Europa bouwde soevereine clouds om aan Amerikaanse controle te ontsnappen. Toen vergat het de processors

Europa investeert aanzienlijk, met meer dan € 2 miljard, in soevereine cloud-initiatieven om digitale autonomie te versterken en de afhankelijkheid van de Amerikaanse jurisdictie te verminderen. Deze inspanningen, geïllustreerd door het Franse SecNumCloud-framework met zijn uitgebreide technische vereisten, streven ernaar een omgeving te bieden die "immuun is voor extraterritoriale wetten". Het kerndoel is het opzetten van een cloud-infrastructuur die aantoonbaar onafhankelijk is van buitenlandse overheidsinvloeden en -controle. Er is echter een kritiek gebrek aan aandacht aan het licht gekomen: de onderliggende hardware, met name de processors, is grotendeels afkomstig van Amerikaanse fabrikanten zoals Intel en AMD. Deze processors bevatten geavanceerde management engines, die opereren op een privilege-niveau onder het besturingssysteem, die grotendeels onzichtbaar en ongecontroleerd zijn door beveiligingssoftware van de host. Deze ingebedde technologie kan, zelfs wanneer een machine uitgeschakeld lijkt, nog steeds actief zijn en potentieel kwetsbaar. Deze afhankelijkheid van op silicium gebaseerd ontwerp uit de VS vormt een aanzienlijke uitdaging voor de doelen van digitale soevereiniteit, aangezien Amerikaanse wetgeving zoals de Reforming Intelligence and Securing America Act (RISAA) 2024 hardwarefabrikanten kan classificeren als "providers van elektronische communicatiediensten". Deze classificatie maakt potentiële toegang mogelijk via geheime overheidsbevelen, waarbij de beveiligingscertificeringen van Europese cloud-frameworks worden omzeild. De architectuur van deze management engines, met hun onafhankelijke geheugen-, klok- en netwerkmogelijkheden, betekent dat door hen gegenereerd verkeer niet te onderscheiden is van legitiem hostverkeer, wat een risico op heimelijke gegevensafvoer inhoudt dat bestaande beveiligingsmaatregelen niet kunnen detecteren.