Última chance para alterar o eIDAS: a lei secreta da União Europeia (UE) que ameaça a segurança da internet

 (last-chance-for-eidas.org)
2 pontos por GN⁺ 2023-11-03 | 1 comentários | Compartilhar no WhatsApp
  • O texto quase final do regulamento eIDAS foi acordado pelas principais instituições da UE e deve ser submetido para aprovação até o fim do ano.
  • As novas disposições legais exigem que todos os navegadores da web na Europa confiem em autoridades certificadoras e chaves criptográficas escolhidas por governos da UE.
  • Essa mudança amplia a capacidade de governos da UE de interceptar tráfego web criptografado em toda a UE e vigiar seus cidadãos.
  • Qualquer Estado-membro da UE poderá distribuir chaves criptográficas para navegadores da web, e os navegadores não poderão revogar a confiança nessas chaves sem permissão do governo.
  • Isso permite que qualquer Estado-membro da UE emita certificados de sites para vigilância e interceptação de qualquer cidadão da UE, independentemente de residência ou vínculo com o Estado emissor.
  • Não há inspeção ou contrapesos independentes sobre as decisões a respeito das chaves certificadas e utilizadas pelos Estados-membros.
  • O texto proíbe que os navegadores apliquem verificações de segurança a essas chaves e certificados da UE, exceto as previamente aprovadas pelo ETSI, o órgão de padronização de TI da UE.
  • O ETSI tem um histórico preocupante de produção de padrões criptográficos comprometidos e de operação de grupos de trabalho voltados ao desenvolvimento de tecnologias de interceptação.
  • Mais de 300 especialistas e pesquisadores em cibersegurança assinaram uma carta aberta pedindo que a UE abandone esses planos e proteja a web.
  • Organizações da sociedade civil e empresas que constroem e protegem a internet, incluindo Linux Foundation, Mullvad, DNS0.EU e Mozilla, também apoiaram a carta.
  • Após receber aprovação na reunião final privada de trílogo em Bruxelas, em 8 de novembro, o texto deverá ser publicado e submetido ao Parlamento Europeu para ratificação formal.
  • Cidadãos europeus podem escrever para Romana JERKOVIĆ, membro do Parlamento Europeu responsável pelo dossiê eIDAS, para registrar suas preocupações.
  • Especialistas em cibersegurança, pesquisadores ou ONGs podem assinar a carta aberta em https://eidas-open-letter.org.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-11-03
Comentários do Hacker News
  • Artigo sobre as potenciais ameaças à segurança que podem ser causadas pela legislação eIDAS da UE
  • Preocupação de que a lei possa permitir a emissão de qualquer certificado que possa ser usado para fins de vigilância
  • Alguns comentaristas argumentam que esta não é uma "lei secreta", já que toda legislação da UE deve ser publicada em sites em seus idiomas oficiais e ratificada publicamente no Parlamento Europeu antes de entrar em vigor
  • Perspectiva de que a lei pode transferir poder de entidades privadas para governos da UE para facilitar a administração digital
  • Dúvidas sobre o impacto em navegadores de código aberto, se eles serão obrigados a implementar isso, e se governos auditarão o código para verificar quem está lançando versões com certificados governamentais removidos
  • Alguns comentaristas afirmam que o sistema atual de CAs dos navegadores é inerentemente falho e que agentes estatais podem realizar ataques MITM se conseguirem capturar o tráfego IP e gerar certificados maliciosos
  • Há uma tentativa no eIDAS de impor confiança, e algumas pessoas acreditam que isso destrói todo o modelo de confiança da internet
  • A legislação exige que "certificados qualificados para autenticação de sites" sejam reconhecidos pelos navegadores e exibidos de forma amigável ao usuário
  • Outros países, como a Índia, também estão preparando leis semelhantes para que seus sistemas operacionais e navegadores tenham suas próprias CAs
  • Alguns comentaristas dizem que ficariam satisfeitos com essa lei se os certificados emitidos por essa CA estivessem vinculados a serviços independentes de Certificate Transparency (CT) e a determinados domínios de topo nacionais