La UE está a punto de aprobar un nuevo reglamento, eIDAS 2.0. En lo más profundo del texto se encuentra el artículo 45, que nos devuelve a la época oscura de 2011, cuando las autoridades de certificación (CA) podían colaborar con los gobiernos para espiar el tráfico cifrado y salirse con la suya. El artículo 45 prohíbe a los navegadores imponer requisitos de seguridad modernos a determinadas CA sin la aprobación de un gobierno miembro de la UE.
|
etiquetas: unión europea , seguridad , internet , espionaje , eidas
Artículo 18
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos
Habida cuenta el año podemos descartar la informática personal, se refiere a que los medios informáticos en poder de bancos, grandes corporaciones y en menor media el estado (no veas como estaba la cosa en esa época) deben evitar el cruzar datos y similares.
4. La ley limitará [el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos]
Hay muchos artículos que dicen "eso se regula por ley" aunque entiendo que lo que temes es una ley como la francesa hasta 2000 que prohibía la encriptación o la ley americana que no permitía exportar algoritmos de encriptación fuertes.
Teóricamente eso iría contra el espíritu del artículo 18 pero ... ya sabemos todo lo que pasa a veces.
Después del despropósito de las cookies esto.
Putos ignorantes.
"Libertá".
Se sienten bajo una dictadura comunista porque hay besos entre mujeres en las pelis Disney
Están muy locos los neoliberales, si me pregunta a mi, tanto en su versión facha como en su versión progre.
¿De qué manera pueden los gobiernos explotar esto? No lo entiendo bien...
Porque si un sitio web del que esos gobiernos son administradores (se me ocurren webs gubernamentales o del Estado) expone uno de esos certificados, al final ese sitio web al ser el destino de la comunicación va a descifrar el tráfico una vez llegue, con lo cual la información ya era visible igualmente si el gobierno de turno quería verla. ¿Qué ganan poniendo un certificado emitido por una CA propia o con la que estén "compinchados"?
Y si no es un sitio web del que esos gobiernos sean administradores, ¿cómo van a forzar a ese sitio a que exponga un certificado de los no fiables? ¿Y cómo van a conseguir que los administradores del sitio no avisen a los usuarios de que les están obligando a hacer eso? ¿No haría falta otra ley para eso?
Por ejemplo, como información sobre el aborto, su una polaca mira una web alemana para ver una clínica, el gobierno polaco puede forzar que use un certificado que pueda romper.
Con una ca raíz aceptada por tu navegador. Yo podría emitir un certificado para leer tu correo de Gmail. Tu pensarías que estás conectado a Gmail pero estarías conectado a mi que te mandaría luego a Gmail, y como hago para engañarte y que entres en mi web?? Soy el gobierno y controlo los ISP que te dan internet... A día de hoy sin orden judicial pueden bloquear una web en las DNS a nivel nacional... Con una orden pueden pedir todo lo que ISP tenga de ti... Excepto el tráfico cifrado, con el artículo 45 también podran
Si solo pudiera hacerlo una variante, lo haría, y así se ahorraría el perjuicio electoral, pero hace falta una mayoría para sacarlo adelante.
Puedes contarnos más sobre cómo funciona el mundo, que aquí hay mucho ingenuo e ingenua.
Muchas gracias de antemano.
Porque si eso es así, aunque la web de verdad obviamente nunca exponga ese certificado, se pueden usar trucos como lo que decís de los DNS para colarse en medio y usar ese certificado, y si la CA no es de fiar el navegador te avisa, pero si fuerzan al navegador a no avisarte... creo que ya lo voy pillando.
Lo que no entiendo bien es lo que comentas #21 de que el gobierno polaco puede forzar que esa web alemana use un certificado que pueda romper, ¿de qué manera puede forzar eso?
Lo otro podría suceder es que Polonia con acuerdo del gobierno alemán obligue a la web alemana a emitir un certificado como puede obligar a las páginas de servicios médicos que están alojadas en Polonia, bien a todo el tráfico, al trafico proveniente de Polonia o ciertas IP.