए कारण अविश्वसनीय हैं, बल्कि चुनाव आयोग को सुरक्षा के नाम पर महत्वपूर्ण स्वतंत्रताओं का त्याग कैसे करना चाहिए, इस बारे में सामान्य रूप से पवित्र शिकायत की भी परवाह नहीं है क्योंकि हम मानव तस्करी, बाल सुरक्षा, मनी लॉन्ड्रिंग के गंभीर खतरे का सामना कर रहे हैं। , कर चोरी, या (मेरा निजी पसंदीदा) जलवायु परिवर्तन. इस बात से इनकार नहीं किया जा सकता कि यूरोपीय संघ हमें बढ़ावा दे रहा है।

यदि चुनाव आयोग अपने वास्तविक उद्देश्यों के प्रति ईमानदार नहीं है, तो वे क्या चाहते हैं? गिब्सन देखता है एक नापाक इरादा:

और उनके चाहने का केवल एक संभावित कारण है [ब्राउज़रों को QWACs पर भरोसा करने के लिए लागू करना], जो कि ऑन-द-फ़्लाई इंटरनेट वेब ट्रैफ़िक अवरोधन की अनुमति देना है, जैसा कि निगमों के अंदर होता है। और यह स्वीकार किया गया है। 

(गिब्सन का "वेब ट्रैफिक इंटरसेप्शन" से मतलब ऊपर वर्णित एमआईटीएम हमला है।) अन्य टिप्पणियों में मुक्त भाषण और राजनीतिक विरोध के भयावह निहितार्थों पर प्रकाश डाला गया है। टीला एक लंबे निबंध में फिसलन भरी ढलान का तर्क देता है:

जब एक उदार लोकतंत्र अपने परिणामों के बावजूद, वेब पर प्रौद्योगिकी पर इस तरह का नियंत्रण स्थापित करता है, तो यह अधिक सत्तावादी सरकारों के लिए दण्डमुक्ति के साथ इसका पालन करने के लिए आधार तैयार करता है।

मोज़िला टेकडर्ट में उद्धृत (मूल से कोई लिंक नहीं) कमोबेश यही कहता है:

[एफ] ब्राउज़रों को सरकार समर्थित प्रमाणपत्र अधिकारियों पर स्वचालित रूप से भरोसा करने के लिए मजबूर करना सत्तावादी शासन द्वारा उपयोग की जाने वाली एक प्रमुख रणनीति है, और इन अभिनेताओं को यूरोपीय संघ के कार्यों के वैधीकरण प्रभाव से प्रोत्साहित किया जाएगा ...

गिब्सन भी ऐसा ही बनाता है अवलोकन:

और फिर यह वास्तविक भूत है कि यह अन्य दरवाजे क्या खोलता है: यदि यूरोपीय संघ बाकी दुनिया को दिखाता है कि वह अपने नागरिकों द्वारा उपयोग किए जाने वाले स्वतंत्र वेब ब्राउज़रों के लिए विश्वास की शर्तों को सफलतापूर्वक निर्धारित कर सकता है, तो अन्य देश भी इसी तरह के कानूनों का पालन करेंगे। ? अब हर किसी को बस अपने देश के प्रमाणपत्र जोड़ने की आवश्यकता है। यह हमें बिल्कुल गलत दिशा में ले जाता है।

यह प्रस्तावित अनुच्छेद 45 यूरोपीय संघ के देशों में उपयोगकर्ता की गोपनीयता पर हमला है। यदि इसे अपनाया जाता है, तो यह न केवल इंटरनेट सुरक्षा में, बल्कि शासन की विकसित प्रणाली में एक बड़ा झटका होगा। मैं स्टीव गिब्सन से सहमत हूं कि:

जो पूरी तरह से अस्पष्ट है, और जिसका मैंने कहीं भी सामना नहीं किया है, वह उस अधिकार का स्पष्टीकरण है जिसके द्वारा यूरोपीय संघ कल्पना करता है कि वह अन्य संगठन के सॉफ़्टवेयर के डिज़ाइन को निर्देशित करने में सक्षम है। क्योंकि यह वही है जो नीचे आता है।

प्रस्तावित अनुच्छेद 45 पर प्रतिक्रिया बड़े पैमाने पर नकारात्मक रही है। ईएफएफ में अनुच्छेद 45 वेब सुरक्षा को 12 वर्षों तक वापस ले लेगा लिखते हैं, "यह उन सभी की गोपनीयता के लिए एक आपदा है जो इंटरनेट का उपयोग करते हैं, लेकिन विशेष रूप से उन लोगों के लिए जो ईयू में इंटरनेट का उपयोग करते हैं।" 

ईआईडीएएस प्रयास सुरक्षा समुदाय के लिए चार अलार्म वाली चेतावनी है। मोज़िला - ओपन सोर्स फ़ायरफ़ॉक्स वेब ब्राउज़र के निर्माता - ने एक पोस्ट किया उद्योग संयुक्त वक्तव्य इसका विरोध कर रहे हैं. बयान पर मोज़िला, क्लाउडफ़ेयर, फ़ास्टली और लिनक्स फ़ाउंडेशन सहित इंटरनेट इंफ्रास्ट्रक्चर कंपनियों के एक ऑल-स्टार रोस्टर द्वारा हस्ताक्षर किए गए हैं। 

से खुला पत्र उपर्युक्त: 

लगभग अंतिम पाठ को पढ़ने के बाद, हम अनुच्छेद 45 के लिए प्रस्तावित पाठ से गहराई से चिंतित हैं। वर्तमान प्रस्ताव मौलिक रूप से सरकारों की अपने स्वयं के नागरिकों और यूरोपीय संघ के निवासियों दोनों पर निगरानी रखने की क्षमता का विस्तार करता है, उन्हें एन्क्रिप्टेड को बाधित करने के लिए तकनीकी साधन प्रदान करता है। वेब ट्रैफ़िक, साथ ही यूरोपीय नागरिकों द्वारा भरोसा किए गए मौजूदा निरीक्षण तंत्र को कमज़ोर करना। 

यह कहां जाता है? विनियमन कुछ समय के लिए प्रस्तावित किया गया है। अंतिम निर्णय नवंबर 2023 के लिए निर्धारित किया गया था। वेब खोजों से उस समय के बाद से इस विषय पर कोई नई जानकारी नहीं मिली है। 

पिछले कुछ वर्षों में, सभी रूपों में पूर्ण सेंसरशिप बढ़ गई है। कोविड पागलपन के दौरान, सरकार और उद्योग ने एक बनाने के लिए साझेदारी की सेंसरशिप-औद्योगिक परिसर झूठे आख्यानों को अधिक कुशलता से बढ़ावा देना और असंतुष्टों को दबाना। पिछले कुछ वर्षों में, संशयवादियों और स्वतंत्र आवाज़ों ने इसका प्रतिकार किया है, अदालतों में, और बनाकर दृष्टिकोण-तटस्थ प्लेटफार्मों। 

हालांकि भाषण पर सेंसरशिप एक बड़ा खतरा बनी हुई है, लेखकों और पत्रकारों के अधिकार कई अन्य अधिकारों की तुलना में बेहतर संरक्षित हैं। अमेरिका में, पहला संशोधन भाषण की स्पष्ट सुरक्षा और सरकार की आलोचना करने की स्वतंत्रता है। न्यायालयों की राय हो सकती है कि अत्यधिक विशिष्ट वैधानिक भाषा द्वारा संरक्षित कोई भी अधिकार या स्वतंत्रता उचित खेल नहीं है। यही कारण हो सकता है कि शक्ति के अन्य दुरुपयोगों को रोकने के अन्य प्रयासों की तुलना में प्रतिरोध को भाषण पर अधिक सफलता मिली है क्वारंटाइन और जनसंख्या लॉकडाउन। 

एक अच्छी तरह से बचाव किए गए दुश्मन के बजाय, सरकारें अपने हमलों को इंटरनेट बुनियादी ढांचे की अन्य परतों पर स्थानांतरित कर रही हैं। डोमेन पंजीकरण, डीएनएस, प्रमाणपत्र, भुगतान प्रोसेसर, होस्टिंग और ऐप स्टोर जैसी इन सेवाओं में बड़े पैमाने पर निजी बाज़ार लेनदेन शामिल हैं। ये सेवाएँ भाषण की तुलना में बहुत कम संरक्षित हैं क्योंकि अधिकांश भाग में, किसी को भी किसी विशेष व्यवसाय से विशिष्ट सेवा खरीदने का कोई अधिकार नहीं है। और डीएनएस तथा पीकेआई जैसी अधिक तकनीकी सेवाएं वेब प्रकाशन की तुलना में जनता द्वारा कम समझी जाती हैं।

पीकेआई प्रणाली विशेष रूप से हमले के प्रति संवेदनशील है क्योंकि यह प्रतिष्ठा और सर्वसम्मति से काम करती है। कोई एक प्राधिकारी नहीं है जो संपूर्ण व्यवस्था पर शासन करता हो। खिलाड़ियों को पारदर्शिता, अनुपालन और विफलताओं की ईमानदार रिपोर्टिंग के माध्यम से प्रतिष्ठा अर्जित करनी चाहिए। और यह इसे इस प्रकार के विघटनकारी हमले के प्रति संवेदनशील बनाता है। यदि ईयू पीकेआई नियामकों के अधीन आता है, तो मैं उम्मीद करता हूं कि अन्य देश भी इसका अनुसरण करेंगे। पीकेआई को न केवल ख़तरा है. एक बार यह साबित हो जाने पर कि स्टैक की अन्य परतों पर नियामकों द्वारा हमला किया जा सकता है, उन्हें भी लक्षित किया जाएगा।