Experten in Dorm haben den Fokus auf die verbindliche Implementierung von Website-Zertifikaten gelegt, die staatlich kontrolliert und qualifiziert sind. Diese Zertifikate erlauben es staatlichen Diensten, verschl\u00fcsselte Kommunikation durch sogenannte Man-in-The-Middle Attacken abzuh\u00f6ren.<\/p>\n
Eine erneute Aufforderung von \u00fcber 400 angesehenen Wissenschaftlern, Forschern und Organisationen wie dem Chaos Computer Club und European Digital Rights (EDRi) richtet sich an die Europ\u00e4ische Union. Sie fordern, dass kritische Aspekte der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services, elektronische Identifizierungs- und Vertrauensdienste) \u00fcberdacht werden. Die Artikel 45 und 45a der geplanten Verordnung stehen besonders im Fokus der Kritik.<\/p>\n
Diese Artikel bestimmen, dass Browser in Zukunft verpflichtet sind, sogenannte QWACs (qualifizierte Website-Authentifizierungs-Zertifikate) als vertrauensw\u00fcrdig anzuerkennen. Die EU plant die Etablierung eines zus\u00e4tzlichen Zertifikatsystems, das auch gesetzlich in der EU vorgeschrieben wird. Die neuen QWACs w\u00fcrden von den einzelnen Mitgliedsstaaten der EU kontrolliert werden. Es ist vorgesehen, dass jeder B\u00fcrger diesen Zertifikaten vertrauen muss, da eine Abmeldung nicht vorgesehen ist.<\/p>\n
Au\u00dferdem sieht der Vorschlag vor, dass Zertifikate nur mit Zustimmung der entsprechenden Regierung entfernt werden d\u00fcrfen, um beispielsweise Sicherheitsvorf\u00e4lle bei einer Zertifizierungsstelle einzud\u00e4mmen. Die Unterzeichner leisten heftigen Widerstand gegen dieses Vorhaben. Sie sind der Meinung, dass es bedenklich ist, den Regierungen aller EU-L\u00e4nder die Kontrolle \u00fcber die kryptografischen Schl\u00fcssel f\u00fcr TLS (Transport Layer Security) zu \u00fcbertragen. Indem man die Kontrolle \u00fcber diese Schl\u00fcssel hat, besteht die M\u00f6glichkeit, verschl\u00fcsselte Kommunikation abzuh\u00f6ren und somit das Vertrauen in TLS zu gef\u00e4hrden.<\/p>\n
Bereits im Jahr 2022 haben 38 IT-Sicherheitsforscher vor dem Vorhaben gewarnt, und mittlerweile haben sich dieser Initiative weitere 400 Unterzeichner angeschlossen. Im vergangenen Jahr \u00e4u\u00dferte Vinton G. Cerf, einer der Pioniere des Internets und derzeit bei Google besch\u00e4ftigt, Kritik an dem Gesetzentwurf. Er bem\u00e4ngelte, dass der Fokus des Entwurfs auf der Verwendung von TLS in Browsern liegt, obwohl TLS in viel breiterem Umfang als nur im Internet eingesetzt wird. Es ist technisch nicht m\u00f6glich, die EU-TLS-Variante auf das Unionsgebiet r\u00e4umlich zu beschr\u00e4nken.<\/p>\n
Aufgrund dieser Regelung w\u00e4ren die staatlichen Zertifizierungsstellen befugt, Zertifikate f\u00fcr beliebige Personen und an beliebigen Orten auszustellen. Laut Cerf geraten Browserhersteller in un\u00fcberwindbare Konflikte zwischen EU- und Nicht-EU-Gesetzgebung. Es gibt nicht immer eine berechtigte Grundlage f\u00fcr das obligatorische Vertrauen in staatliche Stellen. Im Jahr 2020 erzwang die Regierung von Kasachstan bei ihren B\u00fcrgern die Verwendung eines eigenen Wurzelzertifikats, um den verschl\u00fcsselten Datenverkehr mitlesen zu k\u00f6nnen. Die Hersteller von Webbrowsern handelten prompt und sperrten die unsicheren staatlichen Root-Zertifikate.<\/p>\n
Die Aktivistin Alexis Hancock von der EFF weist darauf hin, dass diese schnelle Reaktion durch das bestehende System von Certificate Authorities (CAs) und Browsern beg\u00fcnstigt wurde. Sie betont, dass Browser-Anbieter schnell handeln konnten, w\u00e4hrend Gesetze nicht so schnell angepasst werden k\u00f6nnen. Die Autoren \u00e4u\u00dfern ebenfalls kritische Bedenken bez\u00fcglich der geplanten European Digital Identity Wallet (EUid-Brieftasche), die dazu dienen soll, wichtige Nachweise f\u00fcr die grenz\u00fcberschreitende Nutzung auf dem Smartphone zu b\u00fcndeln.<\/p>\n
Die Verordnung betont mehrfach die Notwendigkeit der europ\u00e4ischen ID-Wallet, um die Privatsph\u00e4re zu sch\u00fctzen, die Datenmenge zu minimieren und Profiling vorzubeugen. Gem\u00e4\u00df der Gesetzgebung ist es m\u00f6glich, dass Regierungen Zugang zu Informationen aus der ID-Wallet erhalten, die sich auf verschiedene Lebensbereiche erstrecken, wie Gesundheit, Finanzen, Online-Aktivit\u00e4ten und \u00f6ffentliche Verkehrsmittel. Aus diesem Grund sind die Unterzeichner der Meinung, dass die Privatsph\u00e4re der EU-B\u00fcrger in erheblichem Ma\u00dfe bedroht ist.<\/p>\n
Die Unterzeichner des offenen Briefs dr\u00e4ngen auf eine \u00dcberpr\u00fcfung der Gesetzgebung, da die Daten weder miteinander verkn\u00fcpft noch nachverfolgbar sein d\u00fcrfen. Der gegenw\u00e4rtige Entwurf ist zweideutig formuliert und schw\u00e4cht das Vertrauen in Browser als weltweit genutztes Element des Internets. Die Telekom-Tochter T-Systems wird zuk\u00fcnftig eine ID-Wallet f\u00fcr das Cloud-Projekt Gaia X bereitstellen. Dieses Projekt hat das Ziel, eine sichere europ\u00e4ische Dateninfrastruktur gem\u00e4\u00df den Vorgaben des Bundeswirtschaftsministeriums zu gew\u00e4hrleisten. Dar\u00fcber hinaus erhielt T-Systems den Auftrag von dem IT-Dienstleister Datev, eine ID-L\u00f6sung bereitzustellen.<\/p>\n
Schlagw\u00f6rter: Staatlich kontrollierte WebsiteZertifikate + Artikel 45 und 45a der eIDASVerordnung + European Digital Identity Wallet<\/p>\n","protected":false},"excerpt":{"rendered":"
Experten in Dorm haben den Fokus auf die verbindliche Implementierung von Website-Zertifikaten gelegt, die staatlich kontrolliert und qualifiziert sind. Diese Zertifikate erlauben es staatlichen Diensten, verschl\u00fcsselte Kommunikation durch sogenannte Man-in-The-Middle Attacken abzuh\u00f6ren. Eine erneute Aufforderung von \u00fcber 400 angesehenen Wissenschaftlern, Forschern und Organisationen wie dem Chaos Computer Club und European...<\/p>\n","protected":false},"author":4,"featured_media":1299,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1300","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/1300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1300"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/1300\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/1299"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}