Experten ist die verpflichtende Einführung staatlich kontrollierter qualifizierter Website-Zertifikate ein Dorn im Auge. Staatlichen Diensten wird damit das Abhören verschlüsselter Kommunikation durch sogenannte Man-in-The-Middle Attacken ermöglicht. Die Europäische Union wird von mehr als 400 namhafte Wissenschaftler, Forscher und Organisationen wie der Chaos Computer Club und European Digital Rights (EDRi) aufgefordert, kritische Punkte aus der eIDAS-Verordnung (electronic IDentification, Authentication and trust Services, elektronische Identifizierungs- und Vertrauensdienste) zu überdenken.

Die Artikel 45 und 45a der geplanten Verordnung stehen dabei besonders in der Kritik. Browser müssen demnach zukünftig sogenannte QWACs, qualifizierte Website-Authentifizierungs-Zertifikate, als vertrauenswürdig akzeptieren. Die EU plant damit, ein zusätzliches System für Zertifikate zu etablieren, welches in der EU zudem gesetzlich vorgeschrieben wird.

Die neuen QWACs würden von den einzelnen EU-Mitgliedsstaaten kontrolliert. Jeder Bürger müsste diesen Zertifikaten vertrauen, eine Abmeldung ist nicht vorgesehen. Der Vorschlag sieht zudem vor, dass Zertifikate nicht ohne Zustimmung der jeweiligen Regierung entfernt werden dürfen, um beispielsweise einen Sicherheitsvorfall bei einer CA einzudämmen.

Laut Experten sei es gefährlich, den Regierungen aller EU-Länder die Kontrolle über die kryptografischen Schlüssel für TLS (Transport Layer Security) zu geben. Verschlüsselte Kommunikation kann mit diesen Schlüsseln abgehört werden. Damit würde das Vertrauen in TLS untergraben werden.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE