Die letzte Chance für eine eIDAS-Änderung: Das geheime EU-Gesetz, das die Internetsicherheit bedroht

 (last-chance-for-eidas.org)
2 Punkte von GN⁺ 2023-11-03 | 1 Kommentare | Auf WhatsApp teilen
  • Der nahezu endgültige Text der eIDAS-Verordnung wurde von den wichtigsten EU-Institutionen vereinbart und soll bis zum Jahresende zur Genehmigung vorgelegt werden.
  • Die neuen gesetzlichen Bestimmungen verlangen, dass alle Webbrowser in Europa Zertifizierungsstellen und kryptografischen Schlüsseln vertrauen, die von EU-Regierungen ausgewählt werden.
  • Diese Änderung erweitert die Möglichkeiten der EU-Regierungen, verschlüsselten Webverkehr in der gesamten EU abzufangen und Bürger zu überwachen.
  • Jeder EU-Mitgliedstaat kann kryptografische Schlüssel an Webbrowser verteilen, und Browser dürfen das Vertrauen in diese Schlüssel nicht ohne staatliche Erlaubnis widerrufen.
  • Dadurch kann jeder EU-Mitgliedstaat Website-Zertifikate zur Überwachung und zum Abfangen für alle EU-Bürger ausstellen, unabhängig davon, ob sie im ausstellenden Mitgliedstaat wohnen oder mit ihm verbunden sind.
  • Es gibt keine unabhängige Kontrolle oder Gewaltenteilung bei Entscheidungen über die Schlüssel, die Mitgliedstaaten zertifizieren und verwenden.
  • Der Text verbietet es Browsern, Sicherheitsprüfungen auf diese EU-Schlüssel und -Zertifikate anzuwenden, außer auf solche, die von der IT-Standardisierungsorganisation der EU, ETSI, vorab genehmigt wurden.
  • ETSI hat eine besorgniserregende Vorgeschichte bei der Entwicklung kompromittierter Kryptostandards und betreibt Arbeitsgruppen zur Entwicklung von Abfangtechnologien.
  • Mehr als 300 Cybersicherheitsfachleute und Forschende haben einen offenen Brief unterzeichnet, in dem sie die EU auffordern, diese Pläne aufzugeben und das Web zu schützen.
  • Zivilgesellschaftliche Organisationen und Unternehmen, die das Internet aufbauen und schützen, darunter die Linux Foundation, Mullvad, DNS0.EU und Mozilla, haben den Brief ebenfalls unterstützt.
  • Der Text soll nach der Billigung auf der letzten nicht öffentlichen Trilog-Sitzung am 8. November in Brüssel veröffentlicht und dem Europäischen Parlament zur formellen Ratifizierung vorgelegt werden.
  • Europäische Bürger können Romana JERKOVIĆ, der für die eIDAS-Akte zuständigen Abgeordneten des Europäischen Parlaments, schreiben und ihre Bedenken anmelden.
  • Cybersicherheitsfachleute, Forschende oder NGOs können den offenen Brief auf https://eidas-open-letter.org unterzeichnen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-11-03
Hacker-News-Kommentare
  • Artikel über die potenziellen Sicherheitsrisiken, die durch das eIDAS-Gesetz der EU entstehen könnten
  • Sorge, dass das Gesetz die Ausstellung beliebiger Zertifikate für Überwachungszwecke erlauben könnte
  • Einige Kommentatoren argumentieren, dass dieses Gesetz kein „Geheimgesetz“ sei, da alle EU-Gesetze in ihren Amtssprachen auf Websites veröffentlicht und vor ihrem Inkrafttreten vom Europäischen Parlament öffentlich ratifiziert werden müssten
  • Die Sichtweise, dass das Gesetz Macht von privaten Institutionen auf EU-Regierungen verlagern könnte, um die digitale Verwaltung zu erleichtern
  • Fragen zu den Auswirkungen auf Open-Source-Browser, ob diese zur Implementierung gezwungen würden und ob Regierungen den Code auditieren würden, um zu prüfen, wer eine Version veröffentlicht, aus der staatliche Zertifikate entfernt wurden
  • Einige Kommentatoren vertreten die Ansicht, dass das derzeitige CA-System der Browser grundsätzlich fehlerhaft sei und dass staatliche Akteure MITM-Angriffe durchführen könnten, wenn sie IP-Verkehr abfangen und bösartige Zertifikate erzeugen können
  • eIDAS enthält den Versuch, Vertrauen zu erzwingen, was nach Ansicht mancher das gesamte Vertrauensmodell des Internets zerstört
  • Das Gesetz verlangt, dass „qualifizierte Zertifikate für die Authentifizierung von Websites“ von Webbrowsern erkannt und nutzerfreundlich angezeigt werden
  • Auch andere Länder wie Indien bereiten ähnliche Gesetze vor, damit ihre Betriebssysteme und Browser über eigene CAs verfügen
  • Einige Kommentatoren wären mit diesem Gesetz zufrieden, wenn von diesen CAs ausgestellte Zertifikate an unabhängige Certificate-Transparency-(CT-)Dienste und bestimmte länderspezifische Top-Level-Domains gebunden wären