Avrupa Birliği’nin elektronik kimlik belirleme ve güven hizmetlerinde (daha çok eIDAS 2.0 olarak bilinen bir yasa paketi) reform yapma girişimi, çevrimiçi gizlilik ve güvenliğe ciddi bir tehdit oluşturan yasalar içeriyor. Tasarının taslak metninin derinliklerine gömülen bir makale, web tarayıcılarını AB hükümetleri tarafından onaylanmış sertifika yetkililerine (CA’lar) tamamen güvenmeye zorlayacak.
Şu anda tarayıcılar, CA’ların orijinalliğini ve güvenilirliğini bağımsız olarak test edebiliyor ve testlerden geçemeyenlere güvenmemeyi seçebiliyor; ancak bu yasa, CA’ların bunu yapma yeteneklerini ortadan kaldıracak ve bu da, CA’ları tehdit eden bir tür çevrimiçi gözetlemenin kapısını açacak. Avrupa’daki her vatandaşın hakları.
Müzakereciler bu ayın başlarında tasarıda yapılması önerilen değişikliklerin neredeyse nihai metni üzerinde anlaşmaya vardı. Bu yasa paketi önümüzdeki haftalarda AB Konseyi ve Parlamentosu tarafından resmi olarak oylanacak (ve neredeyse kesinlikle onaylanacak).
Ancak tasarı internet güvenliği uzmanlarının, gizlilik savunucularının ve çevrimiçi özgürlük savunucularının tepkisine yol açtı. Temel olarak, özgür ve güvenli bir internete inanan herkes eIDAS’a karşı çıkıyor.
Tasarının istenmeyen sonuçları o kadar büyük ki Mozilla yakın zamanda eIDAS’ın interneti daha az güvenli hale getireceğinden endişe duyan bir dizi internet şirketinin ortak imzaladığı açık bir mektubu paylaştı. Bu ayın başlarında yüzlerce siber güvenlik uzmanı, eIDAS’ın interneti temel teknolojik güvencelerden mahrum bırakacağını savunarak yeni yasaların yeniden düşünülmesi çağrısında bulundu. eIDAS’ın “herkes için daha az güvenlik” ile sonuçlanacağını söylüyorlar.
eIDAS 2.0 ile tanışın
Görünüşte eIDAS 2.0, 2018’de yürürlüğe giren mevcut AB düzenlemelerini modernleştirme girişimidir.
Belirtilen amaç, AB vatandaşlarının tüm çevrimiçi ilişkilerinde güveni, güvenliği ve rahatlığı artırmaktır; Tasarıyı destekleyenlere göre bu, çevrimiçi kimlik ve güven hizmetlerini düzenleyen yeni yasalar aracılığıyla sağlanacak.
eIDAS düzenlemesi aynı zamanda bireylerin dijital olarak tanımlanmasına yönelik tamamen uyumlu bir çerçeve oluşturacaktır. AB bunu, e-imzalardan zaman damgalarına ve web sitesi kimlik doğrulamasına kadar her şeyi kapsayan kapsamlı bir yasa tasarısı ile yapmayı planlıyor. Ve en büyük sorunların yattığı yer burasıdır.
QWAC nedir?
eIDAS’ın en tartışmalı kısımları, Mozilla ve Co.’nun açık mektubunda itiraz ettiği 45 ve 45a maddeleridir. Bu makaleler, web tarayıcılarının, web sitelerinin kimlik doğrulama sertifikaları için başvuruda bulunabileceği iki yeni prosedürü tanımasını zorunlu kılmaktadır; bu prosedürler, yasa tasarısında nitelikli web sitesi kimlik doğrulama sertifikaları (QWAC’ler) olarak anılmaktadır.
Kimlik doğrulama sertifikaları, web sitelerinin ve siber uzaydaki diğer nesnelerin kimliğini kanıtlamak için kullanılır. Mevcut sertifikasyon sistemi kapsamında tarayıcılar, sertifika verenlerin (yani sertifika yetkililerinin) güvenliğini ve güvenilirliğini izlemek için kendi “kök depo programlarını” çalıştırır. Güvenilir yetkililerden gelen sertifikaları ve anahtarları tanıma ve güvenemedikleri sağlayıcılardan gelen sertifikaları tanımayı reddetme sorumluluğu tarayıcıya aittir.
eIDAS karşıtları haklı olarak bunun işleyen ve yıllardır işleyen bir sistem olduğuna işaret ediyor. Ancak 45 ve 45a maddeleri, mevcut sertifika yetkililerini AB güven listesine eklenmeden ve dolayısıyla QWAC düzenlemelerine izin verilmeden önce bir uygunluk değerlendirme kuruluşu tarafından yıllık değerlendirmeye tabi tutmaya zorlayacaktır.
Bu makaleler uyarınca, tarayıcıların ve istemci satıcılarının (yani kök depo operatörleri), AB hükümeti onaylı kök sertifika yetkililerini kendi kök depolarına ekleme (ve dolayısıyla onlara güvenme) yönünde yasal bir zorunluluğu olacaktır. Web tarayıcıları, bu güvenin garanti edilip edilmediğini test etmek için olağan güvenlik ve onay mekanizmalarını uygulayamayacaktır.
İnterneti daha az güvenli hale getirmek
Teorik olarak zararsız gibi görünse de, 45. Maddenin teknik gereklilikleri uygulamada bir dizi sorun yaratacaktır.
Yeni yasalara göre tarayıcılar, AB’nin BT standartları kurumu olan Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından belirlenen mevcut, önceden onaylanmış kontrollerin ötesinde, devlet onaylı sertifika yetkilileri üzerinde kendi güvenlik kontrollerini uygulayamayacak. Bu, web tarayıcılarının geçmişte etkili olan kimlik doğrulama politikalarını uygulama yeteneğini zayıflatır ve esasen web tarayıcılarının internetin güvenliğini ne kadar özenle sağlayabileceği konusunda bir üst sınır belirler.
Web tarayıcıları, AB onaylı bir otoriteden alınan sertifikaların kötüye kullanıldığına dair endişe duymaya başlarsa (örneğin, bir devlet aktörünün “ortadaki adam saldırısı” şeklinde müdahale etmesi durumunda), karşı önlem alma konusunda yetersiz kalacaklardır ve söz konusu QWAC’lere güvenmeyin. eIDAS kapsamında tarayıcılar, sertifika yetkililerini daha az sorumlu tutabilecek ve birçok vatandaşın interneti güvende tutmak için güvendiği hayati bir kontrolü ortadan kaldıracak.
Saati geri almak
45. maddenin sonuçları dehşet verici. Mozilla ayrı bir açıklamada, herhangi bir AB hükümetinin “her AB vatandaşına, hatta bu ülkede ikamet etmeyen veya bu devletle bağlantısı olmayanlara karşı kullanılabilecek dinleme ve gözetleme amaçlı web sitesi sertifikaları yayınlayabileceği” konusunda uyardı.
Firma şunu ekliyor: “Üye devletlerin yetkilendirdikleri anahtarlar ve bunların kullanımına ilişkin aldıkları kararlarda bağımsız bir kontrol veya denge yoktur.”
Bir üye devlet tarafından onaylanan sertifika yetkilileri tüm AB genelinde tanınacağından, bir AB üye devletinin yapacağı bir hata (veya kasıtlı mükerrer eylem), bloktaki internet kullanıcılarını etkileyecektir. Bir ülkedeki tek bir yanlış adım, interneti hangi bölgeden kullanıyor olursa olsun, kıtadaki her internet kullanıcısının güvenliğini ve mahremiyetini tehlikeye atabilir.
Pek çok açıdan, 45. Maddeye yönelik öfke, sertifika yetkililerinin şifrelenmiş web trafiğini gözetlemek için hükümetlerle işbirliği yapabileceği bir zamana dayanıyor. 2011’den bu yana sıkılaştırılan gizlilik ve güvenlik yasaları bunun olmasını engelledi ve kampanyacılar bu uygulamanın çoktan sona erdiğini umuyorlardı.
Ancak eIDAS mevzuatı, gizlilik savunucularının ve vatandaşların 2011’den bu yana uğruna mücadele ettiği tüm kazanımları silerek internet güvenliğini on yıldan fazla bir süre geri alma tehdidinde bulunuyor.
Gizlilik için bir kabus
Muhalifler, 45. Maddenin esasen AB üye ülkelerine şifreli web trafiğini engellemek için teknik araçlar sağladığını öne sürerek eIDAS’ın hükümet gözetimine kapıyı açacağından korkuyor. Tasarıya karşı çıkan 500 uzmanın sözleriyle, bu aynı zamanda “Avrupa vatandaşlarının güvendiği mevcut denetim mekanizmalarını da baltalıyor”.
Kök sertifikalar, web tarayıcılarına, bir web sitesinin içeriğini doğrulamak için kullanılan şifreleme anahtarlarının, ait olduklarını söyledikleri kişiye ait olduğunu garanti eder. Sertifika sahipleri, kriptografik anahtarları kendi anahtarlarıyla değiştirerek internet kullanıcılarının web trafiğini engelleyebilir.
Önerilen 45. Madde uyarınca, dostane bir devlet destekli sertifika otoritesinin yardımıyla, AB üye ülkeleri teorik olarak istedikleri zaman yeni kök sertifikaları ekleyebilecektir. Söz konusu AB devleti daha sonra diğer AB vatandaşlarından gelen web trafiğine müdahale edebilecek ve bu süreçte potansiyel olarak gizli ve özel bilgileri toplayabilecek.
Bu tür bir suiistimal durumunda bile 45. Madde, sahte sertifika yetkililerini, düzenleyen ülkenin onayı olmadan iptal edecek bir hüküm içermemektedir. Bu prosedürün etkilerinden endişe duyan AB vatandaşları için de kapsam dışında kalma seçeneği mevcut değildir. Daha da kötüsü Mozilla, eIDAS’a 45. Madde hükümlerinin “kapalı toplantılarda” son dakikada eklendiğini söylüyor.
Elimizde, bildiğimiz şekliyle interneti değiştirecek geniş kapsamlı bir yasa tasarısı var ve AB, metni neredeyse hiç incelemeden ve çevrimiçi endüstrideki en bilgili paydaşların tüm tavsiyelerine aykırı olarak hazırladı.
eIDAS, web sitesinin bağımsızlığını ve güvenliğini zayıflatmakla ve interneti daha az güvenli, daha az özel bir yer haline getirmekle tehdit ediyor.