Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wg nowej propozycji prawa EU, rządy będą mogły wystawiać certyfikaty TLS dla serwisów webowych. A przeglądarki będą musiały to akceptować. Gigantyczne możliwości podsłuchu.

03 listopada 2023, 10:56 | W biegu | komentarze 33

The Record wskazuje na nowe zagrożenie – chodzi o aktualizacje regulacji eIDAS (Electronic Identification, Authentication and Trust Services), które:

umożliwią państwom członkowskim UE wydawanie tzw. kwalifikowanych certyfikatów stron internetowych (QWAC).

W rzeczywistości są to certyfikaty kryptograficzne, które przeglądarki internetowe miałyby prawny obowiązek uznać za ważne, co potencjalnie otwiera drogę rządom do arbitralnego wydawania certyfikatów umożliwiających im przechwytywanie zaszyfrowanego ruchu sieciowego na całym świecie.

update to the bloc’s eIDAS (Electronic Identification, Authentication and Trust Services) regulations which would give EU member states the ability to issue so-called Qualified Website Authentication Certificates (QWACs).

These are effectively cryptographic certificates that web browsers would have a legal obligation to accept as valid — potentially paving the way for governments to arbitrarily issue certificates allowing them to intercept encrypted web traffic globally.

Innymi słowy – np. polski rząd mógłby wygenerować certyfikat root, który musiałby być włączony przez przeglądarki, a którym mógłby podpisywać inne certyfikaty (dla dowolnej strony webowej). Umożliwia to masowy podsłuch ruchu sieciowego (HTTPS) czy sprawne działanie zaawansowanych spyware (patrz np. technika wykorzystywana przez Predatora)

Tutaj z kolei możecie zobaczyć list wysłany do członków Parlamentu Europejskiego – wskazujący zastrzeżenia w temacie nowego prawa (list został podpisany m.in. przez Mozillę / Cloudflare / Linux Foundation).

~ms

.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Tarzinio

    No to będzie trzeba przejść na przeglądarka która ma to gdzieś i nie pozwoli na to. Mało tego pozwoli zablokować te certyfikaty.

    Odpowiedz
    • Koda

      Do czasu zdelegalizowania korzystania z VPNów TORa i przeglądarek innych niż dopuszczone przez rząd. Dziś „szurska teoria” za 5 lat rzeczywistość.

      Odpowiedz
  2. Wątły Marian

    U nas już to w pewnym sensie jest :(. Patrz internet OSE w szkołach.

    Odpowiedz
  3. Wałensa

    Co to znaczy producenci beda musieli? To nie moge sobie napisac z kumplami przegladarki ktora oleje ich badziewne przepisy? Albo przestane moja updateowac i juz.
    Wspomnicie moje slowa… swiat sie konczy… jeszcze troche i albo to pier&@€nie wszystko, albo powstanie kilka internetow. I sie okaze ze o tym byl Matrix. Te swiaty to internety. Czaicie? Wszyscy uciekac do darknetu!!
    Wolny Onion!!

    Odpowiedz
  4. PiSlamski separatysta

    Google nie podpisało listu?

    Odpowiedz
    • ~podpisało z małym delayem: https://security.googleblog.com/2023/11/qualified-certificates-with-qualified.html

      TLDR:
      „However, a specific part of the legislation, Article 45, hinders browsers’ ability to enforce certain security requirements on certificates, potentially holding back advances in web security for decades. We and many past and present leaders in the international web community have significant concerns about Article 45’s impact on security.”

      Odpowiedz
  5. Michał

    Oj… Czy ktoś weryfikował treści i tezy tego artykułu? Przecież to że rząd ma cert rooota i wystawia certyfikaty serwerom web, to wcale nie oznacza że ma możliwość posłuchania czegokolwiek… Przecież nie ma dostępu do klucza prywatnego serwera.
    Poza tym gdyby teza o możliwości podsłuchu była prawdziwa, to cała koncepcja PKI byłaby skompromitowana…

    Odpowiedz
    • 1) Ma dostęp do klucza prywatnego zwiazanego z certyfikatem, bo sobie go sam wygeneruje (a certa będzie podstawiać)
      2) Jeśli dasz „każdemu” możliwość generowania certyfikatów root CA to rzeczywiście cała koncepcja PKI jest skompromitowana

      Odpowiedz
      • Wojtek

        Przecież każdy może wystawić własne CA… Nic się nie zmieni jeśli korzystanie z rządowych certyfikatów nie będzie przymusowe…

        Odpowiedz
        • Tylko że taki root CA wystawiony przez „każdego” nie wchodzi automatycznie do wszystkich przeglądarek…

          Odpowiedz
  6. Pawel

    Czegoś nie rozumiem. Rządy będą mogły tworzyć własne CA. Jak to się ma do strony pod certem z DigiCert?

    Odpowiedz
  7. ElPako

    Co to za kocopoły. Żeby rozpruć ruch HTTPS to trzeba mieć klucz prywatny, który to umożliwi. Klucz prywatny nie wystawia organizacja wystawiająca certyfika, tylko generuje go sam zaibteresowany. A już w ogóle wrzucenie linka do predatora, gdzie MITM był po HTTP bez szyfrowania, to kompletne nie trzymanie się kupy. Kto Wam pisze te artykuły? Dzieci z podstawówki?

    Odpowiedz
  8. Jakże

    „Innymi słowy – np. polski rząd mógłby wygenerować certyfikat root, który musiałby być włączony przez przeglądarki, a którym mógłby podpisywać inne certyfikaty (dla dowolnej strony webowej). Umożliwia to masowy podsłuch ruchu sieciowego (HTTPS).”

    To zdecydowanie domaga się wyjaśnienia. Bo jeśli rząd generując certyfikat będzie mógł „masowo podsłuchiwać” to prosty wniosek z tego taki że korporacje które dziś są właścicielami certyfikatów root też mogą, już dziś.

    Albo tak jest albo właśnie są jakieś dodatkowe warunki które zbyt skrótowe ujęcie tematu pomija.

    Odpowiedz
    • adrb

      Nie, bo nie wymuszą na przeglądarce uznania takiego „podrobionego” certyfikatu

      Odpowiedz
  9. Piotr

    Czym różni się rząd od innego roota certyfikacji?

    Odpowiedz
    • Marcin

      Tym, ze rzad moze zmusic prawnie podlegajace im ISP to przekierowania przez siebie ruchu ofiar, aby w konsekwencji skorzystac z legalnie wystawionych przez siebie certow.

      Odpowiedz
  10. Jacek

    Nie wiem, czy dobrze kojarzę, ale można chyba dodać taki „podejrzany” certyfikat do
    ./etc/ca-certificates/trust-source/blocklist/
    Cóż, jeżeli się jednak mylą, to raczej prędko powstaną narzędzia do banowania takich „usług”. Inna kwestia, że i obecnie przeglądanie większości internetu bez korzystania z trybu, chyba na wyrost nazwanego „trybem porno”, jest niemalże niemożliwe… powoli „piaskownica” staje się codziennością, a za chwilę nieodzowny będzie co najmniej dual boot, jeśli nie fizycznie drugi komputer.

    Odpowiedz
  11. Jarek

    Taka refleksja mnie naszła, że strasznie to przykre, że nawet w tak banalnych kwestiach komercyjne korporacje są bardziej godne zaufania od instytucji państwowych, które przecież teoretycznie powinny służyć obywatelom :-(

    Odpowiedz
  12. Neon

    Teraz jeszcze tylko jakiś atak terrorystyczny i zaraz się znajdzie powód żeby wyprowadzić nawet bardziej restrykcyjne rozwiązania.

    Odpowiedz
  13. Damazy

    Przecież wystarczy prosta weryfikacja. Serwer przedstawia prawidłowy odcisk palca a przeglądarka sprawdza jaki jest w certyfikacie. Wszystko wyświetlane na wielkiej czerwonej stronie z ostrzeżeniem. Kurtyna.

    Odpowiedz
    • adrb

      Brawo, wymyśliłeś key pinning, który z różnych powodów okazał się ślepą uliczką i został zarzucony lata temu ;)

      Odpowiedz
      • +1

        Odpowiedz
      • Marcin

        Ironia niepotrzebna, bo kolega dobrze kombinuje. Pewna odmiana HPKP po stronie klienta moze wlasnie pomoc w wykryciu atakow state-sponsored z podstawionymi certami

        Odpowiedz
  14. Uuuu

    Co z OpenSource i takim np Chromium, co z piningiem certow, co z tlsa i dane? Ktoś tu chyba nie ma pojęcia że to i tak nie zadziała. Nie dam także wiary w to by taki Google się ugiął przed takim idiotycznym pomysłem.

    Odpowiedz
  15. MM

    Problem – nie problem. Zależy od interpretacji, ale pewnie będzie można tego CA wyciąć bez większego szarpania.

    Odpowiedz
  16. Darod

    Tego to pewnie nawet Sztur w Seksmisji nie przewidział mówiąc Totalna inwigilacja :-(

    Odpowiedz
  17. kołtun

    Amerykanie obawiają się rządów ale ufają korporacjom,
    europejczycy nie wierzą korporacjom ale ufają rządowi.

    Wybór należy do was.
    A i tak większość nie używa e2e czyli np. GPG

    Odpowiedz
  18. Edward Parasol

    Bardzo dobry ruch! PISuarom i UB się spodoba oni lubią rozszywać ssla, nawet preferują, właściwie to chyba doszli już do wniosku że tylko przeszkadza. Oni mają ciekawe wnioski.

    Odpowiedz
  19. Partyzant

    Patrzac kto kontroluje wystawianie certow dzis to nie wiele zmienia. Rzadami i tak steruja sluzby. Teraz nie chca sie z tym kryc. Doszlismy do etapu gdzie wiekszosc spoleczenstwa nie bedzie miala nic do ukrycia bo nie robia nic zlego przeciez… Spoleczenstwo wymecza wojnami,pandemiami, bezrobociem. Zeby utrzymac komunizm potrzebny jest terror. Kto stoi za ue – manifest z Ventotene. Ukraina kupuje gaz z Rosji, a Amerykanie tam buduja plac pod Agende 2030. Wall street a Rewolucja Bolszewicka Sutton. Wystarczy chyba.

    Odpowiedz
    • Name

      Tak, juz zdecydowanie wystarczy :D

      Odpowiedz
  20. Paweł

    Czas skończyć z unią i jej zwolennikami z Wiejskiej.

    Odpowiedz
  21. Cyr4x

    Cloufdflare przetrzymujący logi swoich DNS (i jestem pewien, że NSA ma w razie czego do nich wgląd) pisze list przeciwko prawu inwigilacyjnemu w UE…

    Odpowiedz

Odpowiedz