Nowa proponowana poprawka eiDAS daje UE mandat prawny do nadzorowania stron HTTPS
W 2018 r. Unia Europejska wprowadziła usługi identyfikacji elektronicznej, uwierzytelniania i zaufania (eiDAS) jako zestaw rozporządzeń, które ustanawiają podstawy zaufania i bezpieczeństwa w cyberprzestrzeni za pomocą podpisów elektronicznych, pieczęci, znaczników czasu, usług dostawy i uwierzytelniania witryn internetowych. Niektóre z rozporządzeń musiały zostać zmienione wraz z pojawieniem się pandemii, a zreformowany eiDAS może wkrótce zawierać artykuł 45, który zasadniczo pozwala rządom UE na inwigilację obywateli i mieszkańców UE za pomocą różnych środków przechwytywania zaszyfrowanego ruchu internetowego w protokole HTTPS. Ten konkretny artykuł został zmieniony bez zgody opinii publicznej, a ponad 300 naukowców i ekspertów technologicznych próbuje teraz zwrócić uwagę na tak poważne naruszenia praw człowieka, publikując list otwarty, który wzywa do przyjęcia ustalonych standardów internetowych.
Jak donosi ComputerWeekly, Steven Murdoch - profesor inżynierii bezpieczeństwa na University College London (UCL) jest wśród sygnatariuszy listu otwartego, którzy byli zaskoczeni znalezieniem wzmianek o inwigilacji przeglądarek internetowych w zreformowanym eiDAS. Jeśli art. 45 zostanie przyjęty w obecnej formie, rządy UE będą mogły dowolnie wstawiać nowe główne certyfikaty HTTPS pod pretekstem poprawy bezpieczeństwa użytkowników stron internetowych. Jednak te nowo dodane certyfikaty mogą być również wykorzystywane do przechwytywania ruchu internetowego w całej UE, zbierając poufne dane. Sygnatariusze wzywają Komisję Europejską do "pilnego ponownego rozważenia tego tekstu i wyjaśnienia, że art. 45 nie będzie ingerował w decyzje dotyczące zaufania do kluczy kryptograficznych i certyfikatów używanych do zabezpieczania ruchu internetowego".
Murdoch wskazuje, że art. 45 "może być interpretowany jako sposób na odebranie władzy dużym firmom technologicznym i przekazanie jej rządom", ale "jest to niewłaściwy mechanizm", ponieważ nadal jest szkodliwy dla wszystkich obywateli UE. Ponadto klauzule odnoszące się do europejskiego portfela tożsamości cyfrowej https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en w proponowanych artykułach 6a i 7a zasadniczo upoważniają rządy i dostawców usług technologicznych do monitorowania sposobu wykorzystywania cyfrowych danych uwierzytelniających na poziomie indywidualnym.
Proszę kupić SSL/TLS pod kluczem: A Guide to Understanding SSL/TLS Cryptography na Amazon