EU erteilt die Erlaubnis, die Internetnutzung von Europäern auszuspionieren

Im nächsten Abschnitt dieses Artikels wird erläutert, wie die Vertrauensinfrastruktur des Internets funktioniert. Dieser Hintergrund ist notwendig, um zu verstehen, wie radikal der vorgeschlagene Artikel ist. Die Erläuterung soll auch einem technisch nicht versierten Leser zugänglich sein.

Die betreffende Verordnung befasst sich mit der Internetsicherheit. Mit „Internet“ sind hier im Wesentlichen Browser gemeint, die Websites besuchen. Internetsicherheit besteht aus vielen unterschiedlichen Aspekten. Artikel 45 sieht eine Änderung  der Public-Key-Infrastruktur (PKI) vor , die seit Mitte der 90er Jahre ein Teil der Internetsicherheit ist. PKI wurde zunächst eingeführt und dann über einen Zeitraum von 25 Jahren verbessert, um Benutzern und Herausgebern die folgenden Sicherheiten zu bieten: 

• Vertraulichkeit der Konversation zwischen dem Browser und der Website : Browser und Websites kommunizieren über das Internet, ein Netzwerk von Netzwerken, die von  Internetdienstanbietern und  Tier-1-Betreibern betrieben werden ; oder  Mobilfunkanbieter  , wenn das Gerät mobil ist. Das Netzwerk selbst ist weder von Natur aus sicher noch vertrauenswürdig. Ihr  neugieriger ISP zu Hause ,  ein Reisender in der Flughafenlounge,  in der Sie auf Ihren Flug warten, oder  ein Datenverkäufer, der Leads an Werbetreibende verkaufen möchte,  möchten Sie möglicherweise ausspionieren. Ohne jeglichen Schutz könnte ein Angreifer vertrauliche Daten wie Passwörter, Kreditkartenguthaben oder Gesundheitsinformationen einsehen. 
• Stellen Sie sicher, dass Sie die Seite genau so anzeigen, wie die Website sie Ihnen gesendet hat : Wenn Sie eine Webseite anzeigen, könnte diese zwischen dem Herausgeber und Ihrem Browser manipuliert worden sein? Ein Zensor möchte möglicherweise Inhalte entfernen, die Sie nicht sehen sollen. Als „Fehlinformation“ gekennzeichnete Inhalte wurden während der Covid-Hysterie weitgehend unterdrückt. Ein Hacker, der Ihre Kreditkarte gestohlen hat, möchte möglicherweise Beweise für seine betrügerischen Belastungen entfernen. 
• Stellen Sie sicher, dass die Website, die Sie sehen, tatsächlich die in der Adressleiste des Browsers ist : Wenn Sie eine Verbindung zu einer Bank herstellen, woher wissen Sie, dass Sie die Website dieser Bank sehen und nicht eine gefälschte Version, die identisch aussieht? Sie überprüfen die Standortleiste in Ihrem Browser. Könnte Ihr Browser dazu verleitet werden, Ihnen eine gefälschte Website anzuzeigen, die mit der echten identisch zu sein scheint? Woher weiß Ihr Browser sicher, dass er mit der richtigen Seite verbunden ist? 

In den Anfängen des Internets gab es keine dieser Zusicherungen. Im Jahr 2010  ermöglichte ein im Add-on-Store verfügbares Browser-Plugin  dem Benutzer die Teilnahme am Facebook-Gruppenchat einer anderen Person in einem Café-Hotspot. Dank PKI können Sie sich dieser Dinge jetzt ziemlich sicher sein. 

Diese Sicherheitsmerkmale werden durch ein System geschützt, das auf  digitalen Zertifikaten basiert . Digitale Zertifikate sind eine Form des Ausweises – die Internetversion eines Führerscheins. Wenn ein Browser eine Verbindung zu einer Site herstellt, präsentiert die Site dem Browser ein Zertifikat. Das Zertifikat enthält einen kryptografischen Schlüssel. Der Browser und die Website arbeiten mit einer Reihe kryptografischer Berechnungen zusammen, um eine sichere Kommunikation einzurichten.

Zusammen bieten der Browser und die Website die drei Sicherheitsgarantien:

• Privatsphäre : durch Verschlüsselung der Konversation.
• Kryptografische digitale Signaturen:  um sicherzustellen, dass  der Inhalt während der Übertragung nicht verändert wird . 
• Überprüfung des Herausgebers : durch die von PKI bereitgestellte Vertrauenskette, die ich weiter unten näher erläutern werde. 

Eine gute Identität sollte schwer zu fälschen sein. In der Antike  diente dazu der Abguss eines Siegels aus Wachs  . Identitäten für Menschen basieren auf biometrischen Daten. Ihr Gesicht ist eine der ältesten Formen. Wenn Sie in der nicht-digitalen Welt auf eine altersbeschränkte Einstellung zugreifen müssen, beispielsweise um ein alkoholisches Getränk zu bestellen, werden Sie nach einem Lichtbildausweis gefragt.

Ein weiteres biometrisches Verfahren aus der Zeit vor dem digitalen Zeitalter bestand darin, Ihre frische Federunterschrift mit Ihrer Originalunterschrift auf der Rückseite Ihres Ausweises abzugleichen. Da diese älteren Arten biometrischer Daten immer leichter zu fälschen sind, hat sich die Überprüfung der menschlichen Identität angepasst. Heutzutage ist es üblich, dass eine Bank Ihnen einen Validierungscode auf Ihr Mobiltelefon sendet. Die App erfordert, dass Sie eine biometrische Identitätsprüfung auf Ihrem Mobiltelefon bestehen, um den Code wie Gesichtserkennung oder Ihren Fingerabdruck anzuzeigen. 

Der zweite Faktor, der einen Ausweis vertrauenswürdig macht, ist neben der Biometrie der Aussteller. Die weithin akzeptierten Ausweise hängen von der Fähigkeit des Ausstellers ab, zu überprüfen, ob die Person, die einen Ausweis beantragt, die ist, für die sie sich ausgibt. Die meisten der allgemein akzeptierten Ausweisformen werden von Regierungsbehörden ausgestellt, beispielsweise dem Department of Motor Vehicles. Wenn die ausstellende Behörde über verlässliche Mittel verfügt, um nachzuverfolgen, wer und wo sich die Personen aufhalten, wie z. B. Steuerzahlungen, Beschäftigungsunterlagen oder die Inanspruchnahme von Wasserversorgungsdiensten, dann besteht eine gute Chance, dass die Behörde überprüfen kann, ob es sich um die auf dem Ausweis genannte Person handelt diese Person.

In der Online-Welt haben sich Regierungen größtenteils nicht an der Identitätsprüfung beteiligt. Zertifikate werden von privaten Unternehmen ausgestellt, die als  Zertifizierungsstellen  (CAs) bekannt sind. Während Zertifikate früher recht teuer waren, sind die Gebühren inzwischen erheblich gesunken, sodass  einige Zertifikate sogar kostenlos sind . Die bekanntesten CAs sind Verisign, DigiCert und GoDaddy. Ryan Hurst zeigt,  dass die sieben großen Zertifizierungsstellen (ISRG, DigiCert, Sectigo, Google, GoDaddy, Microsoft und IdenTrust) 99 % aller Zertifikate ausstellen.

Der Browser akzeptiert ein Zertifikat nur dann als Identitätsnachweis, wenn das Namensfeld im Zertifikat mit dem Domänennamen übereinstimmt, den der Browser in der Adressleiste anzeigt. Selbst wenn die Namen übereinstimmen, bedeutet das, dass ein Zertifikat mit der Aufschrift „apple.com“ zum Unterhaltungselektronikunternehmen Apple, Inc. gehört? Identitätssysteme sind nicht kugelsicher. Minderjährige Trinker  können sich gefälschte Ausweise besorgen . Wie menschliche Ausweise können auch digitale Zertifikate gefälscht oder aus anderen Gründen ungültig sein. Ein Softwareentwickler, der kostenlose Open-Source-Tools verwendet, kann mit  ein paar Linux-Befehlen ein digitales Zertifikat mit dem Namen „apple.com“ erstellen . 

Das PKI-System verlässt sich darauf, dass Zertifizierungsstellen Zertifikate nur für den Eigentümer der Website ausstellen. Der Workflow zum Erwerb eines Zertifikats sieht folgendermaßen aus:

1. Der Herausgeber einer Website beantragt bei seiner bevorzugten Zertifizierungsstelle ein Zertifikat für eine Domain. 
2. Die Zertifizierungsstelle überprüft, ob die Zertifikatsanforderung vom tatsächlichen Eigentümer dieser Site stammt. Wie stellt die CA dies fest? Die CA verlangt, dass die Stelle, die die Anfrage stellt, einen bestimmten Inhalt unter einer bestimmten URL veröffentlicht. Die Fähigkeit dazu beweist, dass das Unternehmen die Kontrolle über die Website hat.
3. Sobald die Website den Besitz der Domain nachgewiesen hat, fügt die Zertifizierungsstelle mithilfe ihres eigenen privaten kryptografischen Schlüssels eine  kryptografische digitale Signatur  an das Zertifikat an. Die Signatur identifiziert die CA als Aussteller. 
4. Das signierte Zertifikat wird der anfragenden Person oder Organisation übermittelt. 
5. Der Herausgeber installiert sein Zertifikat auf seiner Website, damit es Browsern angezeigt werden kann. 

Kryptografische digitale Signaturen sind „ein mathematisches Schema zur Überprüfung der Authentizität digitaler Nachrichten oder Dokumente“. Sie sind nicht dasselbe wie die Online-Dokumentsignatur von DocuSign und ähnlichen Anbietern. Wenn die Signatur gefälscht werden könnte, wären die Zertifikate nicht vertrauenswürdig. Im Laufe der Zeit wurde die Größe der kryptografischen Schlüssel erhöht mit dem Ziel, Fälschungen zu erschweren. Kryptographieforscher glauben, dass aktuelle Signaturen praktisch unmöglich zu fälschen sind. Eine weitere Sicherheitslücke besteht darin, dass der Zertifizierungsstelle ihre geheimen Schlüssel gestohlen werden. Der Dieb könnte dann gültige Signaturen dieser Zertifizierungsstelle vorlegen. 

Sobald das Zertifikat installiert wurde, wird es beim Einrichten einer Webkonversation verwendet. Das  Register  erklärt  , wie das geht:

Wenn das Zertifikat von einer bekanntermaßen guten Zertifizierungsstelle ausgestellt wurde und alle Angaben korrekt sind, gilt die Website als vertrauenswürdig und der Browser versucht, eine sichere, verschlüsselte Verbindung mit der Website herzustellen, sodass Ihre Aktivitäten auf der Website nicht sichtbar sind an einen Abhörer im Netzwerk. Wenn das Zertifikat von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, das Zertifikat nicht mit der Adresse der Website übereinstimmt oder einige Angaben falsch sind, lehnt der Browser die Website ab, da er befürchtet, dass keine Verbindung zu der vom Benutzer gewünschten Website hergestellt wird und spricht möglicherweise mit einem Imitator.

Wir können dem Browser vertrauen, weil der Browser der Website vertraut. Der Browser vertraut der Website, da das Zertifikat von einer „bekanntermaßen guten“ Zertifizierungsstelle ausgestellt wurde. Aber was ist eine „bekanntermaßen gute Zertifizierungsstelle“? Die meisten Browser verlassen sich auf die vom Betriebssystem bereitgestellten CAs. Die Liste der vertrauenswürdigen Zertifizierungsstellen wird von den Geräte- und Softwareanbietern festgelegt. Die großen Computer- und Geräteanbieter – Microsoft, Apple, Hersteller von Android-Telefonen und die Open-Source-Linux-Distributoren – laden das Betriebssystem auf ihren Geräten mit einer Reihe von Stammzertifikaten vor.

Diese Zertifikate identifizieren die von ihnen überprüften und als zuverlässig erachteten Zertifizierungsstellen. Diese Sammlung von Stammzertifikaten wird als „Trust Store“ bezeichnet. Um ein Beispiel aus meiner Nähe zu nennen: Der Windows-PC, den ich zum Schreiben dieses Artikels verwende, verfügt über 70 Stammzertifikate in seinem Trusted Root Certificate Store. Auf der Support-Website von Apple  sind alle Roots aufgeführt, denen die Sierra-Version von MacOS vertraut . 

Wie entscheiden die Computer- und Telefonanbieter, welche Zertifizierungsstellen vertrauenswürdig sind? Sie verfügen über Audit- und Compliance-Programme, um die Qualität von Zertifizierungsstellen zu bewerten. Nur diejenigen, die bestehen, werden berücksichtigt. Siehe zum Beispiel  den Chrome-Browser  (der einen eigenen Vertrauensspeicher bereitstellt, anstatt den auf dem Gerät zu verwenden). Die EFF ( die sich selbst als „die führende gemeinnützige Organisation zur Verteidigung der Bürgerrechte in der digitalen Welt“ bezeichnet )  erklärt :

Browser betreiben „Root-Programme“, um die Sicherheit und Vertrauenswürdigkeit der Zertifizierungsstellen, denen sie vertrauen, zu überwachen. Diese Root-Programme stellen eine Reihe von Anforderungen, die von „Wie muss Schlüsselmaterial gesichert werden“ über „Wie muss die Validierung der Domänennamenkontrolle durchgeführt werden“ bis hin zu „Welche Algorithmen müssen für die Zertifikatssignierung verwendet werden“ reichen?

Nachdem eine Zertifizierungsstelle von einem Anbieter akzeptiert wurde, überwacht der Anbieter sie weiterhin. Anbieter werden Zertifizierungsstellen aus dem Trust Store entfernen, wenn die Zertifizierungsstelle die erforderlichen Sicherheitsstandards nicht einhält. Zertifizierungsstellen können und werden aus anderen Gründen unkontrolliert vorgehen oder scheitern. Das  Register  berichtet :

Zertifikate und die Zertifizierungsstellen, die sie ausstellen, sind nicht immer vertrauenswürdig und Browserhersteller haben im Laufe der Jahre CA-Stammzertifikate von Zertifizierungsstellen mit Sitz in der Türkei, Frankreich, China, Kasachstan und anderswo entfernt, als festgestellt wurde, dass die ausstellende Stelle oder eine verbundene Partei das Internet abfängt Verkehr. 

Im Jahr 2022 meldete der Forscher Ian Carroll  Sicherheitsbedenken bei der e-Tugra-Zertifizierungsstelle . Carroll „fand eine Reihe alarmierender Probleme, die mich hinsichtlich der Sicherheitspraktiken in ihrem Unternehmen beunruhigen“, wie zum Beispiel schwache Anmeldeinformationen. Carrolls Berichte wurden von den großen Softwareanbietern überprüft. Infolgedessen wurde e-Tugra  aus den vertrauenswürdigen Zertifikatsspeichern entfernt . 

Die  Timeline of Certificate Authority Failures  berichtet von weiteren Vorfällen dieser Art. 

Es gibt immer noch einige bekannte Lücken in der PKI, wie sie derzeit existiert. Da ein bestimmter Punkt für das Verständnis von Artikel 45 von eIDAS wichtig ist, werde ich ihn als Nächstes erläutern. Das Vertrauen einer Zertifizierungsstelle beschränkt sich nicht auf die Websites, die ihre Geschäfte mit dieser Zertifizierungsstelle abwickeln. Ein Browser akzeptiert ein Zertifikat von jeder vertrauenswürdigen Zertifizierungsstelle für jede Website. Nichts hindert die Zertifizierungsstelle daran, einem böswilligen Akteur eine Website zur Verfügung zu stellen, die nicht vom Eigentümer der Website angefordert wurde. Ein solches Zertifikat wäre im rechtlichen Sinne betrügerisch, da es für wen es ausgestellt wurde. Der Inhalt des Zertifikats wäre jedoch aus Sicht des Browsers technisch gültig. 

Wenn es eine Möglichkeit gäbe, jede Website ihrer bevorzugten Zertifizierungsstelle zuzuordnen, würde jedes Zertifikat einer anderen Zertifizierungsstelle für diese Website sofort als betrügerisch erkannt. Das Anheften von Zertifikaten  ist ein weiterer Standard, der einen Schritt in diese Richtung geht. Aber wie würde diese Verbindung veröffentlicht und wie würde man diesem Herausgeber vertrauen? 

Auf jeder Ebene dieses Prozesses ist die technische Lösung auf eine externe Vertrauensquelle angewiesen. Doch wie entsteht dieses Vertrauen? Indem man sich auf eine noch vertrauenswürdigere Quelle auf der nächsthöheren Ebene verlässt? Diese Frage verdeutlicht die „ Schildkröten bis ganz nach unten “-Natur des Problems. PKI hat tatsächlich eine Schildkröte im Hintergrund: den Ruf, die Sichtbarkeit und die Transparenz der Sicherheitsbranche und ihrer Kunden. Vertrauen wird auf dieser Ebene durch ständige Überwachung, offene Standards, die Softwareentwickler und die Zertifizierungsstellen aufgebaut. 

Es wurden betrügerische Zertifikate ausgestellt. Im Jahr 2013 berichtete ArsTechnica, dass  eine französische Agentur beim Prägen von SSL-Zertifikaten erwischt wurde, die sich als Google ausgab :

Im Jahr 2011 entdeckten Sicherheitsforscher  ein gefälschtes Zertifikat für Google.com  , das Angreifern die Möglichkeit gab, sich als E-Mail-Dienst und andere Angebote der Website auszugeben. Das gefälschte Zertifikat wurde geprägt, nachdem Angreifer die Sicherheit des niederländischen Unternehmens DigiNotar durchbrochen und die Kontrolle über dessen Zertifikatsausgabesysteme erlangt hatten.

Die SSL-Anmeldeinformationen (Secure Sockets Layer) wurden von einer gültigen Zertifizierungsstelle digital signiert. Tatsächlich handelte es sich bei den Zertifikaten um nicht autorisierte Duplikate, die unter Verstoß gegen die von Browserherstellern und Zertifizierungsstellendiensten festgelegten Regeln ausgestellt wurden.

Es kann zu betrügerischer Zertifikatsausstellung kommen. Eine betrügerische Zertifizierungsstelle kann eine ausstellen, aber sie wird nicht weit kommen. Das fehlerhafte Zertifikat wird erkannt. Die fehlerhafte Zertifizierungsstelle wird Compliance-Programme nicht bestehen und aus Trust Stores entfernt werden. Ohne Akzeptanz wird die Zertifizierungsstelle ihr Geschäft aufgeben. Certificate Transparency , ein neuerer Standard, ermöglicht eine schnellere Erkennung gefälschter Zertifikate. 

Warum sollte eine Zertifizierungsstelle betrügerisch werden? Welchen Vorteil kann der Bösewicht aus einem nicht autorisierten Zertifikat ziehen? Mit dem Zertifikat allein ist das nicht viel, selbst wenn es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde. Wenn der Bösewicht jedoch mit einem ISP zusammenarbeiten oder auf andere Weise auf das vom Browser verwendete Netzwerk zugreifen kann, gibt ihm das Zertifikat die Möglichkeit, alle Sicherheitsgarantien der PKI zu brechen. 

Der Hacker könnte einen  Man-in-the – Middle-Angriff (MITM)  auf das Gespräch starten. Der Angreifer könnte sich zwischen den Browser und die echte Website einfügen. In diesem Szenario würde der Benutzer direkt mit dem Angreifer sprechen und der Angreifer würde die Inhalte mit der echten Website hin und her weiterleiten. Der Angreifer würde dem Browser das betrügerische Zertifikat präsentieren. Da es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, würde der Browser es akzeptieren. Der Angreifer konnte sehen und sogar ändern, was eine Partei sendete, bevor die andere Seite es erhielt.

Nun kommen wir zum finsteren eIDAS der EU, Artikel 45. Dieser Verordnungsvorschlag verlangt von allen Browsern, dass sie einem Korb von Zertifikaten von CAs vertrauen, die von der EU benannt wurden. Um genau zu sein: siebenundzwanzig: eine für jedes Mitgliedsland. Diese Zertifikate sollen als  Qualified Website Authentication Certificates bezeichnet werden . Das Akronym „QWAC“ hat ein unglückliches Homophon für  Quacksalberei  – oder vielleicht trollt uns die EC.

Die QWACs würden entweder von Regierungsbehörden oder von dem, was Michael Rectenwald „  Governmentalitäten“ nennt, herausgegeben : „Unternehmen und Unternehmen und andere Anhängsel des Staates, die sonst ‚privat‘ genannt werden, aber in Wirklichkeit als Staatsapparate fungieren, indem sie Durchsetzungsmaßnahmen durchführen.“ staatliche Narrative und Diktate.“ 

Dieser Plan würde die Regierungen der EU-Mitgliedstaaten dem Punkt einen Schritt näher bringen, an dem sie Man-in-the-Middle-Angriffe gegen ihre eigenen Bürger durchführen könnten. Sie müssten auch auf die Netzwerke zugreifen. Regierungen sind dazu in der Lage. Wenn der ISP als staatliches Unternehmen geführt wird, dann hätte er es bereits. Handelt es sich bei den ISPs um private Unternehmen, könnten die lokalen  Behörden  polizeiliche Befugnisse nutzen, um sich Zugang zu verschaffen. 

Ein Punkt, der in der öffentlichen Diskussion nicht hervorgehoben wurde, ist, dass ein Browser in einem der 27 EU-Mitgliedstaaten jeden einzelnen QWAC akzeptieren müsste, einen von jedem  EU-Mitglied . Das bedeutet, dass ein Browser beispielsweise in Spanien einem QWAC von Unternehmen in Kroatien, Finnland und Österreich vertrauen müsste. Der spanische Nutzer, der eine österreichische Website besucht, müsste österreichische Teile des Internets durchqueren. Die oben angesprochenen Probleme würden alle für alle Länder innerhalb der EU gelten. 

The Register erklärt in einem Artikel mit dem Titel „  Bad eIDAS: Europe ready to intercept, spion on your verschlüsselten HTTPS-Verbindungen“,  wie dies funktionieren könnte:

[D]ie Regierung kann ihre befreundete Zertifizierungsstelle um eine Kopie des [QWAC]-Zertifikats bitten, damit die Regierung sich als die Website ausgeben kann – oder um ein anderes Zertifikat bitten, dem Browser vertrauen und das sie für die Website akzeptieren. Durch einen Man-in-the-Middle-Angriff kann diese Regierung den verschlüsselten HTTPS-Verkehr zwischen der Website und ihren Benutzern abfangen und entschlüsseln, sodass das Regime jederzeit genau überwachen kann, was die Leute mit dieser Website machen.

Nachdem der Schutzschild der Verschlüsselung durchbrochen wurde, könnte die Überwachung das Speichern der Passwörter der Benutzer und deren spätere Verwendung zu einem späteren Zeitpunkt umfassen, um auf die E-Mail-Konten der Bürger zuzugreifen. Zusätzlich zur Überwachung könnten Regierungen Inhalte inline ändern. Sie könnten beispielsweise die Erzählungen entfernen, die sie zensieren möchten. Sie könnten  abweichende Meinungen mit nervigen Faktenchecks  und  Inhaltswarnungen verknüpfen  .

Aus heutiger Sicht müssen Zertifizierungsstellen das Vertrauen der Browser-Community wahren. Derzeit warnen Browser den Benutzer, wenn eine Website ein abgelaufenes oder aus anderen Gründen nicht vertrauenswürdiges Zertifikat vorlegt. Nach Artikel 45 wären Verwarnungen oder der Ausschluss von Vertrauensmissbrauchern verboten. Browser sind nicht nur verpflichtet, den QWACs zu vertrauen, sondern Artikel 45 verbietet Browsern auch, eine Warnung anzuzeigen, dass ein von einem QWAC signiertes Zertifikat vorliegt. 

Last Chance for eIDAS  (eine Website mit dem Mozilla-Logo) befürwortet Artikel 45: 

Jeder EU-Mitgliedsstaat hat die Möglichkeit, kryptografische Schlüssel für die Verteilung in Webbrowsern festzulegen, und es ist Browsern untersagt, das Vertrauen in diese Schlüssel ohne staatliche Genehmigung zu widerrufen. 

…Es gibt keine unabhängige Kontrolle oder Abwägung der Entscheidungen der Mitgliedstaaten in Bezug auf die von ihnen genehmigten Schlüssel und deren Verwendung. Dies ist besonders besorgniserregend, da die Einhaltung der Rechtsstaatlichkeit nicht  in allen Mitgliedstaaten  einheitlich ist und es dokumentierte Fälle von  Nötigung durch die Geheimpolizei  aus politischen Gründen gibt.

In einem  offenen Brief, unterzeichnet von mehreren hundert Sicherheitsforschern und Informatikern :

Artikel 45 verbietet außerdem Sicherheitsüberprüfungen von EU-Web-Zertifikaten, sofern dies nicht ausdrücklich durch die Verordnung beim Aufbau verschlüsselter Web-Verkehrsverbindungen gestattet ist. Anstatt eine Reihe von Mindestsicherheitsmaßnahmen festzulegen, die als Basis durchgesetzt werden müssen, legt es tatsächlich eine Obergrenze für die Sicherheitsmaßnahmen fest, die ohne die Genehmigung von ETSI nicht verbessert werden können. Dies steht im Widerspruch zu etablierten globalen Normen, nach denen neue Cybersicherheitstechnologien als Reaktion auf rasante technologische Entwicklungen entwickelt und eingesetzt werden. 

Die meisten von uns verlassen sich darauf, dass unsere Anbieter die Liste der vertrauenswürdigen Zertifizierungsstellen zusammenstellen. Als Benutzer können Sie jedoch nach Belieben Zertifikate auf Ihren eigenen Geräten hinzufügen oder entfernen. Microsoft Windows verfügt  hierfür über ein Tool . Unter Linux sind die Stammzertifikate Dateien, die sich in einem einzigen Verzeichnis befinden. Eine Zertifizierungsstelle kann einfach durch das Löschen der Datei nicht mehr vertrauenswürdig sein. Wird das auch verboten? Steve Gibson, bekannter Sicherheitsexperte,  Kolumnist und Moderator des  langjährigen Security Now-Podcasts,  fragt :

Die EU erklärt jedoch, dass Browser verpflichtet sein werden, diese neuen, unbewiesenen und ungetesteten Zertifizierungsstellen und damit alle von ihnen ausgestellten Zertifikate ausnahmslos und ohne Rückgriff zu akzeptieren. Bedeutet das, dass meine Firefox-Instanz rechtlich dazu verpflichtet ist, meinen Versuch, diese Zertifikate zu entfernen, abzulehnen?

Gibson weist darauf hin, dass einige Unternehmen eine ähnliche Überwachung ihrer Mitarbeiter in ihrem eigenen privaten Netzwerk durchführen. Unabhängig von Ihrer Meinung zu diesen Arbeitsbedingungen haben einige Branchen berechtigte Audit- und Compliance-Gründe, um zu verfolgen und aufzuzeichnen, was ihre Mitarbeiter mit Unternehmensressourcen tun. Aber, wie Gibson  fortfährt ,

Das Problem besteht darin, dass sich die EU und ihre Mitgliedsstaaten stark von den Mitarbeitern einer privaten Organisation unterscheiden. Immer wenn ein Mitarbeiter nicht ausspioniert werden möchte, kann er mit seinem eigenen Smartphone das Netzwerk seines Arbeitgebers umgehen. Und natürlich ist das private Netzwerk eines Arbeitgebers genau das, ein privates Netzwerk. Die EU möchte dies für das gesamte öffentliche Internet tun, aus dem es kein Entrinnen gibt.

Jetzt haben wir den radikalen Charakter dieses Vorschlags festgestellt. Es ist an der Zeit zu fragen: Welche Gründe nennt die EG, um diese Änderung voranzutreiben? Die EC sagt, dass die Identitätsprüfung mittels PKI nicht ausreichend sei. Und dass diese Änderungen notwendig sind, um es zu verbessern. 

Ist an den Behauptungen der EG etwas Wahres dran? Aktuelle PKI erfordern in den meisten Fällen lediglich die Anfrage zum Nachweis der Kontrolle über die Website. Das ist zwar etwas, garantiert aber beispielsweise nicht, dass die Web-Property „apple.com“ Eigentum des Unterhaltungselektronikunternehmens Apple Inc. mit Hauptsitz in Cupertino, Kalifornien, ist. Ein böswilliger Benutzer könnte ein gültiges Zertifikat für eine Domäne erhalten, die dem Namen eines bekannten Unternehmens ähnelt. Das gültige Zertifikat könnte für einen Angriff verwendet werden, der darauf beruhte, dass einige Benutzer nicht genau hinsahen, um zu bemerken, dass der Name nicht ganz übereinstimmte. Dies ist dem  Zahlungsabwickler Stripe passiert .

Für Verlage, die der Welt beweisen möchten, dass es sich tatsächlich um dieselbe Unternehmenseinheit handelt, haben einige Zertifizierungsstellen  EV-Zertifikate (Extended Validation) angeboten . Der „erweiterte“ Teil besteht aus zusätzlichen Validierungen des Unternehmens selbst, wie z. B. der Geschäftsadresse, einer funktionierenden Telefonnummer, einer Geschäftslizenz oder -gründung und anderen typischen Merkmalen einer Unternehmensfortführung. Elektrofahrzeuge werden zu einem höheren Preis aufgeführt, da sie mehr Arbeit seitens der zuständigen Behörde erfordern. 

Browser zeigten früher ein hervorgehobenes visuelles Feedback für ein EV an, z. B. eine andere Farbe oder ein robusteres Schlosssymbol. In den letzten Jahren waren Elektrofahrzeuge auf dem Markt nicht besonders beliebt. Sie sind größtenteils ausgestorben. Viele Browser zeigen das differenzielle Feedback nicht mehr an. 

Trotz der noch bestehenden Schwächen hat sich PKI im Laufe der Zeit deutlich verbessert. Sobald Mängel erkannt wurden, wurden sie behoben. Kryptografische Algorithmen wurden gestärkt, die Governance wurde verbessert und Schwachstellen wurden blockiert. Die Governance durch einen Konsens der Branchenakteure hat recht gut funktioniert. Das System wird sich sowohl technologisch als auch institutionell weiterentwickeln. Abgesehen von der Einmischung der Regulierungsbehörden gibt es keinen Grund, etwas anderes zu erwarten.

Aus der glanzlosen Geschichte der Elektrofahrzeuge haben wir gelernt, dass sich der Markt nicht so sehr um die Überprüfung der Unternehmensidentität kümmert. Wenn Internetnutzer dies jedoch wünschen würden, wäre es nicht erforderlich, die bestehende PKI zu knacken, um es ihnen zu geben. Einige kleine Änderungen an bestehenden Arbeitsabläufen würden ausreichen. Einige Kommentatoren haben vorgeschlagen, den  TLS-Handshake zu ändern ; Die Website würde ein zusätzliches Zertifikat vorlegen. Das primäre Zertifikat würde so funktionieren, wie es jetzt funktioniert. Das von einem QWAC signierte Sekundärzertifikat würde die zusätzlichen Identitätsstandards umsetzen, die die EC nach eigenen Angaben wünscht.

Die angeblichen Gründe der EG für eIDAS sind einfach nicht glaubwürdig. Die angeführten Gründe sind nicht nur unglaubwürdig, die EG macht sich auch nicht einmal die Mühe mit dem üblichen scheinheiligen Gejammer darüber, dass wir wichtige Freiheiten im Namen der Sicherheit opfern müssen, weil wir der ernsten Bedrohung durch Menschenhandel, Kindersicherheit und Geldwäsche ausgesetzt sind , Steuerhinterziehung oder (mein persönlicher Favorit)  Klimawandel . Es lässt sich nicht leugnen, dass die EU uns unter Druck setzt.

Wenn die EG nicht ehrlich zu ihren wahren Motiven ist, was ist dann ihr Ziel? Gibson sieht  eine schändliche Absicht :

Und es gibt nur einen möglichen Grund dafür, dass sie Browser dazu zwingen wollen, QWACs zu vertrauen, und zwar, um das Abfangen des Internet-Webverkehrs im Handumdrehen zu ermöglichen, genau wie es innerhalb von Unternehmen geschieht. Und das wird anerkannt. 

(Was Gibson mit „Abfangen des Webverkehrs“ meint, ist der oben beschriebene MITM-Angriff.) Andere Kommentare haben die unheilvollen Auswirkungen auf die freie Meinungsäußerung und den politischen Protest hervorgehoben. Hurst  führt in einem langen Aufsatz  ein schlüpfriges Argument an:

Wenn eine liberale Demokratie diese Art der Kontrolle über die Technologie im Internet einführt, legt sie trotz ihrer Konsequenzen den Grundstein dafür, dass autoritärere Regierungen ungestraft diesem Beispiel folgen.

Mozilla  , zitiert in techdirt  (ohne Link zum Original), sagt mehr oder weniger dasselbe:

[Browser zu zwingen, automatisch staatlich unterstützten Zertifizierungsstellen zu vertrauen, ist eine Schlüsseltaktik autoritärer Regime, und diese Akteure würden durch die legitimierende Wirkung der Maßnahmen der EU ermutigt …

Gibson macht eine ähnliche  Beobachtung :

Und dann ist da noch das sehr reale Gespenst, welche weiteren Türen dies öffnet: Wenn die EU dem Rest der Welt zeigt, dass sie die Vertrauensbedingungen für die von ihren Bürgern verwendeten unabhängigen Webbrowser erfolgreich diktieren kann, was werden andere Länder mit ähnlichen Gesetzen befolgen? ? Jetzt kann jeder einfach verlangen, dass die Zertifikate seines eigenen Landes hinzugefügt werden. Das führt uns genau in die falsche Richtung.

Dieser vorgeschlagene Artikel 45 ist ein Angriff auf die Privatsphäre der Nutzer in den EU-Staaten. Wenn es angenommen würde, wäre es ein massiver Rückschlag nicht nur für die Internetsicherheit, sondern auch für das weiterentwickelte Governance-System. Ich stimme Steve Gibson darin zu:

Was völlig unklar ist und was ich nirgendwo gefunden habe, ist eine Erklärung für die Autorität, mit der sich die EU einbildet, das Design der Software anderer Organisationen diktieren zu können. Denn darauf kommt es an.

Die Reaktionen auf den vorgeschlagenen Artikel 45 waren äußerst negativ. Die EFF schreibt in  Artikel 45  : „Dies ist eine Katastrophe für die Privatsphäre aller, die das Internet nutzen, insbesondere aber für diejenigen, die das Internet in der EU nutzen.“ 

Die eIDAS-Bemühungen sind für die Sicherheitsgemeinschaft ein Alarmsignal. Mozilla – Hersteller des Open-Source-Webbrowsers Firefox – veröffentlichte eine  gemeinsame Branchenerklärung,  in der er sich dagegen aussprach. Die Erklärung wurde von einer hochkarätigen Liste von Internet-Infrastrukturunternehmen unterzeichnet, darunter Mozilla selbst, Cloudflare, Fastly und die Linux Foundation. 

Aus dem   oben erwähnten  offenen Brief :

Nachdem wir den fast endgültigen Text gelesen haben, sind wir zutiefst besorgt über den vorgeschlagenen Text für Artikel 45. Der aktuelle Vorschlag weitet die Möglichkeiten der Regierungen, sowohl ihre eigenen Bürger als auch Einwohner in der gesamten EU zu überwachen, radikal aus, indem ihnen die technischen Mittel zum Abfangen verschlüsselter Daten zur Verfügung gestellt werden den Internetverkehr beeinträchtigen und die bestehenden Aufsichtsmechanismen untergraben, auf die sich die europäischen Bürger verlassen. 

Wohin führt das? Die Verordnung wird schon seit längerem vorgeschlagen. Eine endgültige Entscheidung war für November 2023 geplant. Websuchen zeigen seitdem keine neuen Informationen zu diesem Thema. 

In den letzten Jahren hat die völlige Zensur in all ihren Formen zugenommen. Während des Covid-Wahnsinns haben sich Regierung und Industrie zusammengetan, um einen  Zensur-Industrie-Komplex zu schaffen  , um falsche Narrative effizienter zu fördern und Dissidenten zu unterdrücken. In den letzten Jahren haben sich Skeptiker und unabhängige Stimmen  vor Gericht und durch die Schaffung  von Standpunkt-neutralen  Plattformen gewehrt. 

Auch wenn die Zensur von Meinungen weiterhin eine große Gefahr darstellt, sind die Rechte von Schriftstellern und Journalisten besser geschützt als viele andere Rechte. In den USA sieht der  Erste Verfassungszusatz  einen ausdrücklichen Schutz der Meinungsäußerung und die Freiheit vor, die Regierung zu kritisieren. Gerichte können der Meinung sein, dass alle Rechte oder Freiheiten, die nicht durch eine sehr spezifische Gesetzessprache geschützt sind, Freiwild sind. Dies könnte der Grund dafür sein, dass der Widerstand mit seiner Rede mehr Erfolg hatte als andere Bemühungen, andere Machtmissbräuche wie  Quarantänen  und Bevölkerungsabriegelungen zu stoppen. 

Anstatt einen gut verteidigten Gegner zu sein, verlagern Regierungen ihre Angriffe auf andere Schichten der Internet-Infrastruktur. Diese Dienste wie Domainregistrierung, DNS, Zertifikate, Zahlungsabwickler, Hosting und App Stores bestehen größtenteils aus privaten Marktplatztransaktionen. Diese Dienste sind weitaus weniger gut geschützt als die Sprache, da in den meisten Fällen niemand das Recht hat, einen bestimmten Dienst von einem bestimmten Unternehmen zu erwerben. Und die eher technischen Dienste wie DNS und PKI werden von der Öffentlichkeit weniger gut verstanden als Web Publishing.

Das PKI-System ist besonders anfällig für Angriffe, da es auf der Grundlage von Reputation und Konsens funktioniert. Es gibt keine einzelne Autorität, die das gesamte System regiert. Die Spieler müssen sich durch Transparenz, Compliance und ehrliche Meldung von Fehlern einen Namen machen. Und das macht es anfällig für diese Art von Störangriffen. Wenn die EU-PKI in die Hände der Regulierungsbehörden fällt, gehe ich davon aus, dass andere Länder folgen werden. PKI ist nicht nur gefährdet. Sobald nachgewiesen wird, dass andere Schichten des Stapels von den Regulierungsbehörden angegriffen werden können, werden sie ebenfalls ins Visier genommen.