eIDAS 2.0, QWACs And The Security Of The Web

от Божидар Божанов
лиценз CC BY

Tension has been high in the past months regarding a proposed change to the European eIDAS regulation which defines trust services, digital identity, and the so-called QWACs – qualified website authentication certificates. The proposal aims at making sure that EU-issued certificates are recognized by browsers. Here’s a summary from Scott Helme, and a discussion with Troy Hunt, and another good post by Eric Rescorla, former Firefox CTO so I’ll skip the intro.

Objections

Early in the process, Mozilla issued a position paper that raises some issues with the proposal. One of them is that what the EU suggests is basically an Extended Validation certificate – something that we had in the past (remember the big green address bars?), and which we have abandoned some time ago, and for a reason – multiple studies found that they do not bring any benefits. The EU says “QWACs (EVs) give the user more trust because they know which legal entity is behind a given website”. And the expert community says “well, in which scenario is that useful, and what about faking it – opening an entity with the same name in a different jurisdiction?”.

Later in the process, an additional limitation was added for browser vendors – that they cannot mandate additional security requirements than those specified by the EU standards body – ETSI. This is, to me, counterintuitive policy-wise, because in general, you set minimum requirements in regulations, not maximum. Of course, this prevents browser vendors from having arbitrary requirements. Not that they’ve had such requirements per se, but for example their CA inclusion page says “Mozilla is under no obligation to explain the reasoning behind any inclusion decision.” For me, this is not an acceptable process for something as important.

Mozilla (and various experts) also note, correctly, that if a CA gets compromised, this affects the entire world – the traffic to any website can be sniffed through man-in-the-middle attacks. And this has happened before. The Electronic Frontier Foundation, a respected digital rights organization, also objected to the approach.

Then Mozilla launched a campaign website against the amendment, which has the wrong tone and has some gross oversimplifications and factually incorrect statements (for example, it’s not true that QTSPs are not independently vetted). Then the European Signature Dialog (basically, an association of EU CAs, called QTSPs – qualified trust service providers), responded to it in a similarly inappropriate way. It said “Mozilla is generally perceived as a Google satellite, paving the way for Google to push through its own commercial interests” (which is false, but let’s not go into that).

The statements that QWACs are better against phishing, is arguably not true, even if you consult the paper that the ESD linked. It says: “Our analysis shows that it is generally impossible to differentiate between benign sites and phishing sites based on the content of their certificates alone. However, we present empirical evidence that current phishing websites for popular targets do typically not replicate the issuer and subject information”. So the fact that phishing sites don’t bother using EVs is somehow a reasons that EVs(QWACs) help against phishing? I’m disappointed by this ESD piece – they know better. Mozilla also knows better, as this negative campaign website introduces a tone that’s not constructive.

Insufficient assessment

What becomes apparent from the impact assessment study, another study, and the subsequent impact assessment is that there have been efforts to agree with browser vendors on including EU issued certificates without the CAs having to go through the root program process of the browsers, which they have refused.

I think this is not a good impact assessment. It does not assess impact. It doesn’t try to find out what will happen once this is passed, nor it tries to compare root programs with current ETSI standards to find the gaps. Neither the initial study, nor the impact assessment review the security aspects of the change.

For example, due the current usage patterns of QWACs for internal API-based communication between EU institutions, QWACs have sometimes been issued to private addresses (e.g. 192.186.xx.xx). Once they become automatically approved by the browsers, a security risk arises – what if I have a trusted certificate for your local router IP?

Also, it’s not a good process to include additional limitations in the trialogue, which is an informal process between the EU parliament, commission and council. I, as a Bulgarian member of parliament, requested from our government the drafts from the trialogue, and I was not granted access (due to EU rules). This is unacceptable as a legislative process, which should be fully transparent.

I have criticized this process and insufficient impact assessments before – for the copyright directive introduction of a requirement for automated content takedown, and for the introduction of mandatory fingerprints in ID cards.. There just doesn’t seem to be enough technical justification for regulations that have a very significant technical impact – not just in the EU, but in the world (as browsers have a global trusted CA list, not a EU one).

Technical or political debate?

The debate, as it seems, has conflated two separate issues – the technical and the political one. What Mozilla (and I presume other browser vendors) are implying is that they are responsible for the security in their browsers and they should be able to enforce security rules, while the EU is saying – private US entities (for-profit or non-profit) cannot have full control over who gets trusted and who doesn’t. Both are valid arguments. The EU seems to be pursuing a digital sovereignty agenda here, which, strategically, is a good idea.

But the question is whether that’s the best approach, and if not – how to improve it.

Some data and an anecdote to further illustrate the status quo. The Certinomis French QTSP (CA) has been distrusted by Mozilla a while ago. It is, however, on the EU trusted list. With the changes, Mozilla and others should re-trust it. The concerns raised by Mozilla seem legitimate, and so the fact that EU conformity assessment bodies do regular audits may not be sufficient for the purposes of web security (but this assumption needs to also be critically assessed).

Currently, there are 146 root/subordinate CA certificates listed for QWAC QTSPs. Of those 146, 115 are included in one or more root trust stores, and between 57 and 80 are missing from one or more. It’s far from an ideal picture, but these numbers should have been in the impact assessment and the problem statement in the first place. So that the legislators can identify the reasons for not including a CA in one or more root program. Is it a technical shortcoming of the CA, or it it a vendor discretion? Certainly, there doesn’t seem to be a ban on EU CAs/QTSPs by browser vendors.

So, essentially, the political results here is that EU CAs will get a fast-track into trust stores. I’m sure other jurisdictions will try to pass similar legislation, which will complicate the scene even further. Some of them will not be as democratic as the EU. And if a browser vendor thinks some CA is not trustworthy by their standards, they may come up with very clever workarounds of the regulation.

The first one – ignoring it, as there are no fines. But they can also introduce different paddock colors for different cases – e.g. a QWAC from a browser-approved CA gets a green paddock, a QWAC that has not passed the browser root program gets a yellow paddock. Compared to the current grey one, the yellow color may be perceived as less trustworthy. And then we’ll have to argue whether yellow is a clear enough indication and whether it shows trust or not so much. Time and time again I have stated that you can’t really regulate exact features and UI.

A technical solution to the political question?

I’ve heard many times that technical solutions to political problems are wrong. And I’ve seen many cases where, if you delve into the right level of detail, there is a solution that is both technically good and serves the political goal. In this case this is the so-called “Certificate transparency”. In a nutshell, each certificate, before being issued, is placed in a public verifiable data structure (merkle tree – used in blockchain implementations), and gets a signed certificate timestamp (SCT) as a response, which is then included as an X.509 attribute. This mitigates the risk of compromised CAs issuing certificates for websites that do not belong to the one requesting the certificate. In no time (up to 24 hours) they will be caught and distrusted, which raises the bar significantly.

Unfortunately, ETSI hasn’t included Certificate transparency in the current QWAC standard. The ESD association mentioned above says in another document that “The Browsers can easily bring any additional rules they want to impose on QTSPs such as Certificate Transparency to ETSI and other international standards bodies to be adopted through an open process of consensus by the internet community”, which I think is the wrong approach – Certificate transparency is an IETF RFC and is a de-facto standard. What will surely help is moving it (they are actually 2 RFCs) out of the “Experimental” status in IETF, but we can’t require every standard to be mirrored by ETSI.

I don’t know why CT has not been referenced by ETSI so far. It’s true that certificate log servers are based mostly in the US (and one in China), but nothing stops an organization from running a CT log. It “just” takes some infrastructure and bandwidth to support the load, but I think it’s a price EU QTSPs can pay, e.g. by sharing the costs for a couple of CT logs.

As a sidenote, I think it’s worth noting that the EU can also do more towards the adoption of DANE – a standard, which gets rid of CAs, as the public key is stored in a DNS record. It relies on DNSSEC, which doesn’t have huge adoption yet, and both are trickier to implement than it sounds, but if we want to be independent from browser decisions on which CA to trust, we can remove CAs from the trust equation. I’m fully aware it’s far from simple, and we’ll have to support PKI/CAs for a long, long time, but it’s a valid policy direction – mandate DNSSEC and DANE support.

Conclusion

Certificate transparency requirements can be added now to the eIDAS Annex IV. We are too late in the legislation process for that to be done smoothly, but I’d appreciate if the legislative bodies tried it. It would be just one additional point – “(k) details about the inclusion of the certificate in a public ledger” (note that the same eIDAS 2.0 regulates ledgers, and a CT log is a ledger, so that can be leveraged).

If not in Annex IV, then I’d strongly suggest including CT in the next version of the relevant ETSI standard. And I think it would be good if the EU Commission or ETSI to do a gap analysis of current root programs and the current ETSI standards to see if something important is missing.

Furthermore, the European Commission should initiate a series of objective studies on the effectiveness of extended validation certificates. The studies that I’ve read are not in favour of the EV/QWAC approach, but if we are to argue EV/QWACs are worth it, we need better justification.

A compromise is possible, that would make browsers confident that there will be no rogue CAs while at the same time giving Europe a say over trust in the web.

The post eIDAS 2.0, QWACs And The Security Of The Web appeared first on Bozho's tech blog.

Прозрачна ли е все пак собствеността на медиите

от Нели Огнянова
лиценз CC BY

“Две сделки – едната имотна, а другата медийна – вписани три дни една след друга в Търговския регистър в края на месец март 2021 г., повдигат въпроса доколко процедурата по закона „Магнитски“ за България е била адекватна.

Смяната на собствеността на две компании, свързвани с Делян Пеевски и контролирани от него дружества, е вписана съответно на 22 и 25 март. Това е само около месец преди Секцията за човешки права и борба срещу корупцията на американската Служба за контрол на чуждестранните активи (OFAC) да одобри вътрешно на 29 април доказателствения меморандум за депутата от ДПС, показват документи от делото „Пеевски срещу Йелън“.

На 2 и 16 март – в рамките на три месеца преди обявяването на санкциите – двама дългогодишни управители на дружества, свързвани с Пеевски, продават огромна част от имотите, които до 2020 г. са били контролирани от депутата, и цялата му медийна собственост в страната.

От сделките не става напълно ясно дали парламентарният лидер на ДПС действително се е разделил с части от империята си или става въпрос за преструктуриране на активи преди санкциите. Както и дали той не е бил предупреден предварително за предстоящите мерки на правителството на САЩ.”

Публикацията е Пеевски – пране с избелване, медията е Клуб Зет, авторът е Димитър Ганев, темата е медийната собственост и трансформациите й, за които е трудно да се каже дали са реални или фиктивни.

Да напомня за ТВ7, една медия, свързвана с политическия проект на Бареков – оказа се, че преди десет години ТВ7 е получила 300 милиона от едно от дружествата на Цветан Василев – ИМЕ.  А ИМЕ е кредитирано от КТБ. А КТБ беше частна банка, концентрираща публичен ресурс от сектори като енергетиката.   Така публичният ресурс е бил трансфериран към ТВ7 и към  останалите – 24, Труд и Стандарт, кредитирани от дружествата на Цветан Василев, които от своя страна са кредитирани от КТБ.

Точно тогава  Валерия Велева пишеше: “Изрично подчертава – не финансира медии чрез банката. Това е в отговор на публикациите, че с парите на държавата финансира частни медии. Вади лични средства, когато види в даден проект потенциал. Развива го и го продава. Прави го от инвеститорска страст.” Видя се колко не финансира. Но Валерия Велева коментира от студиото в БНТ актуална политика.

Не е чудно. Там някъде са и 100-те хиляди долара за члена на борда на ТВ7 Емил Кошлуков с подписа на Цветан Василев – да си купи апартамент в САЩ. Необезпечен преференциален заем. Къде е сега Емил Кошлуков: на позиция, за която законът изисква обществен авторитет и професионално признание. И други от ТВ7 са там. И Валерия Велева гостува. Формират общественото мнение.

Как се пише: сгъстявам, сгъстя или згъстявам, згъстя?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише сгъстявам, сгъстя. Думата има представка с- и корен -гъст-, които се пишат по един и същи начин, независимо от изговора им. Под звука на бойните тръби войниците сгъстяват редиците си. Сложете сместа на слаб огън и я бъркайте, докато се сгъсти.

Как се пише: бинокъл, бинокал или бинокел?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише бинокъл. Думата е заета от френски – binocle. Ако използваш бинокъл за наблюдение на астрономически обекти, добре е да се снабдиш със статив. Виждала ли си някога човек с театрален бинокъл на представление в София?

Как се пише: уморявам (се) или умарям (се)?

от Павлина Върбанова
лиценз CC BY-NC-ND
В книжовната реч се употребява глаголът уморявам (се), а умарям (се) е диалектна дума. Скандалите вкъщи ме уморяват и изцеждат последните ми сили. Ако нощем не спим добре, през деня се уморяваме по-бързо.

Как се пише: превземам, превзема или привземам, привзема?

от Павлина Върбанова
лиценз CC BY-NC-ND
Правилно е да се пише превземам, превзема. Бунтовници превзеха база на мироопазващите сили на ООН в Мали. Коледният панаир на занаятите превзема Стария град в Пловдив.

Подаръците на 2023

от Ясен Праматаров
лиценз CC BY

2023-та година си отминава и беше странна, но не чак колкото предишните пандемични години. Много неща в личен план – и хубави, и притеснителни, и неочаквани. Трябва да пиша отделно, дано успея.

Но общата ни 23-та също е за отбелязване. Световни несправедливости продължават – Русия на Путин, като днешен Хитлер, все така стреля, убива и окупира. Хамас нападна Израел и сега ползва народа като щит, надявайки се светът да се преобърне и да забрави кой е насилникът и терористът.

А най-важните за нас неща се случиха в края на годината, като български коледни подаръци. Промените в конституцията и приемането ни в Шенген няма да оправят всичко отведнъж, но са първите големи правилни крачки от много време.

Най-големият “подарък”, дето отдавна сме си го заслужили, но все ни го криеха, е махането на МОЧА. Изстрадан с десетилетия демонтаж! Остават още стотици статуи и грамади из цялата страна, много имена на улици (особено из малките градове), но шпагинът в Княжеската си беше символ. Бос в края на ниво на аркадна игра, жалон за маркиране на територия. Щом МОЧА падна, вярвам няма какво да държи всичкия останал пропаганден боклук от камък и бронз, пръснат из родината.

Честита нова година!

България е в Шенген

от Божидар Божанов
лиценз CC BY

България е в Шенген. В края на март отпада граничният контрол, освен по суша.

За шест месеца това правителство и мнозинството в парламента свършихме много работа за това България да бъде приета най-накрая в Шенгенското пространство.

Холандия се притесняваше за върховенството на закона. Приехме антикорупционно законодстелство и най-вече – изменения в Конституцията, с които Холандия прие, че се движим с бързи крачки в правилна посока и свали ветото си.

Австрия има резерви за нашия граничен контрол, поради което бяха положени много усилия от правителството.

Това не са просто дипломатически усилия (каквито имаше много), не са и молби „айде махнете ветото“, както някои си представят. Това е систематична работа на много институции в обща посока.

Да, България не получава засега Шенген по суша. Предстои още работа на Гранична полиция, за да доубедим Австрия. Да, вероятно преминават мигранти през т.нар. „зелена граница“, а каналджийството, за което приехме сериозни промени в Наказателния кодекс, сигурно не е изчезнало. Но с помощта на технологиите, видеонаблюдението на границата, обхождането с дронове и централизирания анализ, скоро ще сме отвъд техническите изисквания, които отдавна покриваме.

Не, не сме се съгласявали да приемаме повече мигранти. Дъблинският регламент, който сме длъжни да прилагаме от 2013 г., остава в сила непроменен.

Ясно е, че опозицията винаги ще търси кусури и ще опитва да каже на бялото черно. Ще си измисля, ще преиначава и ще омаловажава. Но нека опитат да не очернят този успех за страната заради партийни интереси.

Критичните по принцип избиратели и сега ще са недоволни, мнителни и ще иронизират успеха (най ми харесаха „подземния Шенген“ и „тази година полушенген, догодина – цял Шенген“). Това е тяхно право, но и тях призовавам да не са напълно черногледи.

В крайна сметка хората ще усетят ползата от отпадането на граничния контрол. И твърденията, че сме „втора ръка европейци“ ще са все по-безпочвени. А репутацията на държавата ни ще се подобри, защото приемането в Шенген не е просто въпрос на граничен контрол, а е атестат за институционален напредък.

От днес България в по-интегрирана в Европа, а от това ползите са огромни.

Материалът България е в Шенген е публикуван за пръв път на БЛОГодаря.

Волгин, Россия, редакционни стандарти

от Нели Огнянова
лиценз CC BY

Журналистът от Българското национално радио Петър Волгин е дал в центъра на София интервю за медия от ограничителния списък на санкциите на ЕС.  Според публикации в медиите Волгин е изложил в обичайния си стил обичайните си тези.

Тези факти са повдигнали въпроси, които могат да се сведат до два:

а. Допустимо ли е медия под ограничителните мерки на ЕС да работи в държава от ЕС и

б. Допустимо ли е журналист от обществена медия да дава интервюта на медия от ограничителния списък, в частност по горещ политически въпрос и още по в частност, според медиите, прокремълски (дискутиран е паметникът отново).

По първия въпрос

В регламентите с ограничителните мерки има следния текст: (14) В съответствие с основните права и свободи, признати в Хартата на основните права, и по-специално с признатите в членове 11, 16 и 17 от нея право на свобода на изразяване на мнение и на получаване и разпространяване на информация, свобода на стопанска инициатива, както и право на собственост, тези мерки не пречат на медиите и техния персонал да извършват в Съюза дейност, различна от излъчване, например проучвания и интервюта.

Това е потвърдено и от Съда на ЕС в решението по делото RT France във връзка с пропорционалността на ограничителните мерки. (156 )   Освен това следва да се отбележи, че обжалваните актове не възпрепятстват всички дейности, свързани със свободата на информация и на изразяване на мнение. Всъщност, както е посочено в съображение 11 от обжалваните актове, наложената на жалбоподателя временна забрана за излъчване не му пречи да извършва в Съюза други дейности, различни от излъчване, например изследвания и интервюта. Следователно може да се твърди, както прави Съветът, че жалбоподателят и неговите журналисти имат разрешение да продължат някои дейности, свързани със свободата на информация и на изразяване на мнение, и че посочената забрана по принцип не пречи на жалбоподателя да извършва други дейности, които биха могли да генерират приходи.

Експлицитно е казано, че формално интервютата на тези медии в Съюза не са забранени.

Това е по линията на санкционните пакети. Отделен въпрос е, че медиите под ограничение сведетелстват за  откази да се издават акредитации на техни журналисти, посочени са причини във всеки конкретен случай. Тук трябва да се напомни, че от 3 ноември т.г. кореспондентът на БНР Ангел Григоров няма право да изпълнява журналистическата си работа в Москва. БНР официално заяви, че изгонването от Русия на единствения кореспондент на българска медия е изцяло политически акт.

По втория въпрос

По повод интервюто на Волгин като водещ на предаване в БНР с посланичката на РФ Митрофанова Комисията за журналистическа етика публикува позиция, че интервюта с посланици не са забранени, стига да става дума за журналистика, която освен другото изпълнява и критичната си функция.

По повод интервюто на Волгин като гост в руската телевизия четем в Редакционните стандарти на БНР  следното:

т. 12.9. Извън БНР, ние все още представляваме БНР. Залагаме на точността

Директорите на структури в БНР одобряват участия на служители в събития или в други
медии, след преценка, че то не подкопава репутацията на БНР на почтена, независима и
безпристрастна медия. Трябва да се установи каква е целта на събитието, кои са спонсорите и какви са ангажиментите на служителите.

Дали интервюто на Волгин пред медия от ограничителния списък няма потенциал да засегне репутацията на БНР като независима и безпристрастна медия? За какво свидетелства според БНР фактът, че точно Волгин - точно от БНР - е поканен от името на обикновените българи да изрази една остро политическа и предварително известна позиция по един от най-разделящите обществото въпрос?

Това са открити въпроси, не знаем какво мислят по тях в БНР. След Пеевски и премиера може би е техен ред да коментират.

Контекст:

Изготвени са вече 12 санкционни пакета към Руската федерация по повод агресията в Украйна. В трети, шести, десети, десети и единадесети пакет има ограничителни мерки срещу пропагандни медии. Общият списък на медиите под пряк или непряк контрол от Руската федерация   в Приложение XV към Регламент (ЕС) № 833/2014 вече включва:

  1. RT – Russia Today English
  2. RT – Russia Today UK
  3. RT – Russia Today Germany
  4. RT – Russia Today France
  5. RT- Russia Today Spanish
  6. Sputnik
  7. Rossiya RTR / RTR Planeta
  8. Rossiya 24 / Russia 24
  9. TV Centre International
  10. NTV/NTV Mir
  11. Rossiya 1
  12. REN TV
  13. Pervyi Kanal
  14. RT Arabic
  15. Sputnik Arabic
  16. RT Balkan,
  17. Oriental Review,
  18. Tsargrad,
  19. New Eastern Outlook,
  20. Katehon.

Санкциите се прилагат и към медии извън Приложение XV, които се финансират от Кремъл или лица от ограничителния списък.

На второ място, ограничителните мерки се прилагат към разпространителите на така описаното съдържание по какъвто и да е начин, в каквато и да е среда, офлайн и онлайн.

На трето място, ограничителните мерки се прилагат по отношение на евентуалните рекламодатели към тези медии.

Полша: Предстои ли ликвидация и преучредяване на обществените медии

от Нели Огнянова
лиценз CC BY

Европейската федерация на журналистите (EFJ) и Международната федерация на журналистите (IFJ) осъждат намесата на политически партии в управлението на общественото радио и телевизия в Полша.

В събота полският президент Анджей Дуда , съюзник на бившите управляващи популисти Право и справедливост, PiS, в Полша, каза, че ще наложи вето на държавните медийни субсидии от 3 милиарда злоти (771 милиона долара) за финансиране на държавните медии, предложени в законопроект, свързан с бюджета, като част от спора около правителствената реформа на държавните медии. Ветото ще ескалира нарастващото противопоставяне между Дуда и новото проевропейско правителство на премиера Доналд Туск .

Доналд Туск уволни ръководството на държавните медии по-рано тази седмица. Малко след съобщението редовното излъчване на TVP беше спряно, като се излъчваше само логото му. Уебсайтът на TVP Info също беше офлайн.

В продължение на години  докладите на Media Pluralism Monitor осъждат липсата на политическа независимост на полските обществени медии.

От 2016 г. обществените медии (PSM) получават нарастващи суми „компенсации за несъбрани лицензионни такси“ от държавния бюджет, което увеличава политическата зависимост на TVP. „Моделът на финансиране на PSM в Полша също все повече се възприема като несправедлив и непрозрачен механизъм, който се нуждае от необходима корекция“, се казва в доклада на MPM за 2023 г.

Последният годишен доклад на академичните експерти на MPM е силно критичен към полските PSM: Съществуващите правила относно представянето на новините на PSM са формулирани по много общ начин както в Закона за радиоразпръскването от 1992 г., така и в хартите на PSM и не съдържат практически изисквания за качество, точно и безпристрастно отчитане. Освен това, липсата на мониторинг и липсата на отчетност на PSM допринася за факта, че PSM не спазват правилата за мисията, особено когато се отнася до политически доклади. През последните няколко години политическото пристрастие и пристрастие на PSM достигна безпрецедентен мащаб. Има дисбаланс и открито манипулиране на фактите.

От своя страна министърът на културата в правителството на Туск е казал, че в отговор на изявлението на президента ще обяви в ликвидация обществените телевизия, радио и новинарска агенция и фактически те ще бъдат преучредени. 

Това е доста радикално решение, което естествено е довело до неодобрение от страна на PiS и все още не е ясно ще бъде ли приложено. Новото правителство обещава да деполитизира обществените медии, но има съмнения относно методите им.

IFJ подчертават основателно, че новото правителство не трябва да повтаря грешките на предишното правителство. Тези реформи трябва да зачитат върховенството на закона и независимостта на редакциите.