Virkeligt?! Tror du EU's eIDAS er en god ide?

2023-11-03

Vil EU have mulighed for at lytte i vores krypterede webtrafik? Måske, måske ikke, men det får de i hvertfald mulighed for at gøre, hvis eIDAS bliver en realitet. Nu er du advaret. eIDAS kommer tættere og tættere på, dag for dag ...

Meget tyder på, at EU forsøger at snige et lovforslag igennem, som skal til høring i næste uge, mere præcist d. 9. November i Bruxelles.

Grundlæggende omskriver forslaget den arkitektur der findes i dag på internettet og piller ved grundlæggende principper for krypteret kommunikation. Forslaget kaldes eIDAS ("Electronic IDentification And trust Services") og har været undervejs i flere år. En version 2 er lige på trapperne.

Men hvad betyder det? Hvad er det man vil opnå med eIDAS og kan det give bagslag?

For at forstå omfanget kan man skære følgende hovedpunkter ud, som måske vil give stof til eftertanke:

1) EU ønsker at opbygge sit eget HTTPS/TLS/SSL certifikat hieraki
2) EU ønsker egen DNS service
3) EU ønsker at introducere Digitale ID kort


Forslaget til dette tredjeparts identifikationssystem kan være en farlig glidebane, og hvis man skulle være i tvivl, så kan jeg henvise til Sektion 45 af EU's eIDAS forslag der grundlæggende skal give mulighed for større kontrol, men også mulighed for at overvåge og læse beskyttet trafik fra brugere i EU's medlemslande. Det sker ved at gennemtvinge, at webbrowsere skal godkende en ny certifikat standard med det formål at autentificere domæner og websider.

Grundlæggende, og berettiget går bekymringen på, at man med dette forslag underminerer noget der fungerer og som beskytter privatliv og integritet på nettet.

Rodcertifikater, kontrolleret af såkaldte certifikat CA's (Certificate Authorities), understøtter og supporterer en mekanisme der overfor brugeren sikrer, at de kryptografiske nøgler, der bruges til at autentificere webstedets indhold, også tilhører det pågældende websted.

En rodcertifikat udsteder (CA) kan opsnappe brugernes webtrafik ved at erstatte hjemmesidens kryptografiske nøgler med substitutter, også selvom websiden har valgt at bruge en anden certifikatmyndighed med et andet rodcertifikat. For at undgå det, så findes der allerede lovgivning, der regulerer certifikatmyndigheder, suppleret med offentlige processer og løbende kontroller fra it-sikkerhedssamfundet.

Der er ikke lang tid til at protestere og indgive sin bekymring mod dette idet forslaget allerede tages til behandling i næste uge. En endelig aftale kan, såfremt der opnås enighed, være klar til godkendelse allerede i starten af 2024.

Jeg har herunder samlet relevant information:

Last Chance to fix eIDAS: Secret EU law threatens Internet security
https://last-chance-for-eidas.org/

eIADS openletter

https://eidas-open-letter.org/

Industry Joint Statement on Article 45 in the EU's eIDAS Regulation
https://blog.mozilla.org/netpolicy/files/2023/11/eIDAS-Industry-Letter.pdf

EU urged to drop new law that could allow member states to intercept and decrypt global web traffic
https://therecord.media/eu-urged-to-drop-law-website-authentication-certificates

What is the eIDAS Regulation?
https://ico.org.uk/for-organisations/guide-to-eidas/what-is-the-eidas-regulation/

Vedran L. på LinkedIn:
https://www.linkedin.com/posts/vedranlalic_eidas-digitalidentity-digitaleurope-activity-7118219583915741186-QICk/