Artikel
Kein Internet ohne Zertifikat in Kasachstan
| Kein Internet ohne Zertifikat in Kasachstan | ||
| Geschrieben von SEKoner am 28.07.2019 um 22:13 Uhr | ||
Die kasachische Regierung hat am 25.07. erneut allen großen lokalen Internet Service Providern (ISPs) einen Hinweis gegeben, in dem sie aufgefordert werden, allen Kunden die Installation eines von der Regierung ausgestellten Stammzertifikaten auf ihren Geräten aufzuerlegen, um wieder Zugang zu den Internetdiensten zu erhalten. Mit dem fraglichen Stammzertifikat, das als „vertrauenswürdiges Zertifikat“ oder „nationales Sicherheitszertifikat“ bezeichnet wird (sofern man es installiert), können ISPs die verschlüsselten HTTPS- und TLS-Verbindungen der Benutzer abfangen und überwachen, wodurch die Regierung als Nebeneffekt ihre Bürger ausspähen und Inhalte zensieren kann.
Möglich macht dies eine Entwurf eines Kommunikationsgesetzes aus dem Jahre 2004, welches die kasachische Regierung dann im November 2015 verabschiedet hat. Gemäß Artikel 26 Absatz 11 der „Regeln für die Ausstellung und Anwendung eines Sicherheitszertifikats“, sind alle nationalen Kommunikationsdiensteanbieter hierdurch dazu verpflichtet, den verschlüsselten Internetverkehr ihrer Kunden mit von der Regierung ausgestellten Sicherheitszertifikaten zu überwachen.
Staatliche Zensur und Überwachung per Gesetz
Man kann die auferlegten Maßnahmen wie eine staatliche „man in the middle“ einordnen. Wie kann die Installation eines "Stammzertifikats" es ISPs ermöglichen, HTTPS-Verbindungen zu entschlüsseln?!
Deine Webbrowser vertrauen automatisch digitalen Zertifikaten die von autorisierten Zertifizierungsstellen ausgestellt werden und deren Stammzertifikate auf deinem System installiert werden. Wenn man Internetbenutzer dazu zwingt, ein Stammzertifikat zu installieren, das zu einer Regierungsorganisation gehört, erhält sie die Berechtigung, gültige digitale Zertifikate für jede Domain zu generieren, die Du über deinen HTTPS-Traffic aufrufst und kann diesen abfangen.
Eine der schwerwiegendsten Sicherheitsrisiken die durch diese Maßnahme entsteht besteht darin, dass Nutzer des Internet vor der Installation der Zertifikate nur durch Nicht-HTTPS-Websites angegriffen werden konnten, da die Cert-Dateien nur über unsichere HTTP-Verbindungen heruntergeladen wurden. Jetzt istes möglich das Hacker das staatliche Zertifikat ausnutzen um dies durch eigene Dateien zu ersetzen, wodurch MiTM-Angriffe ermöglicht werden. Diese Zertifikate durchzusetzen hwißt somit die Privatsphäre und Sicherheit von Millionen ihrer Bürger in Gefahr zu bringen. Sowohl durch Hacker, als auch durch die kasachische Regierung selbst. Hiermit werden zudem die Grundlagen des Internet-Sicherheitsprotokolls verletzt und deren Tauglichkeit untergraben.
Größter kasachischer Provider hat Umsetzung behonnen
Der Provider Tele2, einer der größten kasachischen Internetdienstanbieter, hat nun damit begonnen, alle HTTPS-Verbindungen seiner Kunden auf eine Webseite umzuleiten, welche die staatlichen Zertifikatsdateien und Anweisungen zur Installation auf Windows-, MacOS-, Android- und iOS-Geräten enthalten. Alle anderen nationalen ISPs beabsichtigen ebenfalls, ihre Internetbenutzer in Kürze zur Installation des Stammzertifikats zu zwingen, um den gesetzlichen Bestimmungen zu entsprechen.
Möglich macht dies eine Entwurf eines Kommunikationsgesetzes aus dem Jahre 2004, welches die kasachische Regierung dann im November 2015 verabschiedet hat. Gemäß Artikel 26 Absatz 11 der „Regeln für die Ausstellung und Anwendung eines Sicherheitszertifikats“, sind alle nationalen Kommunikationsdiensteanbieter hierdurch dazu verpflichtet, den verschlüsselten Internetverkehr ihrer Kunden mit von der Regierung ausgestellten Sicherheitszertifikaten zu überwachen.
Staatliche Zensur und Überwachung per Gesetz
Man kann die auferlegten Maßnahmen wie eine staatliche „man in the middle“ einordnen. Wie kann die Installation eines "Stammzertifikats" es ISPs ermöglichen, HTTPS-Verbindungen zu entschlüsseln?!
Deine Webbrowser vertrauen automatisch digitalen Zertifikaten die von autorisierten Zertifizierungsstellen ausgestellt werden und deren Stammzertifikate auf deinem System installiert werden. Wenn man Internetbenutzer dazu zwingt, ein Stammzertifikat zu installieren, das zu einer Regierungsorganisation gehört, erhält sie die Berechtigung, gültige digitale Zertifikate für jede Domain zu generieren, die Du über deinen HTTPS-Traffic aufrufst und kann diesen abfangen.
Eine der schwerwiegendsten Sicherheitsrisiken die durch diese Maßnahme entsteht besteht darin, dass Nutzer des Internet vor der Installation der Zertifikate nur durch Nicht-HTTPS-Websites angegriffen werden konnten, da die Cert-Dateien nur über unsichere HTTP-Verbindungen heruntergeladen wurden. Jetzt istes möglich das Hacker das staatliche Zertifikat ausnutzen um dies durch eigene Dateien zu ersetzen, wodurch MiTM-Angriffe ermöglicht werden. Diese Zertifikate durchzusetzen hwißt somit die Privatsphäre und Sicherheit von Millionen ihrer Bürger in Gefahr zu bringen. Sowohl durch Hacker, als auch durch die kasachische Regierung selbst. Hiermit werden zudem die Grundlagen des Internet-Sicherheitsprotokolls verletzt und deren Tauglichkeit untergraben.
Größter kasachischer Provider hat Umsetzung behonnen
Der Provider Tele2, einer der größten kasachischen Internetdienstanbieter, hat nun damit begonnen, alle HTTPS-Verbindungen seiner Kunden auf eine Webseite umzuleiten, welche die staatlichen Zertifikatsdateien und Anweisungen zur Installation auf Windows-, MacOS-, Android- und iOS-Geräten enthalten. Alle anderen nationalen ISPs beabsichtigen ebenfalls, ihre Internetbenutzer in Kürze zur Installation des Stammzertifikats zu zwingen, um den gesetzlichen Bestimmungen zu entsprechen.