La última oportunidad para corregir eIDAS: la ley secreta de la Unión Europea (UE) que amenaza la seguridad de internet

 (last-chance-for-eidas.org)
2 puntos por GN⁺ 2023-11-03 | 1 comentarios | Compartir por WhatsApp
  • El texto casi final del reglamento eIDAS ha sido acordado por las principales instituciones de la UE y está previsto que se presente para su aprobación antes de fin de año.
  • La nueva disposición legal exige que todos los navegadores web en Europa confíen en las autoridades de certificación y claves de cifrado elegidas por los gobiernos de la UE.
  • Este cambio amplía la capacidad de los gobiernos de la UE para interceptar tráfico web cifrado en toda la UE y vigilar a la ciudadanía.
  • Cualquier Estado miembro de la UE podrá distribuir claves de cifrado a los navegadores web, y los navegadores no podrán retirar la confianza en esas claves sin permiso del gobierno.
  • Esto permite que cualquier Estado miembro de la UE emita certificados de sitios web para vigilancia e interceptación de cualquier ciudadano de la UE, sin importar si reside o tiene vínculos con el Estado miembro emisor.
  • No existen inspecciones ni contrapesos independientes sobre las decisiones acerca de las claves que los Estados miembros certifican y usan.
  • Este texto prohíbe que los navegadores apliquen revisiones de seguridad a estas claves y certificados de la UE, salvo las aprobadas previamente por ETSI, el organismo de estándares de TI de la UE.
  • ETSI tiene un historial preocupante en la producción de estándares de cifrado comprometidos y en la operación de grupos de trabajo para el desarrollo de tecnologías de interceptación.
  • Más de 300 especialistas e investigadores en ciberseguridad firmaron una carta abierta para pedir a la UE que abandone estos planes y proteja la web.
  • También respaldaron la carta organizaciones de la sociedad civil y empresas que construyen y protegen internet, incluidas Linux Foundation, Mullvad, DNS0.EU y Mozilla.
  • Está previsto que este texto, tras recibir aprobación en la reunión final privada del trílogo que se celebrará el 8 de noviembre en Bruselas, se publique y se presente al Parlamento Europeo para su ratificación formal.
  • La ciudadanía europea puede escribir a Romana JERKOVIĆ, eurodiputada responsable del expediente eIDAS, para expresar sus preocupaciones.
  • Especialistas en ciberseguridad, investigadores u ONG pueden firmar la carta abierta en https://eidas-open-letter.org.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-11-03
Comentarios en Hacker News
  • Artículo sobre las posibles amenazas de seguridad que podría causar la legislación eIDAS de la UE
  • Preocupación de que la ley pueda permitir la emisión de cualquier certificado que pueda usarse con fines de vigilancia
  • Algunos comentaristas sostienen que esta ley no es una "ley secreta" porque toda la legislación de la UE debe publicarse en sitios web en sus idiomas oficiales y ser ratificada públicamente en el Parlamento Europeo antes de entrar en vigor
  • Perspectiva de que la ley podría trasladar poder de entidades privadas a gobiernos de la UE para facilitar la administración digital
  • Dudas sobre el impacto en los navegadores de código abierto, si se les obligará a implementarlo y si los gobiernos auditarán el código para verificar quién está publicando versiones sin los certificados gubernamentales
  • Algunos comentaristas afirman que el sistema actual de CA de los navegadores tiene fallas inherentes y que, si actores estatales pueden capturar tráfico IP y generar certificados maliciosos, podrían realizar ataques MITM
  • En eIDAS hay un intento de imponer confianza, y algunas personas creen que esto destruye todo el modelo de confianza de Internet
  • La ley exige que los "certificados calificados para autenticación de sitios web" sean reconocidos por los navegadores web y mostrados de una forma amigable para el usuario
  • Otros países, como India, también están preparando leyes similares para que sus sistemas operativos y navegadores tengan su propia CA
  • Algunos comentaristas dicen que estarían conformes con esta ley si los certificados emitidos por esa CA estuvieran vinculados a servicios independientes de Certificate Transparency (CT) y a dominios de nivel superior específicos de cada país