eIDAS değişikliği için son şans: Avrupa Birliği'nin (AB) internet güvenliğini tehdit eden gizli yasası

 (last-chance-for-eidas.org)
2 puan yazan GN⁺ 2023-11-03 | 1 yorum | WhatsApp'ta paylaş
  • eIDAS düzenlemesinin neredeyse nihai metni, AB'nin başlıca kurumları tarafından üzerinde uzlaşıldı ve yıl sonuna kadar onaya sunulması planlanıyor.
  • Yeni yasal hüküm, Avrupa'daki tüm web tarayıcılarının AB hükümetlerinin seçtiği sertifika otoritelerine ve şifreleme anahtarlarına güvenmesini zorunlu kılıyor.
  • Bu değişiklik, AB hükümetlerinin AB genelindeki şifrelenmiş web trafiğini araya girerek yakalama ve vatandaşları gözetleme kapasitesini genişletiyor.
  • Herhangi bir AB üye ülkesi, web tarayıcılarına şifreleme anahtarları dağıtabilecek ve tarayıcılar bu anahtarlara duyulan güveni hükümet izni olmadan geri çekemeyecek.
  • Bu da herhangi bir AB üye ülkesinin, sertifikayı veren üye ülkeyle ikamet veya bağlantı durumu olup olmadığına bakılmaksızın tüm AB vatandaşlarının gözetlenmesi ve trafiğinin araya girilerek yakalanması için web sitesi sertifikaları verebilmesini mümkün kılıyor.
  • Üye ülkelerin onaylayıp kullandığı anahtarlarla ilgili kararlarda bağımsız bir denetim veya denge mekanizması bulunmuyor.
  • Metin, AB'nin BT standartları kurumu olan ETSI'nin önceden onayladıkları dışında, tarayıcıların bu AB anahtarları ve sertifikaları üzerinde güvenlik denetimi uygulamasını yasaklıyor.
  • ETSI'nin, güvenliği zayıflatılmış şifreleme standartları üretme ve araya girme teknolojileri geliştiren çalışma grupları yürütme konusunda endişe verici bir geçmişi bulunuyor.
  • 300'den fazla siber güvenlik uzmanı ve araştırmacı, AB'yi bu planlardan vazgeçmeye ve web'i korumaya çağıran açık mektubu imzaladı.
  • Linux Foundation, Mullvad, DNS0.EU ve Mozilla dahil olmak üzere sivil toplum kuruluşları ile interneti inşa eden ve koruyan şirketler de bu mektuba destek verdi.
  • Bu metin, 8 Kasım'da Brüksel'de yapılacak son kapalı trilog toplantısında onay aldıktan sonra yayımlanacak ve Avrupa Parlamentosu'nda resmî onay için sunulacak.
  • Avrupa vatandaşları, eIDAS dosyasından sorumlu Avrupa Parlamentosu üyesi Romana JERKOVIĆ'e yazarak endişelerini iletebilir.
  • Siber güvenlik uzmanları, araştırmacılar veya STK'lar https://eidas-open-letter.org adresinden açık mektubu imzalayabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2023-11-03
Hacker News görüşleri
  • EU'nun eIDAS yasasının yol açabileceği potansiyel güvenlik tehditleri hakkında bir makale
  • Yasanın, gözetim amacıyla kullanılabilecek her türlü sertifikanın verilmesine izin verebileceğine dair endişe
  • Bazı yorumcular, tüm EU yasalarının resmî dillerinde web sitelerinde yayımlanması ve yürürlüğe girmeden önce Avrupa Parlamentosu'nda kamuya açık şekilde onaylanması gerektiği için bu yasanın bir "gizli yasa" olmadığını savunuyor
  • Yasanın, dijital idareyi kolaylaştırmak için özel kurumlardan EU hükümetine güç aktarabileceği görüşü
  • Açık kaynak tarayıcılara etkisi, bunları uygulamaya zorlayıp zorlamayacağı ve hükümetin, devlet sertifikalarının çıkarıldığı sürümü kimin yayımladığını doğrulamak için kodu denetleyip denetlemeyeceği konusunda sorular
  • Bazı yorumcular, mevcut tarayıcı CA sisteminin yapısal olarak kusurlu olduğunu ve devlet destekli aktörlerin IP trafiğini ele geçirip kötü amaçlı sertifikalar üretebilmeleri hâlinde MITM saldırıları gerçekleştirebileceğini savunuyor
  • eIDAS'ın güveni zorla dayatma girişimi içerdiği, bunun da bazı kişilere göre internetin tüm güven modelini yok ettiği görüşü
  • Yasa, "web sitesi kimlik doğrulaması için nitelikli sertifikalar"ın web tarayıcıları tarafından tanınmasını ve kullanıcı dostu bir şekilde gösterilmesini zorunlu kılıyor
  • Hindistan gibi diğer ülkeler de kendi OS ve tarayıcılarının kendilerine ait CA'lara sahip olmasını sağlayacak benzer yasalar hazırlıyor
  • Bazı yorumcular, eğer bu CA tarafından verilen sertifikalar bağımsız Certificate Transparency (CT) hizmetlerine ve belirli ülke üst düzey alan adlarına bağlıysa bu yasadan memnun olacaklarını söylüyor