Hosszú évek után célegyenesben az eIDAS 2.0 (electronic IDentification, Authentication and trust Services). A közel végleges szövegváltozattal kapcsolatban azonban több szervezet is komoly kritikákat fogalmazott meg. A közelmúltban például több mint ötszáz biztonsági szakértő és tudós tett közzé egy nyílt levelet a tervezettel szemben (magyar részről a BME-n működő CrySyS Lab adjunktusa, Pejó Balázs csatlakozott az aláírókhoz).

Ahogy azt pár napja a Mozilla felhívása összefoglalta: a szabályozás módosításai szinte szabad kezet adnak az uniós tagállamok kormányai kezébe, hogy megfigyeljék polgáraik internetes tevékenységét. A tervezet értelmében ugyanis bármely uniós tagállam kijelölheti a webböngészőkben terjesztendő kriptográfiai kulcsokat, és azokat a böngészők nem minősíthetik megbízhatatlannak a kormány engedélye nélkül, még akkor sem, ha nyilvánvaló, hogy azok nem megbízhatóak.

Ráadásul ezeken a kulcsokon keresztül egy tagállam nemcsak saját polgárai, hanem bármely uniós állampolgár webes forgalmát lehallgathatja. "Ez különösen aggasztó annak fényében, hogy a jogállamiság betartása nem minden tagállamban egységes" – olvasható a Mozilla felhívásában.

Az új eIDAS értelmében egy böngésző csak azokat az uniós kulcsokat és tanúsítványokat ellenőrizhetné, melyeket az uniós informatikai szabványügyi testület, az Európai Távközlési Szabványosítási Intézet (ETSI) előzetesen jóváhagyott. A független szervezetek azonban az ETSI-t nem tartják hitelesnek (mert például van olyan munkacsoportja is, amely a lehallgatási technológia fejlesztésével foglalkozik).

Hogyan nézne ki ez a gyakorlatban?

Egy weboldal akkor minősül biztonságosnak, ha van egy hitelesítésszolgáltató által kiállított és digitálisan aláírt tanúsítványa, amely igazolja, hogy a weboldal címe megegyezik a hitelesített címmel. Amikor egy böngésző meglátogatja ezt a webhelyet, a webhely megmutatja a tanúsítvány nyilvános részét a böngészőnek, a böngésző pedig ellenőrzi, hogy azt olyan hitelesítésszolgáltató állította-e ki a root tanúsítványa alapján, amelyben megbízik.

Ha a tanúsítványt egy ismert, megbízhatónak minősített hitelesítésszolgáltató állította ki, és minden adat helyes, akkor a webhely is megbízható, és a böngésző megpróbál titkosított kapcsolatot létrehozni a honlappal, hogy a kommunikáció ne legyen lehallgatható. Ha viszont nem megbízható a hitelesítésszolgáltató, vagy a tanúsítvány nem egyezik a webhely címével, vagy esetleg néhány adat hibás, a böngésző elutasítja a kapcsolatfelvételt, mert azt feltételezi, hogy nem a felhasználó által kívánt webhelyhez kapcsolódik, hanem például egy azt megszemélyesítő hamis oldalhoz.

Ám ha az eIDAS 2.0 a jelen formájában lép életbe, akkor kicsit változik ez a folyamat. Ha egy webhely olyan EU-ban működő hitelesítésszolgáltatótól kap tanúsítványt, amely élvezi valamely tagállam kormányának támogatását, akkor a kormány kérheti a szolgáltatótól a tanúsítvány másolatát. Annak birtokában pedig már maga a kormány hozhat létre hamis (megszemélyesített) webhelyet, hogy lehallgassa a weboldal és a felhasználó közötti titkosított HTTPS-forgalmat. A böngésző pedig nem minősítheti megbízhatatlannak a hitelesítésszolgáltatót, illetve a tanúsítványát, mert az kormányzati jóváhagyással rendelkezik.

Korábbi biztonsági szabályokat is felülír

Mint az Electronic Frontier Foundation (EFF) írja, a tervezet 45. cikkének a jelenlegi szövege egyenesen megköveteli, hogy a böngészők megbízzanak a kormányok által kijelölt hitelesítőkben, és megtiltja, hogy a böngészők bármi olyan biztonsági követelményt kikényszerítsenek, amit az ETSI nem hagyott jóvá. Magyarán: felülről korlátozná, hogy egy böngésző milyen biztonsági szintet garantálhasson. Ez még a piaci versenyt is gyengíti, véli az EFF, hiszen a böngészők nem versenyezhetnek abban, hogy milyen mértékben képesek garantálni felhasználóik adatainak biztonságát.

Sőt: a böngészők így nem tudnák betartani az IETF (Internet Engineering Task Force) egy fontos műszaki szabványát, a Certificate Transparencyt sem, amely biztosítja, hogy a hitelesítésszolgáltatók kibocsátási előzményeit a nyilvánosság megvizsgálhassa a visszaélések észlelése érdekében. Emiatt szintén nő annak a valószínűsége, hogy a kormányzati kémkedés észrevétlen marad.