Nieuws

EFF: voorstel Europese digitale identiteit bedreigt https-beveiliging browsers

zondag 19 december 2021, 13:14 door Redactie, 21 reacties

Een voorstel van de Europese Commissie voor de invoering van een Europese digitale identiteit waarmee burgers zich in de gehele Europese Unie kunnen identificeren vormt een bedreiging voor de https-beveiliging van browsers, zo waarschuwt de Amerikaanse burgerrechtenbeweging EFF.

Als onderdeel van het voorstel worden browserleveranciers verplicht om door Europese overheden aangewezen Certificate Authorities (CAs) te vertrouwen, zonder enige veiligheidsgaranties, aldus de EFF. Certificaatautoriteiten geven de certificaten uit die worden gebruikt voor het opzetten van https-verbindingen en identificeren van websites. Wanneer browserleveranciers worden verplicht om onbetrouwbare, onveilige of onvoorzichtige derde partijen als CA toe te voegen, kan dit de veiligheid van https ondermijnen, zo stelt de burgerrechtenbeweging.

Deze partijen zouden certificaten kunnen uitgeven waarmee internetgebruikers worden bespioneerd, zo waarschuwt de EFF. Normaliter staan browserleveranciers alleen certificaatautoriteiten toe die aan bepaalde eisen voldoen. In het voorstel van de Europese Commissie staan geen garanties dat CAs aan de veiligheidseisen van de browserleverancier moeten voldoen, ontbreken manieren om bezwaar te maken tegen het toevoegen van deze partijen en is er geen verplichte transparantie.

"Wanneer browsers geen certificaatautoriteit kunnen intrekken die niet aan hun standaarden voldoet, zullen ze minder snel op beveiligingsincidenten kunnen reageren", aldus de Amerikaanse burgerrechtenbeweging. Ook zou het voorstel overheden kunnen verleiden om man-in-the-middle-aanvallen op hun burgers uit te voeren, waarbij naar eerdere pogingen van de Kazachstaanse overheid wordt gewezen.

"Indien aangenomen zal het amendement ervoor zorgen dat de veiligheidswinst waarvoor zovelen het afgelopen decennium zo hard hebben gewerkt, wordt teruggedraaid", besluit de EFF. Die roept op om de voorgestelde eisen voor browserleveranciers te laten vallen. Eerder liet het Nederlandse demissionaire kabinet weten positief te zijn over de invoering van een Europese identiteit, alsmede de eisen voor browserleveranciers.

"Hiermee wordt de afhankelijkheid van browsers voor gebruikers beperkt en wordt eventuele onzekerheid over de betrouwbaarheid van websites weggehaald als ze voldoen aan de Europese standaarden", aldus het kabinet.

Apache-oprichter: we moeten software van nature wantrouwiger maken

Beruchte ransomwaregroep gebruikt Log4j-kwetsbaarheid bij aanvallen

Reacties (21)

19-12-2021, 13:55 door Anoniem

Het hele doel is natuurlijk ook een sociaal punten systeem naar Chinees voorbeeld. Het gaat helemaal niet om veiligheid. Dat is alleen maar lastig.

19-12-2021, 13:58 door Anoniem

Tja, hoe is het anders dan nu?
o.a. "Staat_der_Nederlanden_EV_Root_Ca.pem" en "Staat_der_Nederlanden_Root_CA_-_G3.pem"

Staat kan MITM doen, slachtoffer een ondertekend cert serveren en tenzij het slachtoffer de uitgever controleert en valideert bij de server, heeft het slachtoffer niets door.

19-12-2021, 14:00 door Anoniem

Toch wel grappig dat we daarvoor een Amerikaanse burgerrechtenbeweging nodig hebben. Om ons te beschermen.

19-12-2021, 14:02 door Anoniem

Nog meer data voor "Super SyRI"

19-12-2021, 14:03 door Anoniem

wassen neus.
Ze hebben RSA al lang gekraakt in NL.
Daarom al die invallen recent. opdoeking van cryptofoons etc.

19-12-2021, 15:06 door Anoniem

Begrijpelijk dat EFF zich zorgen maakt. Bij Mozilla Firefox staat al heel lang Public Key Pinning aan, waardoor een MiTM snel door de mand zal vallen. Blacklisten van het certificaat kan ook, maar daar zijn de meningen over verdeeld of het wel een voordeel heeft. Er zijn dus mogelijkheden genoeg om deze Europese Identiteit een halt toe te roepen.

Je kunt via Mozilla Firefox via about:config controleren of PKP aantaat:
security.cert_pinning.enforcement_level moet dan op getal 1 staan.

Testpagina die een ERROR melding moet geven staat hier:
https://pinning-test.badssl.com/

https://www.security.nl/posting/617785/Kazachstaanse+providers+onderscheppen+https-verkeer

19-12-2021, 17:48 door Anoniem

Door Anoniem: wassen neus.
Ze hebben RSA al lang gekraakt in NL.
Daarom al die invallen recent. opdoeking van cryptofoons etc.

Welnee. Als NL het algoritme (in essentie het ontbinden van een getal in priemfactoren) zou hebben gekraakt, dan zou heel de wereld hier van weten en iedereen als een gek RSA vervangen (veel succes daarmee). De cryptofoons ging helemaal niet over kraken van RSA. Lees je maar eens in de materie in.

19-12-2021, 18:17 door Anoniem

Het gaat de laatste tijd allemaal om 'trust' en dat is de laatste tijd flink ramen en deuren uitgevlogen. Uw regering is niet langer uw vriend, maar uw controleur of uw opposant. Ze pretenderen anders, doch helaas de waarheid komt steeds meer aan het licht.
Leggen we het hoofd moedeloos in de schoot of wat?
#corona-proxy

19-12-2021, 18:30 door Anoniem

Door Anoniem: Het hele doel is natuurlijk ook een sociaal punten systeem naar Chinees voorbeeld. Het gaat helemaal niet om veiligheid. Dat is alleen maar lastig.

Linkje graag , anders een onnodige onderbuikreactie!

19-12-2021, 20:41 door Anoniem

Door Anoniem: Tja, hoe is het anders dan nu?
o.a. "Staat_der_Nederlanden_EV_Root_Ca.pem" en "Staat_der_Nederlanden_Root_CA_-_G3.pem"

Mosterd na de maaltijd. Die G3 is een jaar geleden al ingetrokken, na een of andere calamiteit.
Die vervangende EV root verloopt in minder dan een jaar en krijgt geen opvolging, omdat de minister te bang is voor imagoschade.

19-12-2021, 20:52 door Anoniem

Door Anoniem: Tja, hoe is het anders dan nu?
o.a. "Staat_der_Nederlanden_EV_Root_Ca.pem"

bron https://logius.nl/actueel/uitfasering-uitgifte-publiek-vertrouwde-webcertificaten-pkioverheid

19-12-2021, 21:09 door Anoniem

In mijn ogen een hele domme zet. Want het fundament kraakt in al zijn voegen.

Afgezien van de privacy issue's.

Dit gaat juist leiden tot massaal misbruik. En wie behartigt de belangen van de burger dan?

Naast het feit dat dit natuurlijk uitnodigt tot een soort sociaal credit system.

Waarbij controle een illusie is om de massa te beheersen ter bescherming van hun eigen wanbeleid.

Enge ontwikkeling.

19-12-2021, 21:09 door Anoniem

Door Anoniem:

Door Anoniem: wassen neus.
Ze hebben RSA al lang gekraakt in NL.
Daarom al die invallen recent. opdoeking van cryptofoons etc.

Waarom zou een inlichtingendienst dit delen als ze het ook voor zichzelf kunnen houden?

19-12-2021, 21:12 door Anoniem

Door Anoniem: Tja, hoe is het anders dan nu?
o.a. "Staat_der_Nederlanden_EV_Root_Ca.pem" en "Staat_der_Nederlanden_Root_CA_-_G3.pem"

Staat kan MITM doen, slachtoffer een ondertekend cert serveren en tenzij het slachtoffer de uitgever controleert en valideert bij de server, heeft het slachtoffer niets door.

Dit gebeurd ook. De certificaten zijn standaard door grote organisaties en software vertrouwd.
Ook in de VS hebben zij oa. de FISA die inlichtingen op buitenlanders toestaat.
Ze werken dan samen om info uit te wisselen. Dit is vaker in het nieuws geweest.

20-12-2021, 09:51 door Anoniem

Ja, wat de diensten van het ene land niet kunnen, krijgen ze binnen via één van de andere 'eyes'. We zijn bijna vrijwel rechteloos gemaakt en er wordt naar ons gekeken als naar een subsoort.
Het gaat nog leuk worden op dit digitale ondermaanse.
luntrus

20-12-2021, 16:09 door Anoniem

Door Anoniem: Het hele doel is natuurlijk ook een sociaal punten systeem naar Chinees voorbeeld. Het gaat helemaal niet om veiligheid. Dat is alleen maar lastig.

De opzet van deze wereldwijde controle is over de alsmaar toenemende wereld-bevolking,
inclusief nederland wat inmiddels al 20 miljoen inwoners telt.
Het sociale punten stelsel is natuurlijk erbij bedacht,samen met al die
algoritmes om het gedrag te monitoren.

The Matrix

20-12-2021, 20:39 door Anoniem

Hahaha alsof de amerikaanse CA zo betrouwbaar zijn!!!! Die EFF wordt steeds meer ongeloofwaardig.

20-12-2021, 20:44 door Anoniem

Door Anoniem: Begrijpelijk dat EFF zich zorgen maakt. Bij Mozilla Firefox staat al heel lang Public Key Pinning aan, waardoor een MiTM snel door de mand zal vallen. Blacklisten van het certificaat kan ook, maar daar zijn de meningen over verdeeld of het wel een voordeel heeft. Er zijn dus mogelijkheden genoeg om deze Europese Identiteit een halt toe te roepen.

Je kunt via Mozilla Firefox via about:config controleren of PKP aantaat:
security.cert_pinning.enforcement_level moet dan op getal 1 staan.

Testpagina die een ERROR melding moet geven staat hier:
https://pinning-test.badssl.com/

https://www.security.nl/posting/617785/Kazachstaanse+providers+onderscheppen+https-verkeer

Hoe kan ik pinning aanzetten voor belastingdienst.nl?

20-12-2021, 20:45 door Anoniem

WTF op tmobile:

https://pinning-test.badssl.com/

Secure Connection Failed

An error occurred during a connection to pinning-test.badssl.com. The server uses key pinning (HPKP) but no trusted certificate chain could be constructed that matches the pinset. Key pinning violations cannot be overridden.

Error code: MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.

22-12-2021, 01:27 door Anoniem

Door Anoniem:

Door Anoniem: Het hele doel is natuurlijk ook een sociaal punten systeem naar Chinees voorbeeld. Het gaat helemaal niet om veiligheid. Dat is alleen maar lastig.

De toenemende wereldbevolking is het probleem niet. Men verwacht achter de schermen (EU, USA) rampen die gaan gebeuren, waarvan de huidige panepidemie de eerste is. Er liggen meer virusongelukken op de loer. Daarom worden nu allerlei massabeheersingsmiddelen en -monitoringssystemen uitgerold (QR-codes, digitale transparantie van elk individu, etc.).
Beheers alle poppetjes in de massa. Zodat ze geen eigen wil meer hebben, alleen toestemming voor dingen die in hun persoonlijke app staan

22-12-2021, 01:41 door Anoniem

Door Anoniem: Het gaat de laatste tijd allemaal om 'trust' en dat is de laatste tijd flink ramen en deuren uitgevlogen. Uw regering is niet langer uw vriend, maar uw controleur of uw opposant. Ze pretenderen anders, doch helaas de waarheid komt steeds meer aan het licht.
Leggen we het hoofd moedeloos in de schoot of wat?
#corona-proxy

Teveel mensen denken nog dat ze de dans ontspringen als ze maar braaf de regels volgen. En denken dat de regering toch eigenlijk wel het beste met ze voorheeft. Zo lang de meerderheid niet bestaat uit slachtoffers van toeslagenaffaires gaat dit nog wel een tijd door.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer