Ob es nun Bösartigkeit oder Dummheit ist, mag der Leser für sich festlegen. Wie Heise berichtet, haben die Verhandlungsführer des EU-Parlaments, des Ministerrats und der Kommission im (in den Verträgen nie vorgesehenen) Trilog-Verfahren sich heute darauf geeinigt, die Neuauflage des Gesetzes für digitale Identitäten (eIDAS 2.0)siehe meinen Beitrag von gestern) unverändert zu lassen. Das heißt, daß die Kritik von Hunderten Sicherheitsforschern an dem enthaltenen Artikel 45 ungehört verhallt ist.

Nachtrag: Auch Apollo-News berichtet von dem Beschluß, allerdings ohne auf die Problematik einzugehen (vermutlich gar nicht bekannt). Wichtig ist aber, und das tut der Artikel genauso wie der Heise-Artikel, herauszustellen, daß die Wallet-Funktionalität selber schon problematisch ist, und, daß man den Versprechungen der EU bezüglich Privatheit nicht trauen sollte.

Jeder Internet-Nutzer weiß mittlerweile, daß er auf »https« in der Browser-Zeile achten muß, wenn er geschützt surfen will, um zum Beispiel Bestellungen abzusetzen, Online-Banking durchzuführen oder auch zu kommunizieren, ohne, daß es jeder im Netz mitlesen kann.

Dies könnte aber bald in der EU Geschichte sein. Die EU plant zur Zeit eine Revision des Gesetzes für digitale Identitäten (genannt eIDAS 2.0), also darum, daß man zum Beispiel den deutschen elektronischen Personalausweis im Internet europaweit nutzen kann – grob gesagt. Tief in diesem Gesetz versteckt, im Artikel 45, soll es wohl eine Regelung geben, die es in sich hat. Ich muß leider ein bißchen ausholen, um zu erklären, was die vorhaben. Wer mein Blog mit »https://…« ansteuert, bekommt von meinem Server ein Zertifikat mitgeschickt, der den Namen des Blogs beinhaltet, also »www.grantler-blog.de«. Dieses Zertifikat habe ich mir nicht selber zusammengestrickt, sondern habe das bei einer Zertifizierungsstelle beantragt. Die stellt mir das aber nicht ohne weiteres aus. Sie versichert sich, daß ich wirklich die Verfügungsgewalt über die Domain »www.grantler-blog.de« besitze. Früher war das ein manueller Prozeß, heute geht das automatisiert über bestimmte Techniken.

Der Nutzer muß daher nicht mehr mir trauen, daß ich der richtige bin, sondern der Zertifizierungsstelle. Jetzt sollte natürlich gleich der Einwand kommen: Ich habe niemanden mein Vertrauen geschenkt. Das ist auch richtig. Das haben die Browser-Hersteller zu verantworten. Die haben sich die Zertifizierungsstellen angeschaut und die, die sie für vertrauenswürdig hielten, in die Browsersoftware eingetragen. Natürlich beobachten sie danach auch weiterhin das Verhalten dieser Zertifizierungsstellen. Wenn es sich herausstellt, daß die nicht (mehr) sauber arbeiten, dann entfernen sie diese Zertifizierungsstellen auch wieder. Dies ist in der Vergangenheit auch schon mehrfach vorgekommen. Interessanterweise arbeitet hier die Konkurrenz, also Apple, Google, Microsoft, Mozilla und viele andere auch brav zusammen – zu wichtig ist dieses Thema.

Ein besonderes Problem stellen hierbei Zertifizierungsstellen dar, die unter staatlicher Kontrolle sind. Sie könnten von eben diesem Staat gezwungen werden, die erzeugten Zertifikate nicht nur an den rechtmäßigen Antragsteller herauszugeben, sondern auch eine Kopie an staatlichen Stellen.

Was kann der Staat mit so einem Zertifikat anstellen? Er kann eine sogenannte Man-in-the-Middle-Attacke fahren. Er lenkt den Datenstrom des Nutzers um und lenkt ihn auf einen eigenen Webserver. Wenn dann dieser Webserver genau das kopierte Zertifikat ausliefert, bekommt der Nutzer gar nicht mit, daß jemand die Kommunikation mitlauscht – er wähnt sich in Sicherheit! Das gleiche gilt natürlich auch für andere Programme, die auf der Technologie SSL bzw. TLS (neuere Bezeichnung) aufbauen.

Diese Taktik ist in Schurkenstaaten beliebt, und die Browser-Hersteller haben auch genau solche Zertifizierungsstellen schon herausgeschmissen.

Nun kommen wir auf den ominösen Artikel 45 zurück. Der soll den Browser-Herstellern, die in der EU ihre Software anbieten wollen, genau verbieten, solche staatlichen Zertifizierungsstellen aus ihrer Software zu entfernen! Was sagt uns das? Daß sich die EU zu einem Schurkenstaat entwickelt, beziehungsweise schon längst einer ist!

Aufruhr dagegen gibt es wohl nicht erst seit gestern, aber ich habe das erst heute entdeckt. Vielleicht hat Heise auch schon darüber geschrieben, aber dann ist es mir entgangen (ich werde nochmal suchen). Netzpolitik.org hat wohl schon darüber berichtet, aber deren Gender-Gaga mache ich nicht mit. Ich verlinke daher mal auf das britische Online-Magazin The Register für weitere Details. Speziell geht es hier um einen Offenen Brief von 500 Sicherheitsexperten, die die EU auffordern, diese Regelung aus dem Entwurf zu entfernen.

Nachtrag: Ich habe einen Heise-Artikel von gestern abend gefunden.

Die Frau ist doch völlig merkbefreit: Da stellt sich Angela Merkel hin und ruft zum Eintreten gegen Antisemitismus auf. Nein, es hat ja niemand von dem Islam und dem ihm innewohnenden Haß gegen Juden (und nicht nur gegen die) gewarnt, als sie 2015 die Tore geöffnet hatte und hinterher bloß anmerkte, sie seien jetzt nun mal da. Oder doch? Kann man das eigentlich schon krankhafte Realitätsverweigerung nennen?

Ich hatte weiter unten schon über die Steuerpläne der SPD berichtet. Nuis hat nun neue Details darüber, und es ist ein sozialistische Horror-Plan! Ich empfehle dringend zu lesen, wohin die SPD uns führen will.