Vissza a sötét középkorba: elképesztő dolgot támogat az EU
Többéves jogalkotási folyamatot követően az EU-s eIDAS-rendelet majdnem végleges szövegéről az EU kulcsfontosságú szerveit képviselő háromoldalú tárgyaló felek megállapodtak, és még az év vége előtt a nyilvánosság és a parlament elé kerülhet jóváhagyásra. A közelmúltban zárt ajtók mögött tartott megbeszéléseken arról döntöttek az uniós politikusok, hogy előírják, hogy az Európában forgalmazott valamennyi webböngészőnek meg kell majd bíznia az uniós kormányok által kiválasztott tanúsító hatóságokban és kriptográfiai (titkosító) kulcsokban.
Ezek a változtatások radikálisan kiterjesztik az uniós kormányok lehetőségeit polgáraik megfigyelésére, mivel biztosítják, hogy a kormányok ellenőrzése alatt álló kriptográfiai kulcsok felhasználhatók legyenek a titkosított internetes forgalom lehallgatására az egész EU-ban. Bármely uniós tagállam kijelölheti a webböngészőkben terjesztendő kriptográfiai kulcsokat, és a böngészők nem vonhatják vissza a kormány engedélye nélkül ezeket a kulcsokat.
Ez lehetővé teszi bármely EU-tagállam kormánya számára, hogy olyan weboldali tanúsítványokat adjon ki lehallgatásra és megfigyelésre, amelyek minden uniós polgár ellen felhasználhatók, még azok ellen is, akik nem a kibocsátó tagállamban laknak, vagy nem állnak kapcsolatban a kibocsátó tagállammal. A szabad és védett internetes böngészésnek tehát ezennel vége lesz.
Az új szabály a továbbiakban megtiltja a böngészőknek, hogy biztonsági ellenőrzéseket alkalmazzanak ezekre az uniós kulcsokra és tanúsítványokra, kivéve azokat, amelyeket az EU informatikai szabványügyi testülete, az ETSI előzetesen jóváhagyott. Ez a merev struktúra bármely szervezet esetében problémás lenne, az ETSI-nek azonban igen aggasztó az előélete a kompromittáló kriptográfiai szabványok kidolgozásában, másrészt egy olyan munkacsoportja is van, amely teljes egészében lehallgatási technológia fejlesztésével foglalkozik.
A szövegnek a jogalkotási folyamat ilyen késői szakaszában és zárt ajtók mögött történő bevezetése az európai demokratikus normák szempontjából is rendkívül aggályos. Bár magát a megállapodást június végén nyilvánosan bejelentették, a bejelentés még csak nem is említette a weboldali tanúsítványokat, nemhogy ezeket az új rendelkezéseket. Ez rendkívül megnehezítette a civil társadalom, az akadémikusok és a közvélemény számára, hogy megvizsgálják, vagy akár csak tudomást szerezzenek azokról a törvényekről, amelyeket képviselőik zárt üléseken írtak alá.
Felháborodás a tudományos életben, a civil társadalomban és az iparban
A világ több mint 500 kiberbiztonsági szakértője és kutatója írt alá egy nyílt levelet, amelyben felszólították az EU-t, hogy hagyjon fel ezekkel a tervekkel, és védje meg a világhálót a kémkedéstől:
„A majdnem végleges szöveg elolvasása után mély aggodalmunkat fejezzük ki a 45. cikkely javasolt szövege miatt. A jelenlegi javaslat radikálisan kiterjeszti a kormányok azon lehetőségét, hogy saját állampolgáraikat és az EU lakosait is megfigyelhessék, mivel technikai eszközöket biztosít számukra a titkosított internetes forgalom lehallgatásához, valamint aláássa az európai polgárok által használt meglévő felügyeleti mechanizmusokat…”
Ezt a levelet civil társadalmi csoportok is támogatták, köztük az Internet Society, az Európai Digitális Jogok (EDRi), az EFF, az Epicenter.works és még sokan mások. Felhívásukhoz csatlakoztak az internet építésében és biztonságában közreműködő vállalatok is, köztük a Linux Foundation, a Mullvad, a DNS0.EU és a Mozilla, amelyek saját nyilatkozatot tettek közzé.
Hogyan tovább?
A szöveget a november 8-án Brüsszelben megrendezésre kerülő zártkörű háromoldalú egyeztetésen kell jóváhagyni, majd ezt követően közzéteszik, és hivatalos megerősítésre az Európai Parlament elé terjesztik. Erre várhatóan 2024 első hónapjaiban kerül sor, de ez a szavazás csak formalitásnak számít, mivel a háromoldalú tárgyalások szövegét általában változtatás nélkül foglalják törvénybe.