Ostatnia szansa na naprawę eIDAS: tajne prawo UE zagraża bezpieczeństwu Internetu



Ponad 400 ekspertów ds. cyberbezpieczeństwa, badaczy i organizacji pozarządowych podpisuje list otwarty bijący na alarm.

2 listopada 2023 r.

Po latach procesu legislacyjnego, niemal ostateczny tekst rozporządzenia eIDAS został uzgodniony przez negocjatorów trójstronnych reprezentujących kluczowe organy UE i zostanie przedstawiony opinii publicznej i parlamentowi do zatwierdzenia przed końcem roku. Nowe artykuły legislacyjne, wprowadzone podczas ostatnich spotkań za zamkniętymi drzwiami i jeszcze nie upublicznione, przewidują, że wszystkie przeglądarki internetowe dystrybuowane w Europie będą musiały ufać urzędom certyfikacji i kluczom kryptograficznym wybranym przez rządy UE.

Zmiany te radykalnie rozszerzają możliwości rządów UE w zakresie inwigilacji obywateli poprzez zapewnienie, że klucze kryptograficzne znajdujące się pod kontrolą rządu mogą być wykorzystywane do przechwytywania zaszyfrowanego ruchu internetowego w całej UE. Każde państwo członkowskie UE ma możliwość wyznaczenia kluczy kryptograficznych do dystrybucji w przeglądarkach internetowych, a przeglądarkom nie wolno odwoływać zaufania do tych kluczy bez zgody rządu.

Umożliwia to rządowi dowolnego państwa członkowskiego UE wydawanie certyfikatów witryn internetowych do przechwytywania i inwigilacji, które mogą być wykorzystywane przeciwko każdemu obywatelowi UE, nawet tym, którzy nie mieszkają w wydającym je państwie członkowskim lub nie są z nim związani. Nie ma niezależnej kontroli ani równowagi nad decyzjami podejmowanymi przez państwa członkowskie w odniesieniu do autoryzowanych przez nie kluczy i ich wykorzystania. Jest to szczególnie niepokojące, biorąc pod uwagę, że przestrzeganie zasad praworządności nie było jednolite we wszystkich państwach członkowskich, z udokumentowanymi przypadkami przymusu przez tajną policję w celach politycznych.

Tekst zakazuje przeglądarkom stosowania kontroli bezpieczeństwa do tych kluczy i certyfikatów UE, z wyjątkiem tych wstępnie zatwierdzonych przez unijny organ normalizacyjny IT - ETSI.  Ta sztywna struktura byłaby problematyczna w przypadku każdego podmiotu, ale kontrolowane przez rząd organy normalizacyjne są szczególnie podatne na niewłaściwe bodźce w kryptografii. W szczególności ETSI ma zarówno niepokojące osiągnięcia (1,2,3) w tworzeniu skompromitowanych standardów kryptograficznych, jak i grupę roboczą poświęconą w całości rozwojowi technologii przechwytywania. Wprowadzenie tego tekstu tak późno w procesie legislacyjnym i za zamkniętymi drzwiami jest również głęboko niepokojące dla demokratycznych norm w Europie. Chociaż sama umowa została publicznie ogłoszona pod koniec czerwca, w ogłoszeniu nie wspomniano nawet o certyfikatach stron internetowych, nie mówiąc już o tych nowych przepisach. Utrudniło to społeczeństwu obywatelskiemu, naukowcom i ogółowi społeczeństwa kontrolę, a nawet świadomość przepisów, które ich przedstawiciele podpisali na prywatnych spotkaniach.

Oburzenie w środowisku akademickim, społeczeństwie obywatelskim i przemyśle

Ponad 400 ekspertów ds. cyberbezpieczeństwa i badaczy z całego świata podpisało list otwarty wzywający UE do porzucenia tych planów i ochrony sieci:
   

Cytat:Po zapoznaniu się z prawie ostatecznym tekstem, jesteśmy głęboko zaniepokojeni proponowanym tekstem artykułu 45. Obecna propozycja radykalnie rozszerza zdolność rządów do inwigilowania zarówno własnych obywateli, jak i mieszkańców całej UE, zapewniając im środki techniczne do przechwytywania zaszyfrowanego ruchu internetowego, a także podważając istniejące mechanizmy nadzoru, na których polegają obywatele Europy. Prosimy o pilne ponowne rozważenie tego tekstu i wyjaśnienie, że art. 45 nie będzie ingerował w decyzje dotyczące zaufania do kluczy kryptograficznych i certyfikatów używanych do zabezpieczania ruchu internetowego.

List poparły również grupy społeczeństwa obywatelskiego, w tym Internet Society, European Digital Rights (EDRi), EFF, Epicenter.works i wiele innych. Ich apele zostały również powtórzone przez firmy, które pomagają budować i zabezpieczać Internet, w tym Linux Foundation, Mullvad, DNS0.EU i Mozilla, które wydały własne oświadczenie.

Co dalej?

Tekst ten podlega zatwierdzeniu na ostatnim zamkniętym spotkaniu trójstronnym w Brukseli w dniu 8 listopada, po czym zostanie opublikowany i przedstawiony do formalnej ratyfikacji w Parlamencie Europejskim. Oczekuje się, że nastąpi to w pierwszych miesiącach 2024 r., ale głosowanie to jest postrzegane jako formalność, ponieważ tekst negocjacji trójstronnych jest zwykle przyjmowany do prawa bez zmian.

Jeśli jesteś obywatelem Europy, możesz napisać do posłanki do Parlamentu Europejskiego odpowiedzialnej za plik eIDAS - Romany JERKOVIĆ - i zgłosić swoje obawy. Jeśli jesteś ekspertem ds. cyberbezpieczeństwa, badaczem lub reprezentujesz organizację pozarządową, rozważ podpisanie listu otwartego na stronie www.eidas-open-letter.org.

---

Amon
www.strefa44.pl
www.strefa44.com.pl