Brownstone » Artikel des Brownstone Institute » Die EU will die Internetnutzung der Europäer ausspionieren
Die EU will die Internetnutzung der Europäer ausspionieren

Die EU will die Internetnutzung der Europäer ausspionieren

TEILEN | DRUCKEN | EMAIL

Der Europäische Kommission ist eine gesetzgebende Körperschaft der EU mit Regulierungsbefugnis für digitale Technologie. Der eIDAS-Artikel 45 der Europäischen Kommission, ein Verordnungsvorschlag, würde bewusst Bereiche der Internetsicherheit schwächen, die die Branche seit über 25 Jahren sorgfältig weiterentwickelt und gestärkt hat. Der Artikel würde den 27 EU-Regierungen faktisch erheblich erweiterte Überwachungsbefugnisse über die Internetnutzung einräumen. 

Die Regel würde erfordern, dass alle Internetbrowser einem zusätzlichen Stammzertifikat einer Behörde (oder einer regulierten Stelle) jeder nationalen Regierung jedes einzelnen EU-Mitgliedstaats vertrauen. Den technisch nicht versierten Lesern erkläre ich, was ein Stammzertifikat ist, wie sich das Vertrauen im Internet entwickelt hat und was Artikel 45 damit bewirkt. Und dann werde ich einige Kommentare aus der Tech-Community zu diesem Thema hervorheben. 

Im nächsten Abschnitt dieses Artikels wird erläutert, wie die Vertrauensinfrastruktur des Internets funktioniert. Dieser Hintergrund ist notwendig, um zu verstehen, wie radikal der vorgeschlagene Artikel ist. Die Erläuterung soll auch einem technisch nicht versierten Leser zugänglich sein.

Die betreffende Verordnung befasst sich mit der Internetsicherheit. Mit „Internet“ sind hier im Wesentlichen Browser gemeint, die Websites besuchen. Internetsicherheit besteht aus vielen unterschiedlichen Aspekten. Artikel 45 soll geändert werden Public-Key-Infrastruktur (PKI), seit Mitte der 90er Jahre ein Teil der Internetsicherheit. PKI wurde zunächst eingeführt und dann über einen Zeitraum von 25 Jahren verbessert, um Benutzern und Herausgebern die folgenden Sicherheiten zu bieten: 

  • Privatsphäre der Konversation zwischen dem Browser und der Website: Browser und Websites kommunizieren über das Internet, ein Netzwerk von Netzwerken, das von betrieben wird Internet Service Provider und Tier-1-Transportunternehmen; oder Mobilfunkanbieter wenn das Gerät mobil ist. Das Netzwerk selbst ist weder von Natur aus sicher noch vertrauenswürdig. Dein neugieriger Heim-ISP, ein Reisender in der Flughafenlounge wo Sie auf Ihren Flug warten, oder Ein Datenanbieter, der Leads an Werbetreibende verkaufen möchte Vielleicht möchte ich dich ausspionieren. Ohne jeglichen Schutz könnte ein Angreifer vertrauliche Daten wie Passwörter, Kreditkartenguthaben oder Gesundheitsinformationen einsehen. 
  • Stellen Sie sicher, dass Sie die Seite genau so sehen, wie die Website sie Ihnen angezeigt hat: Wenn Sie eine Webseite ansehen, könnte diese zwischen dem Herausgeber und Ihrem Browser manipuliert worden sein? Ein Zensor möchte möglicherweise Inhalte entfernen, die Sie nicht sehen sollen. Als „Fehlinformation“ gekennzeichnete Inhalte wurden während der Covid-Hysterie weitgehend unterdrückt. Ein Hacker, der Ihre Kreditkarte gestohlen hat, möchte möglicherweise Beweise für seine betrügerischen Belastungen entfernen. 
  • Stellen Sie sicher, dass es sich bei der angezeigten Website tatsächlich um die in der Adressleiste des Browsers handelt: Wenn Sie eine Verbindung zu einer Bank herstellen, woher wissen Sie, dass Sie die Website dieser Bank sehen und nicht eine gefälschte Version, die identisch aussieht? Sie überprüfen die Standortleiste in Ihrem Browser. Könnte Ihr Browser dazu verleitet werden, Ihnen eine gefälschte Website anzuzeigen, die mit der echten identisch zu sein scheint? Woher weiß Ihr Browser sicher, dass er mit der richtigen Seite verbunden ist? 

In den Anfängen des Internets gab es keine dieser Zusicherungen. In 2010, ein Browser-Plugin, das im Add-on-Store verfügbar ist ermöglichte es dem Benutzer, am Facebook-Gruppenchat einer anderen Person in einem Café-Hotspot teilzunehmen. Dank PKI können Sie sich dieser Dinge jetzt ziemlich sicher sein. 

Diese Sicherheitsfunktionen werden mit einem darauf basierenden System geschützt digitale Zertifikate. Digitale Zertifikate sind eine Form des Ausweises – die Internetversion eines Führerscheins. Wenn ein Browser eine Verbindung zu einer Site herstellt, präsentiert die Site dem Browser ein Zertifikat. Das Zertifikat enthält einen kryptografischen Schlüssel. Der Browser und die Website arbeiten mit einer Reihe kryptografischer Berechnungen zusammen, um eine sichere Kommunikation einzurichten.

Zusammen bieten der Browser und die Website die drei Sicherheitsgarantien:

  • Datenschutz: durch Verschlüsselung der Konversation.
  • kryptografische digitale Signaturen: um sicherzustellen, dass Der Inhalt wird während des Flugs nicht geändert
  • Überprüfung des Herausgebers: durch die von PKI bereitgestellte Vertrauenskette, die ich weiter unten näher erläutern werde. 

Eine gute Identität sollte schwer zu fälschen sein. In der antiken Welt ein Wachsabdruck eines Siegels diente diesem Zweck. Identitäten für Menschen basieren auf biometrischen Daten. Ihr Gesicht ist eine der ältesten Formen. Wenn Sie in der nicht-digitalen Welt auf eine altersbeschränkte Einstellung zugreifen müssen, beispielsweise um ein alkoholisches Getränk zu bestellen, werden Sie nach einem Lichtbildausweis gefragt.

Ein weiteres biometrisches Verfahren aus der Zeit vor dem digitalen Zeitalter bestand darin, Ihre frische Federunterschrift mit Ihrer Originalunterschrift auf der Rückseite Ihres Ausweises abzugleichen. Da diese älteren Arten biometrischer Daten immer leichter zu fälschen sind, hat sich die Überprüfung der menschlichen Identität angepasst. Heutzutage ist es üblich, dass eine Bank Ihnen einen Validierungscode auf Ihr Mobiltelefon sendet. Die App erfordert, dass Sie eine biometrische Identitätsprüfung auf Ihrem Mobiltelefon bestehen, um den Code wie Gesichtserkennung oder Ihren Fingerabdruck anzuzeigen. 

Der zweite Faktor, der einen Ausweis vertrauenswürdig macht, ist neben der Biometrie der Aussteller. Die weithin akzeptierten Ausweise hängen von der Fähigkeit des Ausstellers ab, zu überprüfen, ob die Person, die einen Ausweis beantragt, die ist, für die sie sich ausgibt. Die meisten der allgemein akzeptierten Ausweisformen werden von Regierungsbehörden ausgestellt, beispielsweise dem Department of Motor Vehicles. Wenn die ausstellende Behörde über verlässliche Mittel verfügt, um nachzuverfolgen, wer und wo sich die Personen aufhalten, wie z. B. Steuerzahlungen, Beschäftigungsunterlagen oder die Inanspruchnahme von Wasserversorgungsdiensten, dann besteht eine gute Chance, dass die Behörde überprüfen kann, ob es sich um die auf dem Ausweis genannte Person handelt diese Person.

In der Online-Welt haben sich Regierungen größtenteils nicht an der Identitätsprüfung beteiligt. Zertifikate werden von privaten Unternehmen namens ausgestellt Zertifizierungsstellen (Zertifizierungsstellen). Während Zertifikate früher recht teuer waren, sind die Gebühren mittlerweile deutlich gesunken einige sind kostenlos. Die bekanntesten CAs sind Verisign, DigiCert und GoDaddy. Ryan Hurst zeigt Die sieben großen Zertifizierungsstellen (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft und IdenTrust) stellen 99 % aller Zertifikate aus.

Der Browser akzeptiert ein Zertifikat nur dann als Identitätsnachweis, wenn das Namensfeld im Zertifikat mit dem Domänennamen übereinstimmt, den der Browser in der Adressleiste anzeigt. Selbst wenn die Namen übereinstimmen, beweist das, dass ein Zertifikat mit der Aufschrift „apple.com„gehört zum Unterhaltungselektronikunternehmen Apple, Inc.? Nein. Identitätssysteme sind nicht kugelsicher. Minderjährige Trinker kann gefälschte Ausweise erhalten. Wie menschliche Ausweise können auch digitale Zertifikate gefälscht oder aus anderen Gründen ungültig sein. Ein Softwareentwickler kann mit kostenlosen Open-Source-Tools ein digitales Zertifikat mit dem Namen „apple.com“ erstellen ein paar Linux-Befehle

Das PKI-System verlässt sich darauf, dass Zertifizierungsstellen Zertifikate nur für den Eigentümer der Website ausstellen. Der Workflow zum Erwerb eines Zertifikats sieht folgendermaßen aus:

  1. Der Herausgeber einer Website beantragt bei seiner bevorzugten Zertifizierungsstelle ein Zertifikat für eine Domain. 
  2. Die Zertifizierungsstelle überprüft, ob die Zertifikatsanforderung vom tatsächlichen Eigentümer dieser Site stammt. Wie stellt die CA dies fest? Die CA verlangt, dass die Stelle, die die Anfrage stellt, einen bestimmten Inhalt unter einer bestimmten URL veröffentlicht. Die Fähigkeit dazu beweist, dass das Unternehmen die Kontrolle über die Website hat.
  3. Sobald die Website den Besitz der Domain nachgewiesen hat, fügt die CA eine an kryptografische digitale Signatur zum Zertifikat mithilfe seines eigenen privaten kryptografischen Schlüssels. Die Signatur identifiziert die CA als Aussteller. 
  4. Das signierte Zertifikat wird der anfragenden Person oder Organisation übermittelt. 
  5. Der Herausgeber installiert sein Zertifikat auf seiner Website, damit es Browsern angezeigt werden kann. 

Kryptografische digitale Signaturen sind „ein mathematisches Schema zur Überprüfung der Authentizität digitaler Nachrichten oder Dokumente“. Sie sind nicht dasselbe wie die Online-Dokumentsignatur von DocuSign und ähnlichen Anbietern. Wenn die Signatur gefälscht werden könnte, wären die Zertifikate nicht vertrauenswürdig. Im Laufe der Zeit wurde die Größe der kryptografischen Schlüssel erhöht mit dem Ziel, Fälschungen zu erschweren. Kryptographieforscher glauben, dass aktuelle Signaturen praktisch unmöglich zu fälschen sind. Eine weitere Sicherheitslücke besteht darin, dass der Zertifizierungsstelle ihre geheimen Schlüssel gestohlen werden. Der Dieb könnte dann gültige Signaturen dieser Zertifizierungsstelle vorlegen. 

Sobald das Zertifikat installiert wurde, wird es beim Einrichten einer Webkonversation verwendet. Der Registrieren , erklärt wie das geht:

Wenn das Zertifikat von einer bekanntermaßen guten Zertifizierungsstelle ausgestellt wurde und alle Angaben korrekt sind, gilt die Website als vertrauenswürdig und der Browser versucht, eine sichere, verschlüsselte Verbindung mit der Website herzustellen, sodass Ihre Aktivitäten auf der Website nicht sichtbar sind an einen Abhörer im Netzwerk. Wenn das Zertifikat von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, das Zertifikat nicht mit der Adresse der Website übereinstimmt oder einige Angaben falsch sind, lehnt der Browser die Website ab, da er befürchtet, dass keine Verbindung zu der vom Benutzer gewünschten Website hergestellt wird und spricht möglicherweise mit einem Imitator.

Wir können dem Browser vertrauen, weil der Browser der Website vertraut. Der Browser vertraut der Website, da das Zertifikat von einer „bekanntermaßen guten“ Zertifizierungsstelle ausgestellt wurde. Aber was ist eine „bekanntermaßen gute Zertifizierungsstelle“? Die meisten Browser verlassen sich auf die vom Betriebssystem bereitgestellten CAs. Die Liste der vertrauenswürdigen Zertifizierungsstellen wird von den Geräte- und Softwareanbietern festgelegt. Die großen Computer- und Geräteanbieter – Microsoft, Apple, Hersteller von Android-Telefonen und die Open-Source-Linux-Distributoren – laden das Betriebssystem auf ihren Geräten mit einer Reihe von Stammzertifikaten vor.

Diese Zertifikate identifizieren die von ihnen überprüften und als zuverlässig erachteten Zertifizierungsstellen. Diese Sammlung von Stammzertifikaten wird als „Trust Store“ bezeichnet. Um ein Beispiel aus meiner Nähe zu nennen: Der Windows-PC, den ich zum Schreiben dieses Artikels verwende, verfügt über 70 Stammzertifikate in seinem Trusted Root Certificate Store. Apples Support-Seite listet alle Roots auf, denen die Sierra-Version von MacOS vertraut

Wie entscheiden die Computer- und Telefonanbieter, welche Zertifizierungsstellen vertrauenswürdig sind? Sie verfügen über Audit- und Compliance-Programme, um die Qualität von Zertifizierungsstellen zu bewerten. Nur diejenigen, die bestehen, werden berücksichtigt. Siehe zum Beispiel, der Chrome-Browser (der einen eigenen Vertrauensspeicher bereitstellt, anstatt den auf dem Gerät zu verwenden). Die EFF (die sich selbst als „die führende gemeinnützige Organisation zur Verteidigung der Bürgerrechte in der digitalen Welt“ bezeichnet.) , erklärt:

Browser betreiben „Root-Programme“, um die Sicherheit und Vertrauenswürdigkeit der Zertifizierungsstellen, denen sie vertrauen, zu überwachen. Diese Root-Programme stellen eine Reihe von Anforderungen, die von „Wie muss Schlüsselmaterial gesichert werden“ über „Wie muss die Validierung der Domänennamenkontrolle durchgeführt werden“ bis hin zu „Welche Algorithmen müssen für die Zertifikatssignierung verwendet werden“ reichen?

Nachdem eine Zertifizierungsstelle von einem Anbieter akzeptiert wurde, überwacht der Anbieter sie weiterhin. Anbieter werden Zertifizierungsstellen aus dem Trust Store entfernen, wenn die Zertifizierungsstelle die erforderlichen Sicherheitsstandards nicht einhält. Zertifizierungsstellen können und werden aus anderen Gründen unkontrolliert vorgehen oder scheitern. Der Registrieren Berichte:

Zertifikate und die Zertifizierungsstellen, die sie ausstellen, sind nicht immer vertrauenswürdig und Browserhersteller haben im Laufe der Jahre CA-Stammzertifikate von Zertifizierungsstellen mit Sitz in der Türkei, Frankreich, China, Kasachstan und anderswo entfernt, als festgestellt wurde, dass die ausstellende Stelle oder eine verbundene Partei das Internet abfängt Verkehr. 

Im Jahr 2022 berichtete der Forscher Ian Carroll Sicherheitsbedenken bei der e-Tugra-Zertifizierungsstelle. Carroll „fand eine Reihe alarmierender Probleme, die mich hinsichtlich der Sicherheitspraktiken in ihrem Unternehmen beunruhigen“, wie zum Beispiel schwache Anmeldeinformationen. Carrolls Berichte wurden von den großen Softwareanbietern überprüft. Das Ergebnis war E-Tugra aus ihren vertrauenswürdigen Zertifikatsspeichern entfernt

Der Zeitleiste der Fehler der Zertifizierungsstelle erzählt von weiteren Vorfällen dieser Art. 

Es gibt immer noch einige bekannte Lücken in der PKI, wie sie derzeit existiert. Da ein bestimmter Punkt für das Verständnis von Artikel 45 von eIDAS wichtig ist, werde ich ihn als Nächstes erläutern. Das Vertrauen einer Zertifizierungsstelle beschränkt sich nicht auf die Websites, die ihre Geschäfte mit dieser Zertifizierungsstelle abwickeln. Ein Browser akzeptiert ein Zertifikat von jeder vertrauenswürdigen Zertifizierungsstelle für jede Website. Nichts hindert die Zertifizierungsstelle daran, einem böswilligen Akteur eine Website zur Verfügung zu stellen, die nicht vom Eigentümer der Website angefordert wurde. Ein solches Zertifikat wäre im rechtlichen Sinne betrügerisch, da es für wen es ausgestellt wurde. Der Inhalt des Zertifikats wäre jedoch aus Sicht des Browsers technisch gültig. 

Wenn es eine Möglichkeit gäbe, jede Website ihrer bevorzugten Zertifizierungsstelle zuzuordnen, würde jedes Zertifikat einer anderen Zertifizierungsstelle für diese Website sofort als betrügerisch erkannt. Zertifikat-Pinning ist ein weiterer Standard, der einen Schritt in diese Richtung geht. Aber wie würde diese Verbindung veröffentlicht und wie würde man diesem Herausgeber vertrauen? 

Auf jeder Ebene dieses Prozesses ist die technische Lösung auf eine externe Vertrauensquelle angewiesen. Doch wie entsteht dieses Vertrauen? Indem man sich auf eine noch vertrauenswürdigere Quelle auf der nächsthöheren Ebene verlässt? Diese Frage veranschaulicht die „Schildkröten, ganz nach unten„ Art des Problems. PKI hat tatsächlich eine Schildkröte im Hintergrund: den Ruf, die Sichtbarkeit und die Transparenz der Sicherheitsbranche und ihrer Kunden. Vertrauen wird auf dieser Ebene durch ständige Überwachung, offene Standards, die Softwareentwickler und die Zertifizierungsstellen aufgebaut. 

Es wurden betrügerische Zertifikate ausgestellt. Im Jahr 2013 berichtete ArsTechnica Französische Behörde wurde beim Prägen von SSL-Zertifikaten erwischt, die sich als Google ausgab:

Im Jahr 2011…Sicherheitsforscher hat ein gefälschtes Zertifikat für Google.com entdeckt Dies gab Angreifern die Möglichkeit, sich als E-Mail-Dienst und andere Angebote der Website auszugeben. Das gefälschte Zertifikat wurde geprägt, nachdem Angreifer die Sicherheit des niederländischen Unternehmens DigiNotar durchbrochen und die Kontrolle über dessen Zertifikatsausgabesysteme erlangt hatten.

Die SSL-Anmeldeinformationen (Secure Sockets Layer) wurden von einer gültigen Zertifizierungsstelle digital signiert. Tatsächlich handelte es sich bei den Zertifikaten um nicht autorisierte Duplikate, die unter Verstoß gegen die von Browserherstellern und Zertifizierungsstellendiensten festgelegten Regeln ausgestellt wurden.

Es kann zu betrügerischer Zertifikatsausstellung kommen. Eine betrügerische Zertifizierungsstelle kann eine solche ausstellen, aber sie wird nicht weit kommen. Das fehlerhafte Zertifikat wird erkannt. Die fehlerhafte Zertifizierungsstelle wird Compliance-Programme nicht bestehen und aus Trust Stores entfernt werden. Ohne Akzeptanz wird die Zertifizierungsstelle ihr Geschäft aufgeben. Zertifikatstransparenz, ein neuerer Standard, ermöglicht eine schnellere Erkennung gefälschter Zertifikate. 

Warum sollte eine Zertifizierungsstelle betrügerisch werden? Welchen Vorteil kann der Bösewicht aus einem nicht autorisierten Zertifikat ziehen? Mit dem Zertifikat allein ist das nicht viel, selbst wenn es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Wenn sich der Bösewicht jedoch mit einem ISP zusammenschließen oder auf andere Weise auf das vom Browser verwendete Netzwerk zugreifen kann, gibt ihm das Zertifikat die Möglichkeit, alle Sicherheitsgarantien der PKI zu brechen. 

Der Hacker könnte eine Man-in-the-Middle-Angriff (MITM) auf das Gespräch. Der Angreifer könnte sich zwischen den Browser und die echte Website einfügen. In diesem Szenario würde der Benutzer direkt mit dem Angreifer sprechen und der Angreifer würde die Inhalte mit der echten Website hin und her weiterleiten. Der Angreifer würde dem Browser das betrügerische Zertifikat präsentieren. Da es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, würde der Browser es akzeptieren. Der Angreifer konnte sehen und sogar ändern, was eine Partei sendete, bevor die andere Seite es erhielt.

Nun kommen wir zum finsteren eIDAS der EU, Artikel 45. Dieser Verordnungsvorschlag verlangt von allen Browsern, dass sie einem Korb von Zertifikaten von CAs vertrauen, die von der EU benannt wurden. Um genau zu sein: siebenundzwanzig: eine für jedes Mitgliedsland. Diese Zertifikate sind anzurufen Qualifizierte Website-Authentifizierungszertifikate. Das Akronym „QWAC“ hat ein unglückliches Homophon Quacksalberei – oder vielleicht trollt uns die EG.

Die QWACs würden entweder von Regierungsbehörden oder von dem, was Michael Rectenwald nennt, ausgestellt Regierungalitäten: „Konzerne und Unternehmen sowie andere Anhängsel des Staates, die man sonst ‚privat‘ nennt, in Wirklichkeit aber als Staatsapparate agieren, indem sie staatliche Narrative und Diktate durchsetzen.“ 

Dieser Plan würde die Regierungen der EU-Mitgliedstaaten dem Punkt einen Schritt näher bringen, an dem sie Man-in-the-Middle-Angriffe gegen ihre eigenen Bürger durchführen könnten. Sie müssten auch auf die Netzwerke zugreifen. Regierungen sind dazu in der Lage. Wenn der ISP als staatliches Unternehmen geführt wird, dann hätte er es bereits. Wenn ISPs private Unternehmen sind, dann lokal Regierung könnte polizeiliche Befugnisse nutzen, um sich Zugang zu verschaffen. 

Ein Punkt, der in der öffentlichen Diskussion nicht betont wurde, ist, dass ein Browser in einem der 27 EU-Mitgliedstaaten jeden einzelnen QWAC akzeptieren müsste, einen von jedem EU-Mitglied. Das bedeutet, dass ein Browser beispielsweise in Spanien einem QWAC von Unternehmen in Kroatien, Finnland und Österreich vertrauen müsste. Der spanische Nutzer, der eine österreichische Website besucht, müsste österreichische Teile des Internets durchqueren. Die oben angesprochenen Probleme würden alle für alle Länder innerhalb der EU gelten. 

The Register, in einem Stück mit dem Titel Schlechtes eIDAS: Europa ist bereit, Ihre verschlüsselten HTTPS-Verbindungen abzufangen und auszuspionieren erklärt eine Möglichkeit, wie dies funktionieren könnte:

[D]ie Regierung kann ihre befreundete Zertifizierungsstelle um eine Kopie des [QWAC]-Zertifikats bitten, damit die Regierung sich als die Website ausgeben kann – oder um ein anderes Zertifikat bitten, dem Browser vertrauen und das sie für die Website akzeptieren. Durch einen Man-in-the-Middle-Angriff kann diese Regierung den verschlüsselten HTTPS-Verkehr zwischen der Website und ihren Benutzern abfangen und entschlüsseln, sodass das Regime jederzeit genau überwachen kann, was die Leute mit dieser Website machen.

Nachdem der Schutzschild der Verschlüsselung durchbrochen wurde, könnte die Überwachung das Speichern der Passwörter der Benutzer und deren spätere Verwendung zu einem späteren Zeitpunkt umfassen, um auf die E-Mail-Konten der Bürger zuzugreifen. Zusätzlich zur Überwachung könnten Regierungen Inhalte inline ändern. Sie könnten beispielsweise die Erzählungen entfernen, die sie zensieren möchten. Sie könnten störend anhaften Faktenchecks von Nanny State und Inhaltswarnungen zu abweichenden Meinungen.

Aus heutiger Sicht müssen Zertifizierungsstellen das Vertrauen der Browser-Community wahren. Derzeit warnen Browser den Benutzer, wenn eine Website ein abgelaufenes oder aus anderen Gründen nicht vertrauenswürdiges Zertifikat vorlegt. Nach Artikel 45 wären Verwarnungen oder der Ausschluss von Vertrauensmissbrauchern verboten. Browser sind nicht nur verpflichtet, den QWACs zu vertrauen, sondern Artikel 45 verbietet Browsern auch, eine Warnung anzuzeigen, dass ein von einem QWAC signiertes Zertifikat vorliegt. 

Letzte Chance für eIDAS (eine Website, die das Mozilla-Logo zeigt) befürwortet Artikel 45: 

Jeder EU-Mitgliedsstaat hat die Möglichkeit, kryptografische Schlüssel für die Verteilung in Webbrowsern festzulegen, und es ist Browsern untersagt, das Vertrauen in diese Schlüssel ohne staatliche Genehmigung zu widerrufen. 

…Es gibt keine unabhängige Kontrolle oder Abwägung der Entscheidungen der Mitgliedstaaten in Bezug auf die von ihnen genehmigten Schlüssel und deren Verwendung. Dies ist insbesondere angesichts der Einhaltung der Rechtsstaatlichkeit besorgniserregend nicht einheitlich gewesen in allen Mitgliedstaaten, mit dokumentierten Fällen von Nötigung durch die Geheimpolizei für politische Zwecke.

In einem Offener Brief, unterzeichnet von mehreren hundert Sicherheitsforschern und Informatikern:

Artikel 45 verbietet außerdem Sicherheitsüberprüfungen von EU-Web-Zertifikaten, sofern dies nicht ausdrücklich durch die Verordnung beim Aufbau verschlüsselter Web-Verkehrsverbindungen gestattet ist. Anstatt eine Reihe von Mindestsicherheitsmaßnahmen festzulegen, die als Basis durchgesetzt werden müssen, legt es tatsächlich eine Obergrenze für die Sicherheitsmaßnahmen fest, die ohne die Genehmigung von ETSI nicht verbessert werden können. Dies steht im Widerspruch zu etablierten globalen Normen, nach denen neue Cybersicherheitstechnologien als Reaktion auf rasante technologische Entwicklungen entwickelt und eingesetzt werden. 

Die meisten von uns verlassen sich darauf, dass unsere Anbieter die Liste der vertrauenswürdigen Zertifizierungsstellen zusammenstellen. Als Benutzer können Sie jedoch nach Belieben Zertifikate auf Ihren eigenen Geräten hinzufügen oder entfernen. Microsoft Windows verfügt über eine Werkzeug, um dies zu tun. Unter Linux sind die Stammzertifikate Dateien, die sich in einem einzigen Verzeichnis befinden. Eine Zertifizierungsstelle kann einfach durch das Löschen der Datei nicht mehr vertrauenswürdig sein. Wird das auch verboten? Steve Gibson, bekannter Sicherheitsexperte, Kolumnist, und Gastgeber der langjähriger Security Now-Podcast fragt:

Die EU erklärt jedoch, dass Browser verpflichtet sein werden, diese neuen, unbewiesenen und ungetesteten Zertifizierungsstellen und damit alle von ihnen ausgestellten Zertifikate ausnahmslos und ohne Rückgriff zu akzeptieren. Bedeutet das, dass meine Firefox-Instanz rechtlich dazu verpflichtet ist, meinen Versuch, diese Zertifikate zu entfernen, abzulehnen?

Gibson weist darauf hin, dass einige Unternehmen eine ähnliche Überwachung ihrer Mitarbeiter in ihrem eigenen privaten Netzwerk durchführen. Unabhängig von Ihrer Meinung zu diesen Arbeitsbedingungen haben einige Branchen berechtigte Audit- und Compliance-Gründe, um zu verfolgen und aufzuzeichnen, was ihre Mitarbeiter mit Unternehmensressourcen tun. Aber als Gibson weiter,

Das Problem besteht darin, dass sich die EU und ihre Mitgliedsstaaten stark von den Mitarbeitern einer privaten Organisation unterscheiden. Wenn ein Mitarbeiter nicht ausspioniert werden möchte, kann er mit seinem eigenen Smartphone das Netzwerk seines Arbeitgebers umgehen. Und natürlich ist das private Netzwerk eines Arbeitgebers genau das, ein privates Netzwerk. Die EU möchte dies für das gesamte öffentliche Internet tun, aus dem es kein Entrinnen gibt.

Jetzt haben wir den radikalen Charakter dieses Vorschlags festgestellt. Es ist an der Zeit zu fragen: Welche Gründe nennt die EG, um diese Änderung voranzutreiben? Die EC sagt, dass die Identitätsprüfung mittels PKI nicht ausreichend sei. Und dass diese Änderungen notwendig sind, um es zu verbessern. 

Ist an den Behauptungen der EG etwas Wahres dran? Aktuelle PKI erfordern in den meisten Fällen lediglich die Anfrage zum Nachweis der Kontrolle über die Website. Das ist zwar etwas, garantiert aber beispielsweise nicht, dass die Web-Property „apple.com“ Eigentum des Unterhaltungselektronikunternehmens Apple Inc. mit Hauptsitz in Cupertino, Kalifornien, ist. Ein böswilliger Benutzer könnte ein gültiges Zertifikat für eine Domäne erhalten, die dem Namen eines bekannten Unternehmens ähnelt. Das gültige Zertifikat könnte für einen Angriff verwendet werden, der darauf beruhte, dass einige Benutzer nicht genau hinsahen, um zu bemerken, dass der Name nicht ganz übereinstimmte. Das ist passiert Zahlungsabwickler Stripe.

Für Verlage, die der Welt beweisen möchten, dass sie tatsächlich ein und dieselbe Unternehmenseinheit sind, haben einige Zertifizierungsstellen dies angeboten Extended Validation (EV)-Zertifikate. Der „erweiterte“ Teil besteht aus zusätzlichen Validierungen des Unternehmens selbst, wie z. B. der Geschäftsadresse, einer funktionierenden Telefonnummer, einer Geschäftslizenz oder -gründung und anderen typischen Merkmalen einer Unternehmensfortführung. Elektrofahrzeuge werden zu einem höheren Preis aufgeführt, da sie mehr Arbeit seitens der zuständigen Behörde erfordern. 

Browser zeigten früher ein hervorgehobenes visuelles Feedback für ein EV an, z. B. eine andere Farbe oder ein robusteres Schlosssymbol. In den letzten Jahren waren Elektrofahrzeuge auf dem Markt nicht besonders beliebt. Sie sind größtenteils ausgestorben. Viele Browser zeigen das differenzielle Feedback nicht mehr an. 

Trotz der noch bestehenden Schwächen hat sich PKI im Laufe der Zeit deutlich verbessert. Sobald Mängel erkannt wurden, wurden sie behoben. Kryptografische Algorithmen wurden gestärkt, die Governance wurde verbessert und Schwachstellen wurden blockiert. Die Governance durch einen Konsens der Branchenakteure hat recht gut funktioniert. Das System wird sich sowohl technologisch als auch institutionell weiterentwickeln. Abgesehen von der Einmischung der Regulierungsbehörden gibt es keinen Grund, etwas anderes zu erwarten.

Aus der glanzlosen Geschichte der Elektrofahrzeuge haben wir gelernt, dass sich der Markt nicht so sehr um die Überprüfung der Unternehmensidentität kümmert. Wenn Internetnutzer dies jedoch wünschen würden, wäre es nicht erforderlich, die bestehende PKI zu knacken, um es ihnen zu geben. Einige kleine Änderungen an bestehenden Arbeitsabläufen würden ausreichen. Einige Kommentatoren haben vorgeschlagen, das zu ändern TLS-Handschlag; Die Website würde ein zusätzliches Zertifikat vorlegen. Das primäre Zertifikat würde so funktionieren, wie es jetzt funktioniert. Das von einem QWAC signierte Sekundärzertifikat würde die zusätzlichen Identitätsstandards umsetzen, die die EC nach eigenen Angaben wünscht.

Die angeblichen Gründe der EG für eIDAS sind einfach nicht glaubwürdig. Die angeführten Gründe sind nicht nur unglaubwürdig, die EG macht sich auch nicht einmal die Mühe mit dem üblichen scheinheiligen Gejammer darüber, dass wir wichtige Freiheiten im Namen der Sicherheit opfern müssen, weil wir der ernsten Bedrohung durch Menschenhandel, Kindersicherheit und Geldwäsche ausgesetzt sind , Steuerhinterziehung oder (mein persönlicher Favorit) Klimawechsel. Es lässt sich nicht leugnen, dass die EU uns unter Druck setzt.

Wenn die EG nicht ehrlich zu ihren wahren Motiven ist, was ist dann ihr Ziel? Gibson sieht eine schändliche Absicht:

Und es gibt nur einen möglichen Grund dafür, dass sie Browser dazu zwingen wollen, QWACs zu vertrauen, und zwar, um das Abfangen des Internet-Webverkehrs im Handumdrehen zu ermöglichen, genau wie es innerhalb von Unternehmen geschieht. Und das wird anerkannt. 

(Was Gibson mit „Abfangen des Webverkehrs“ meint, ist der oben beschriebene MITM-Angriff.) Andere Kommentare haben die unheilvollen Auswirkungen auf die freie Meinungsäußerung und den politischen Protest hervorgehoben. Hurst in einem langen Aufsatz bringt ein schlüpfriges Argument vor:

Wenn eine liberale Demokratie diese Art der Kontrolle über die Technologie im Internet einführt, legt sie trotz ihrer Konsequenzen den Grundstein dafür, dass autoritärere Regierungen ungestraft diesem Beispiel folgen.

Mozilla zitiert in techdirt (ohne Link zum Original) sagt mehr oder weniger dasselbe:

[Browser zu zwingen, automatisch staatlich unterstützten Zertifizierungsstellen zu vertrauen, ist eine Schlüsseltaktik autoritärer Regime, und diese Akteure würden durch die legitimierende Wirkung der Maßnahmen der EU ermutigt …“

Gibson macht etwas Ähnliches Beobachtung:

Und dann ist da noch das sehr reale Gespenst, welche weiteren Türen dies öffnet: Wenn die EU dem Rest der Welt zeigt, dass sie die Vertrauensbedingungen für die von ihren Bürgern verwendeten unabhängigen Webbrowser erfolgreich diktieren kann, was werden andere Länder mit ähnlichen Gesetzen befolgen? ? Jetzt kann jeder einfach verlangen, dass die Zertifikate seines eigenen Landes hinzugefügt werden. Das führt uns genau in die falsche Richtung.

Dieser vorgeschlagene Artikel 45 ist ein Angriff auf die Privatsphäre der Nutzer in den EU-Staaten. Wenn es angenommen würde, wäre es ein massiver Rückschlag nicht nur für die Internetsicherheit, sondern auch für das weiterentwickelte Governance-System. Ich stimme Steve Gibson darin zu:

Was völlig unklar ist und was ich nirgendwo gefunden habe, ist eine Erklärung für die Autorität, mit der sich die EU einbildet, das Design der Software anderer Organisationen diktieren zu können. Denn darauf kommt es an.

Die Reaktionen auf den vorgeschlagenen Artikel 45 waren äußerst negativ. Die EFF in Artikel 45 setzt die Web-Sicherheit um 12 Jahre zurück schreibt: „Dies ist eine Katastrophe für die Privatsphäre aller Internetnutzer, insbesondere aber für diejenigen, die das Internet in der EU nutzen.“ 

Die eIDAS-Bemühungen sind für die Sicherheitsgemeinschaft ein Alarmsignal. Mozilla – Hersteller des Open-Source-Webbrowsers Firefox – hat eine veröffentlicht Gemeinsame Erklärung der Branche sich dagegen aussprechen. Die Erklärung wurde von einer hochkarätigen Liste von Internet-Infrastrukturunternehmen unterzeichnet, darunter Mozilla selbst, Cloudflare, Fastly und die Linux Foundation. 

Von der offenen Brief oben erwähnt: 

Nachdem wir den fast endgültigen Text gelesen haben, sind wir zutiefst besorgt über den vorgeschlagenen Text für Artikel 45. Der aktuelle Vorschlag weitet die Möglichkeiten der Regierungen, sowohl ihre eigenen Bürger als auch Einwohner in der gesamten EU zu überwachen, radikal aus, indem ihnen die technischen Mittel zum Abfangen verschlüsselter Daten zur Verfügung gestellt werden den Internetverkehr beeinträchtigen und die bestehenden Aufsichtsmechanismen untergraben, auf die sich die europäischen Bürger verlassen. 

Wohin führt das? Die Verordnung wird schon seit längerem vorgeschlagen. Eine endgültige Entscheidung war für November 2023 geplant. Websuchen zeigen seitdem keine neuen Informationen zu diesem Thema. 

In den letzten Jahren hat die völlige Zensur in all ihren Formen zugenommen. Während des Covid-Wahnsinns haben sich Regierung und Industrie zusammengetan, um eine zu schaffen Zensur-Industriekomplex um falsche Narrative effizienter zu fördern und Dissidenten zu unterdrücken. In den letzten Jahren haben sich Skeptiker und unabhängige Stimmen gewehrt, vor Gerichten, und durch das Schaffen Standpunktneutral Plattformen. 

Auch wenn die Zensur von Meinungen weiterhin eine große Gefahr darstellt, sind die Rechte von Schriftstellern und Journalisten besser geschützt als viele andere Rechte. In den USA ist die Erste Abänderung verfügt über einen ausdrücklichen Meinungsschutz und die Freiheit, die Regierung zu kritisieren. Gerichte können der Meinung sein, dass alle Rechte oder Freiheiten, die nicht durch eine sehr spezifische Gesetzessprache geschützt sind, Freiwild sind. Dies könnte der Grund dafür sein, dass der Widerstand bei der Rede mehr Erfolg hatte als andere Bemühungen, anderen Machtmissbrauch zu stoppen, wie z Quarantänen und Bevölkerungssperrungen. 

Anstatt einen gut verteidigten Gegner zu sein, verlagern Regierungen ihre Angriffe auf andere Schichten der Internet-Infrastruktur. Diese Dienste wie Domainregistrierung, DNS, Zertifikate, Zahlungsabwickler, Hosting und App Stores bestehen größtenteils aus privaten Marktplatztransaktionen. Diese Dienste sind weitaus weniger gut geschützt als die Sprache, da in den meisten Fällen niemand das Recht hat, einen bestimmten Dienst von einem bestimmten Unternehmen zu erwerben. Und die eher technischen Dienste wie DNS und PKI werden von der Öffentlichkeit weniger gut verstanden als Web Publishing.

Das PKI-System ist besonders anfällig für Angriffe, da es auf der Grundlage von Reputation und Konsens funktioniert. Es gibt keine einzelne Autorität, die das gesamte System regiert. Die Spieler müssen sich durch Transparenz, Compliance und ehrliche Meldung von Fehlern einen Namen machen. Und das macht es anfällig für diese Art von Störangriffen. Wenn die EU-PKI in die Hände der Regulierungsbehörden fällt, gehe ich davon aus, dass andere Länder folgen werden. PKI ist nicht nur gefährdet. Sobald nachgewiesen wird, dass andere Schichten des Stapels von den Regulierungsbehörden angegriffen werden können, werden sie ebenfalls ins Visier genommen. 



Veröffentlicht unter a Creative Commons Namensnennung 4.0 Internationale Lizenz
Für Nachdrucke setzen Sie bitte den kanonischen Link wieder auf das Original zurück Brownstone-Institut Artikel und Autor.

Autor

  • Robert Blumen

    Robert Blumen ist Softwareentwickler und Podcast-Moderator, der gelegentlich über politische und wirtschaftliche Themen schreibt

    Alle Beiträge

Spenden Sie heute

Ihre finanzielle Unterstützung des Brownstone Institute kommt der Unterstützung von Schriftstellern, Anwälten, Wissenschaftlern, Ökonomen und anderen mutigen Menschen zugute, die während der Umwälzungen unserer Zeit beruflich entlassen und vertrieben wurden. Sie können durch ihre fortlaufende Arbeit dazu beitragen, die Wahrheit ans Licht zu bringen.

Abonnieren Sie Brownstone für weitere Neuigkeiten

Bleiben Sie mit dem Brownstone Institute auf dem Laufenden