Dünya çapında 31 ülkeden 309 siber güvenlik uzmanı, araştırmacı ve bilim adamından oluşan bir grup, Avrupa Birliği’ni (AB) elektronik kimlik doğrulama, kimlik doğrulama ve güven hizmetleri (eIDAS) Düzenlemelerinde reform yapılmasına yönelik önerileri yeniden düşünmeye çağırdı ve şunları söyledi: “önerildiği gibi Mevcut haliyle bu mevzuat, vatandaşlar ve işletmeler için amaçlandığı gibi yeterli teknolojik koruma sağlanmasına yol açmayacak. Aslında bu durum büyük olasılıkla herkes için daha az güvenlikle sonuçlanacaktır”.
eIDAS düzenlemeleri ilk olarak beş yıldan biraz daha uzun bir süre önce Eylül 2018’de yürürlüğe girdi; elektronik kimlik doğrulama ve güven hizmetlerini düzenleyen, sendika çapında tek bir kurallar dizisi aracılığıyla AB vatandaşları için güveni, güvenliği ve rahatlığı teşvik etmek ve geliştirmek. imzalar, mühürler, zaman damgaları, teslimat hizmetleri ve web sitesi kimlik doğrulaması.
Bu hükümler arasında, herhangi bir şirketin veya özel şahsın, başka bir AB ülkesinde çalışırken veya yaşarken kendi ulusal e-kimliklerini (eID’ler) kullanma olasılığı da yer almaktadır; bu, bir AB üye devletinde kamu dijital hizmetleri sunan tüm kuruluşların bunu tanıması ve desteklemesi gerektiği anlamına gelir. diğerlerinin e-kimlikleri.
İmzacılar arasında yer alan University College London’da (UCL) güvenlik mühendisliği profesörü Steven Murdoch, eIDAS’ın ve öncüllerinin kapsamının büyük ölçüde dijital kimlik ve dijital imzaların yasal yönleriyle ilgili olduğunu ancak bu alanların Geçtiğimiz birkaç yılda büyük bir gelişme göstererek reform dürtüsünü tetikledi.
“Covid salgını büyük bir ilgiyi tetikledi çünkü daha önce kağıt ve kalemle yapılması gereken birçok şeyin internete taşınmasına olanak sağladı [and] bu iyi bir şeydi,” dedi Computer Weekly’ye. “eIDAS’ın yapmaya çalıştığı şey bunu daha sorunsuz, daha güvenli hale getirmek ve üye devletler ile üçüncü ülkeler arasında daha büyük bir tekdüzeliğe sahip olmaktır.”
Grubun değişikliklerle ilgili endişeleri büyük ölçüde reformdan geçirilen eIDAS’ın 45. Maddesi üzerinde yoğunlaşıyor; burada metin “hükümetlerin hem kendi vatandaşlarını hem de AB genelinde ikamet edenleri gözetleme yeteneğini, onlara şifreli web’e müdahale etmek için teknik araçlar sağlayarak kökten genişletiyor” diyor Avrupa vatandaşlarının güvendiği mevcut denetim mekanizmalarını baltalamanın yanı sıra trafiği de baltalıyor”.
Murdoch, “Bu madde sürpriz oldu çünkü kimlikleri yönetmekle ve yasal olarak bağlayıcı sözleşmelerle ilgili değildi, web tarayıcılarıyla ilgiliydi ve endişemizi tetikleyen de buydu” diye açıkladı. “Belki neden buraya ait olabileceğini anlayabilirsiniz ama ayrıntılara indiğinizde neden olmadığını da anlayabilirsiniz. Yeri yok; buna aktif olarak karşı çıkılmalıdır.”
Günümüzde tüm web sitelerinin kimlik doğrulaması, kullanıcıya web sitesi içeriğini doğrulamak için kullanılan şifreleme anahtarlarının web sitesine ait olduğunu garanti eden, sertifika yetkilileri tarafından kontrol edilen kök sertifikalarla doğrulanmaktadır. Sertifika sahibi, web sitesi farklı bir sertifika ile farklı bir sertifika yetkilisi kullanmayı seçmiş olsa bile, bu şifreleme anahtarlarını kendi kontrol ettiği anahtarlarla değiştirerek kullanıcının web trafiğini engelleyebilir. Bu mekanizmanın gerçekte kötüye kullanıldığı çok sayıda durum vardır ve sertifika yetkililerini yöneten mevzuat mevcuttur ve genel olarak iyi işlemiştir.
Teklif edilen 45. Madde artık AB üye ülkelerine istedikleri zaman yeni kök sertifikalar ekleme yeteneği veriyor; bu da, web sitesi kullanıcılarının, bir web sitesini kimin işlettiği hakkında gerçek bilgiler edinmeleri için yeni bir yol sunarak güvenliği artırdığı iddia ediliyor. Ancak grup, bunun pratikte tam tersi bir etki yaratacağına inanıyor.
Örneğin, bir üye devlet veya tanınmış bir üçüncü taraf devlet AB Güvenilir Listesi’ne yeni bir yetki eklerse, bu yetkinin yasal olarak tüm tarayıcılara eklenmesi ve güvenilir bir sertifika olarak AB’nin tamamına dağıtılması gerekecektir. Bu noktada hükümet, ana hatlarıyla belirtilen ikame tekniğini kullanması halinde, sadece kendi vatandaşlarının değil, AB’deki herkesin internet trafiğine müdahale etme ve mali bilgiler, tıbbi kayıtlar ve benzeri gizli verileri toplama becerisine sahip olacak. yakında.
Daha da kötüsü, eğer bir üye devlet sistemi bu şekilde kötüye kullanırsa, Madde 45, hileli sertifikanın o ülkenin yetkisi olmadan iptal edilmesine olanak tanıyan bir hüküm içermiyor ve vatandaşlar için bu konuda bir vazgeçme mekanizması bulunmuyor. Madde 45, grubu gözlemledi.
Grup, özünde, AB’nin web sitesi kimlik doğrulamasını ve dolayısıyla iletişim güvenliğini baltaladığını söyledi. Grup, “Bu metni acilen yeniden gözden geçirmenizi ve 45. Maddenin, web trafiğini güvence altına almak için kullanılan kriptografik anahtarlar ve sertifikalarla ilgili güven kararlarına müdahale etmeyeceğini açıkça belirtmenizi rica ediyoruz” dedi.
45. Madde ile ilgili sorunlar burada bitmiyor; çünkü aynı zamanda, şifreli bağlantılar kurulurken yönetmelik izin vermediği sürece AB web sertifikaları üzerindeki güvenlik kontrollerini de yasaklıyor. Asgari güvenlik önlemlerine ilişkin bir temel belirlemek yerine, bunlar üzerinde ETSI’nin açık izni olmadan iyileştirilemeyecek bir üst sınır belirler. Gruba göre bu, yeni güvenlik teknolojileri kullanıma sunulduğunda yerleşik tüm normlara aykırıdır ve AB’de internetin güvenliğini sağlamak için alınabilecek güvenlik önlemlerini etkili bir şekilde sınırlamaktadır.
Grup, “Hızla gelişen tehditlere yanıt olarak yeni güvenlik önlemlerinin geliştirilmesini sınırlamak yerine teşvik ederek bu maddeyi tersine çevirmenizi istiyoruz” dedi.
Murdoch, AB’nin önerilerinin, başta Google ve Microsoft olmak üzere büyük tarayıcı operatörlerinin kök sertifikalar üzerindeki gücünü kısıtlama arzusundan ortaya çıkmış olabileceğini söyledi.
“Bu madde, gücü büyük teknolojiden alıp hükümetlere devretmenin bir yolu olarak yorumlanabilir” dedi. “[However]bu bunun için yanlış mekanizma.
Kendisi, teknoloji devlerinin, genel olarak, kullanıcıların kök sertifikalar ve bunları verenler üzerinde nihai güce sahip oldukları konusunda haklı olarak endişe duyduklarını kabul ettiklerini ve bu nedenle geçmişte ihmalkar sertifika yetkililerine karşı kullanılmış olan şeffaf yönetişim süreçlerini kabul ettiklerini açıkladı. . Murdoch, bu süreçlerin ne kadar etkili olduğunun tartışılabilir olduğunu ancak suistimal ediliyor gibi görünmediğini söyledi.
“Onlar olsa bile [abusing the processes]eIDAS doğru araç olmayacaktır. Bu bir rekabet sorunudur, rekabet hukuku yoluyla çözülmesi gerekir” dedi.
Dijital Kimlik Cüzdanları güncel değil
Kolektifin öne sürdüğü üçüncü büyük itiraz ise Avrupa Dijital Kimlik Cüzdanı ile ilgili. Mevcut eIDAS metni, gizliliği korumak, toplanan verileri en aza indirmek ve profil oluşturmayı önlemek için bu işlevselliğe olan ihtiyacı ortaya koyuyor; ancak önerilen güncellemelerin 6a((7)(a) Maddesi, hükümetlerin ve teknoloji hizmetleri sağlayıcılarının birbirine bağlantı kurmasına ve tam bilgi edinmesine olanak tanıyor. kimlik bilgilerinin eIDAS aracılığıyla nasıl kullanıldığı hakkında.
Grup bunun gereksiz olduğunu ve eIDAS’ın geniş kullanım amacı göz önüne alındığında vatandaşların mahremiyetini tehlikeye atacağını savundu. Grup üyeleri, AB’yi, kullanıcının kimliğinin belirlenmesi zorunlu değilse etkileşimlerin bağlanamayacağına dair makaleyi “etkinleştirmek” yerine “yetkilendirerek” bu bilgilerin kullanıcının açık rızası olmadan elde edilmesini engellemeye çağırıyor. Teknoloji kuruluşlarının daha yumuşak yetki alanları için alışveriş yapmasını önlemek için bunu AB genelinde uyumlu hale getirin.
Grup, “Bu gerekli değişiklikler olmadan, eIDAS düzenlemesinin Google ve diğer büyük teknoloji aktörleri için bir hediye olma riski vardır” dedi. “Hassas kimlik bilgilerinin ele alınmasına ilişkin temel soruna yönelik Avrupa’nın çözümünün, vatandaşları güçlü teknik mekanizmalar yoluyla gözetim kapitalizmine karşı koruması ve yargı yetkisi alışverişi yoluyla düzenleyici sistemi istismar etme girişimlerine karşı dirençli olması gerekiyor.”
Brexit soruları
AB eIDAS’ın değiştirilmiş bir formu, Brexit’in ardından Birleşik Krallık yasalarına aktarılmıştır; ancak Birleşik Krallık düzenlemeleri, AB eIDAS nitelikli hizmetlerinin Birleşik Krallık’ta tanınmasına ve kullanılmasına izin verirken, karşılıklı bir anlaşma mevcut değildir ve Birleşik Krallık düzenlemeleri otomatik olarak tanınmamaktadır. ve Avrupa anakarasında kabul edildi.
Ancak Birleşik Krallık’ın giderek dijitalleşen, benzer şekilde hizmet odaklı bir ekonomisi olduğu göz önüne alındığında, Murdoch’un gözlemine göre “Birleşik Krallık’ın bunu benimsememesi sürpriz olurdu”.
Ek olarak, AB ile karşılaştırıldığında Birleşik Krallık, özel sektör kuruluşlarının politika geliştirmelerini veya özel ürün versiyonlarını dikkate alması için tek başına yeterince büyük bir pazar değildir. Bu nedenle, eğer bir şey AB yasalarına uygunsa ve Birleşik Krallık’ta fiilen yasaklanmıyorsa, muhtemelen burada da benimsenecektir; benzer bir durum, Apple’ın AB’nin zorunlu kıldığı iPhone’lar için USB-C şarj bağlantı noktalarına geçişinde de görüldü.