eIDAS (electronic IDentification, Authentication and trust Services) je europska regulativa koja je nastala 2014. godine i koja u svojoj biti pokušava upravljati elektronskom identifikacijom i servisima povjerenja u elektronskim transakcijama. Ovih dana, nakon dovršetka procesa trialoga, u proceduru ulazi i reforma eIDAS sustava koja se popularno naziva eIDAS 2.0.
Pojednostavljeno, eIDAS koji na današnji dan defacto slabo ili nikako funkcionira, regulira pitanja elektroničkog identiteta (dakle kako se neko računalo predstavlja) u europskom internet prostoru, te kome se u tom prostoru može vjerovati ili ne (usluge povjerenja).
Na ovom linku možete pročitati trenutno dostupni tekst eIDAS 2.0 regulative (ovo nije finalna verzija, ako nađete/naiđete na UPDATE: našao sam finalnu verziju svakako je linkajte u komentaru). Problem s eIDAS direktivom u formi u kojoj se trenutno nalazi je članak 45. Taj članak teksta omogućava državama da drastično prošire opseg nadzor nad svojim građanima kroz kreiranje mehanizma za presretanje internet prometa.
Konkretnije, i da pokušam objasniti malo slikovitije, promet internetom je danas gotovo u cijelosti enkriptiran (šifriran) a kako bi se spriječilo da neka treća strana kroz čiju opremu taj promet prolazi (ili je promet snimljen, ili preusmjeren) bude u mogućnosti čitati koji je bio sadržaj poruke (tekst, audio, video ili uostalom bilo koji drugi sadržaj kojeg poželite poslati putem interneta). To se postiže korištenjem digitalnih certifikata, a što je digitalni dokument koji sadrži odgovarajuće enkripcijske ključeve temeljem kojih se sadržaj “šifrira” na putu prema i od krajnjeg korisnika. Autentičnost certifikata pružaju CA (Certificate Authority) serveri koji svojim digitalnim potpisom “jamče” da kada npr. utipkate u svojem browseru whatsapp.com da doista i razmjenjujete podatke s whatsapp.com. CA potpisni ključevi su tvornički ugrađeni u operativne sustave i browsere koje koristimo i oni su objektivno “ahilova peta” sigurnosnog sustava na kojem počiva današnji internet, jer kompromitacijom nekog od ključeva odjednom možemo “potpisivati” štogod želimo.
Članak 45. eIDAS 2.0 regulative eksplicitno govori o tome kako svaka EU država (i odobrene treće zemlje) mogu doslovno propisati kriptografske ključeve za koje je povjerenje obavezno u koje nije moguće proglasiti kompromitiranim bez eksplicitnog dopuštenja države (koja je taj CA potpis izdala). I ne samo to, nego se eksplicitno zabranjuje provjeravati sigurnost izdanih certifikata u EU osim ako je to eksplicitno dopušteno.
To otprilike znači da će svaka EU zemlja imati zakonsko pravo u browsere koje koristite “ubaciti” potpisne ključeve čija se sigurnost uopće ne smije preispitivati, a koji će omogućiti da bilo koja od tih zemalja kreira SSL/TLS certifikate s nazivom bilo koje domene, a koji će zbog “ugrađenog državnog” CA certifikata biti proglašeni ispravnim te vaše računalo neće generirati bilo kakvo upozorenje.
Ukratko, institucionalizirati ćemo “man in the middle” napad. Prevedeno i krajnje pojednostavljeno, to znači da će država biti u stanju kreirati certifikat kojim će oni svoj server predstaviti prema vama kao npr. gmail.com, i dok vi mislite da komunicirate s gmailom, u biti ćete komunicirati preko nekog državnog računala (proxya) koje će pojedinačno ili masovno pratiti i bilježiti promet koji se tim putem događa (još malo dodajte i AI-ja koji odlučuje što je bitno a što nije i odjednom smo usred Orwellove 1984.). To nije nikakva tehnologija koju tek treba izmisliti, to su komercijalno dostupna rješenja koja je potrebno samo konfigurirati. I naravno, ovdje ne govorim samo o vašem kontaktu s web servisima poput gmaila, nego i svim drugim servisima koji koriste SSL/TLS rješenja što uključuje WhatsApp, Signal, Telegram i u biti bilo koji browser ili aplikaciju koju koristite (uključivo, ali ne i ograničeno na npr. internet bankarstvo).
Pitanje povjerenja u CA (Certificate Authority) je ogromno tehničko pitanje i na njemu počiva sigurnost interneta. Ako se prebacimo na nama lokalne primjere, postoje odlični razlozi zašto recimo domaći CA (a imamo dva, AKD i FINA) nisu priznati. Po kriterijima sigurnosti i povjerenja, oni jednostavno ne udovoljavaju temeljne uvjete da bi im se vjerovalo i da bi “tvornički” stigli zapakirani u vašoj windows, linux ili MacOS instalaciji, upravo zato kada pokrećete npr. novu osobnu, jedna od operacija koju radite je i instalacija AKD CA root certifikata budući da mu vaši windowsi (s dobrim razlogom) ne vjeruju.
Nije to samo pitanje nepovjerenja u državu koja je sklona prekomjernom nadzoru svojih građana, zloupotrebama sustava (i podkapacitirane organizacije kojima je ovaj posao povjeren), nego i u tome što postoji cijeli povijesni niz kompromitacije certificate autohoritya i kada se tako nešto dogodi, ne samo da ćemo teško od državnih uhljeba dobiti priznanje da su kompromitirani (a jesu), nego će EU regulativa priječiti uklanjanje takvog kompromitiranog CA potpisa a automatizmom će biti onemogućeni mehanizmi za rješavanje takvih situacija.
Sažeto, implementacija eIDAS 2.0 u postojećoj formi i prijedlogu će drastično umanjiti sigurnost internet korisnika na području EU-a, te će posljedično umanjiti i sigurnost interneta širom svijeta. Nije zato nikakvo čudo što je više stotina znanstvenika i stručnjaka iz 39 zemalja širom svijeta nedavno napisalo otvoreno pismo u kojem upozoravaju na sistemske prijetnje internetu a koje proizlaze iz ovog prijedloga regulacije, jer prihvaćanje ovog prijedloga će unazaditi sigurnost na internetu na točku u kojoj smo bili prije 10-15 godina.
Misao dana:
For me, I will take freedom over security and I will take security over convenience, and I will do so because I know that a world without failure is a world without freedom. A world without the possibility of sin is a world without the possibility of righteousness. A world without the possibility of crime is a world where you cannot prove you are not a criminal. A technology that can give you everything you want is a technology that can take away everything that you have. At some point, in the near future, one of us security geeks will have to say that there comes a point at which safety is not safe.
7 replies on “Zaustavimo štetni eIDAS 2.0”
Po istoj logici trenutno te mogu špijunirati Ameri (tebe i cijeli svijet, jer su Ca certifikati američkih issuera u trusted store-ovima svih OS-oma), pa teza da internet postaje nesigurniji ne stoji, ovime se teoretski samo EU “ubacuje u igru” za građane EU…
razlika je u tome što root CA nisu definirani zakonom, ne moraš ih staviti unutra ako u njih nemaš povjerenja i nijedan od njih nije državni
tako da usporedba nije na mjestu (iako razmišljanje apsolutno je)
Istina, no realno zakoni su jedini način na koji se EU može “ubaciti u igru” (drugo ništa nema)…
mislim da to samo treba osvještavati do dovoljne razine da se nastanu usluge koje će ovaj potez pretvoriti u autogol ;)
Ovo što se tiče HR državnih CA, pouzdano znam da je jedan od spomenutih prošao sve potrebno za uključivanje (tehnički, sigurnosno i financijski) u root program (da bi njihovi CA certifikati bili distribuirani kroz OS store) i unatoč tome to se nije dogodilo. bez obrazloženja. To nije slučaj samo sa HR CA-ovima već i sa nekim drugim issuerima iz EU…. Da li je to motivacija za ovako nešto ne znam… Ali miriše na to da neka “igra” na levelu iznad postoji….
Što znači da se EU ubaci u igru? Koju igru? Igru “želimo špijunirati svoje građane”? Što se toga tiče želim da EU nikada ne uđe u igru i neka ostanu najgori na svijetu.
Inače putem DNS CAA zapisa moguće je otežati manipulaciju ali to zahtijeva posebnu konfiguraciju na svakoj domeni + i DNS se može manipulirati + možda EU želi i to zabraniti.
Totalna debilana, a nevjerojatno mi je da ekipa to čak i odobrava.
Možda bi bilo bolje onda reći da je u EU jedino dopuštena komunikacija kada vaš privatni ključ položite u općini kod lokalnog šerifa.
EU standardno kasno i trapavo. Amerikanci su to pravo kontrole uzeli, i više ga neće dati natrag. Gotovo je. U smislu da jest gotovo.
Marko mislim da nisi korektan kad upotrebljavaš futur, ili kondicional. Prezent, aorist, imperfekt, perfekt.
Jasno, koristit će čitanje tuđe pošte na isti način, kako su ga koristile i civilizirane imperije s kraja 19. stoljeća, kad je neophodno u obrani egzistencijalnih interesa države, o potankostima je najbolje da i odlučuju oni koji i inače odlučuju o egzistencijalnim interesima države.
Zapravo smo u situaciji u kojoj je problemima koje susrećemo možda najbolje pristupiti djelovanjem kroz stranku umjerenog napretka u okviru zakona.
Samo još potpis pod misao dana:
Dr. Geer is the Chief Information Security Officer at In-Q-Tel. https://harvardnsj.org/2011/01/10/cybersecurity-and-national-policy/
Koliko vidim ovo otvoreno pismo potpisuju security stručnjaci. Postoji li neki template maila/poruke ili neka peticija (ali da ima nekog smisla) koji “obični” korisnici mogu popuniti i poslati? Iako razumijem problematiku ne smatram se dovoljno stručnim da vlastitim riječima nešto napišem gđi Jerković.