Peluang Terakhir untuk Merevisi eIDAS: Undang-Undang Rahasia Uni Eropa (EU) yang Mengancam Keamanan Internet

 (last-chance-for-eidas.org)
2 poin oleh GN⁺ 2023-11-03 | 1 komentar | Bagikan ke WhatsApp
  • Teks regulasi eIDAS yang nyaris final telah disepakati oleh lembaga-lembaga utama EU dan dijadwalkan diajukan untuk persetujuan sebelum akhir tahun.
  • Ketentuan hukum baru mewajibkan semua browser web di Eropa untuk memercayai otoritas sertifikasi dan kunci enkripsi yang dipilih oleh pemerintah EU.
  • Perubahan ini memperluas kemampuan pemerintah EU untuk mencegat lalu lintas web terenkripsi di seluruh EU dan mengawasi warga.
  • Negara anggota EU mana pun dapat mendistribusikan kunci enkripsi ke browser web, dan browser tidak dapat mencabut kepercayaan terhadap kunci tersebut tanpa izin pemerintah.
  • Dengan demikian, negara anggota EU mana pun dapat menerbitkan sertifikat situs web untuk pengawasan dan pencegatan terhadap semua warga EU, terlepas dari tempat tinggal atau hubungan mereka dengan negara anggota penerbit.
  • Tidak ada pemeriksaan atau mekanisme penyeimbang yang independen atas keputusan mengenai kunci yang disertifikasi dan digunakan oleh negara anggota.
  • Teks ini melarang browser menerapkan pemeriksaan keamanan terhadap kunci dan sertifikat EU tersebut, kecuali yang telah disetujui sebelumnya oleh ETSI, lembaga standar TI milik EU.
  • ETSI memiliki rekam jejak yang mengkhawatirkan dalam menghasilkan standar enkripsi yang telah dikompromikan dan menjalankan kelompok kerja untuk pengembangan teknologi pencegatan.
  • Lebih dari 300 pakar dan peneliti keamanan siber telah menandatangani surat terbuka yang mendesak EU untuk membatalkan rencana ini dan melindungi web.
  • Organisasi masyarakat sipil dan perusahaan yang membangun serta melindungi internet, termasuk Linux Foundation, Mullvad, DNS0.EU, dan Mozilla, juga mendukung surat tersebut.
  • Teks ini dijadwalkan akan diterbitkan setelah disetujui dalam pertemuan trilog final tertutup di Brussel pada 8 November, lalu diajukan ke Parlemen Eropa untuk ratifikasi resmi.
  • Warga Eropa dapat menulis kepada Romana JERKOVIĆ, anggota Parlemen Eropa yang menangani berkas eIDAS, untuk menyampaikan kekhawatiran mereka.
  • Pakar keamanan siber, peneliti, atau NGO dapat menandatangani surat terbuka di https://eidas-open-letter.org.

Bacaan terkait

1 komentar

 
GN⁺ 2023-11-03
Komentar Hacker News
  • Artikel tentang potensi ancaman keamanan yang dapat ditimbulkan oleh undang-undang eIDAS Uni Eropa
  • Kekhawatiran bahwa undang-undang tersebut dapat mengizinkan penerbitan sertifikat apa pun yang dapat digunakan untuk tujuan pengawasan
  • Beberapa pemberi pendapat berargumen bahwa ini bukan "undang-undang rahasia" karena semua undang-undang UE harus dipublikasikan di situs web dalam bahasa resminya dan diratifikasi secara terbuka di Parlemen Eropa sebelum berlaku
  • Sudut pandang bahwa undang-undang ini dapat memindahkan kekuasaan dari lembaga swasta ke pemerintah UE agar administrasi digital menjadi lebih mudah
  • Pertanyaan tentang dampaknya terhadap browser open source, apakah mereka akan dipaksa untuk mengimplementasikannya, dan apakah pemerintah akan mengaudit kode untuk memeriksa siapa yang merilis versi yang telah menghapus sertifikat pemerintah
  • Beberapa pemberi pendapat berargumen bahwa sistem CA browser saat ini pada dasarnya cacat, dan jika aktor negara dapat menangkap lalu lintas IP dan membuat sertifikat berbahaya, mereka dapat melakukan serangan MITM
  • eIDAS mencakup upaya untuk memaksakan kepercayaan, sehingga sebagian orang percaya bahwa hal ini merusak seluruh model kepercayaan internet
  • Undang-undang tersebut mensyaratkan agar "sertifikat berkualifikasi untuk autentikasi situs web" dikenali oleh browser web dan ditampilkan dengan cara yang ramah pengguna
  • Negara lain seperti India juga sedang menyiapkan undang-undang serupa agar OS dan browser mereka memiliki CA sendiri
  • Beberapa pemberi pendapat mengatakan mereka akan puas dengan undang-undang ini jika sertifikat yang diterbitkan oleh CA tersebut terhubung ke layanan Certificate Transparency (CT) independen dan domain tingkat atas kode negara tertentu