Ob es nun Bösartigkeit oder Dummheit ist, mag der Leser für sich
festlegen. Wie Heise berichtet, haben die Verhandlungsführer des
EU-Parlaments, des Ministerrats und der Kommission im (in den Verträgen nie
vorgesehenen) Trilog-Verfahren sich heute darauf geeinigt, die Neuauflage
des Gesetzes für digitale Identitäten (eIDAS 2.0)siehe meinen Beitrag von
gestern) unverändert zu lassen. Das heißt, daß die Kritik von Hunderten
Sicherheitsforschern an dem enthaltenen Artikel 45 ungehört verhallt
ist.
Nachtrag: Auch Apollo-News berichtet von dem Beschluß, allerdings ohne auf
die Problematik einzugehen (vermutlich gar nicht bekannt). Wichtig ist
aber, und das tut der Artikel genauso wie der Heise-Artikel,
herauszustellen, daß die Wallet-Funktionalität selber schon problematisch
ist, und, daß man den Versprechungen der EU bezüglich Privatheit nicht
trauen sollte.
Jeder Internet-Nutzer weiß mittlerweile, daß er auf »https« in der
Browser-Zeile achten muß, wenn er geschützt surfen will, um zum Beispiel
Bestellungen abzusetzen, Online-Banking durchzuführen oder auch zu
kommunizieren, ohne, daß es jeder im Netz mitlesen kann.
Dies könnte aber bald in der EU Geschichte sein. Die EU plant zur Zeit
eine Revision des Gesetzes für digitale Identitäten (genannt eIDAS
2.0), also darum, daß man zum Beispiel den deutschen elektronischen
Personalausweis im Internet europaweit nutzen kann – grob gesagt. Tief in
diesem Gesetz versteckt, im Artikel 45, soll es wohl eine Regelung geben,
die es in sich hat. Ich muß leider ein bißchen ausholen, um zu erklären,
was die vorhaben. Wer mein Blog mit »https://…« ansteuert, bekommt von
meinem Server ein Zertifikat mitgeschickt, der den Namen des Blogs
beinhaltet, also »www.grantler-blog.de«. Dieses Zertifikat habe ich mir
nicht selber zusammengestrickt, sondern habe das bei einer
Zertifizierungsstelle beantragt. Die stellt mir das aber nicht ohne
weiteres aus. Sie versichert sich, daß ich wirklich die Verfügungsgewalt
über die Domain »www.grantler-blog.de« besitze. Früher war das ein
manueller Prozeß, heute geht das automatisiert über bestimmte
Techniken.
Der Nutzer muß daher nicht mehr mir trauen, daß ich der richtige bin,
sondern der Zertifizierungsstelle. Jetzt sollte natürlich gleich der
Einwand kommen: Ich habe niemanden mein Vertrauen geschenkt. Das ist auch
richtig. Das haben die Browser-Hersteller zu verantworten. Die haben sich
die Zertifizierungsstellen angeschaut und die, die sie für vertrauenswürdig
hielten, in die Browsersoftware eingetragen. Natürlich beobachten sie
danach auch weiterhin das Verhalten dieser Zertifizierungsstellen. Wenn es
sich herausstellt, daß die nicht (mehr) sauber arbeiten, dann entfernen sie
diese Zertifizierungsstellen auch wieder. Dies ist in der Vergangenheit
auch schon mehrfach vorgekommen. Interessanterweise arbeitet hier die
Konkurrenz, also Apple, Google, Microsoft, Mozilla und viele andere auch
brav zusammen – zu wichtig ist dieses Thema.
Ein besonderes Problem stellen hierbei Zertifizierungsstellen dar, die
unter staatlicher Kontrolle sind. Sie könnten von eben diesem Staat
gezwungen werden, die erzeugten Zertifikate nicht nur an den rechtmäßigen
Antragsteller herauszugeben, sondern auch eine Kopie an staatlichen
Stellen.
Was kann der Staat mit so einem Zertifikat anstellen? Er kann eine
sogenannte Man-in-the-Middle-Attacke fahren. Er lenkt den Datenstrom des
Nutzers um und lenkt ihn auf einen eigenen Webserver. Wenn dann dieser
Webserver genau das kopierte Zertifikat ausliefert, bekommt der Nutzer gar
nicht mit, daß jemand die Kommunikation mitlauscht – er wähnt sich in
Sicherheit! Das gleiche gilt natürlich auch für andere Programme, die auf
der Technologie SSL bzw. TLS (neuere Bezeichnung) aufbauen.
Diese Taktik ist in Schurkenstaaten beliebt, und die Browser-Hersteller
haben auch genau solche Zertifizierungsstellen schon herausgeschmissen.
Nun kommen wir auf den ominösen Artikel 45 zurück. Der soll den
Browser-Herstellern, die in der EU ihre Software anbieten wollen, genau
verbieten, solche staatlichen Zertifizierungsstellen aus ihrer Software zu
entfernen! Was sagt uns das? Daß sich die EU zu einem Schurkenstaat
entwickelt, beziehungsweise schon längst einer ist!
Aufruhr dagegen gibt es wohl nicht erst seit gestern, aber ich habe das
erst heute entdeckt. Vielleicht hat Heise auch schon darüber geschrieben,
aber dann ist es mir entgangen (ich werde nochmal suchen). Netzpolitik.org
hat wohl schon darüber berichtet, aber deren Gender-Gaga mache ich nicht
mit.
Ich
verlinke daher mal auf das britische Online-Magazin The Register für
weitere Details. Speziell geht es hier um einen Offenen Brief von 500
Sicherheitsexperten, die die EU auffordern, diese Regelung aus dem Entwurf
zu entfernen.
Nachtrag: Ich habe einen Heise-Artikel von gestern abend gefunden.
