Bak lukkede dører har EU gjennomført såkalte trilogforhandlinger om et nytt verktøy som kan invadere nettleseren din. Den digitale lommeboka skal være gyldig i hele EU/EØS.
Forhandlingene mellom EU-kommisjonen, rådet og parlamentet har pågått siden i sommer. De nye reglene gir myndighetene mulighet til å hente inn kryptert kommunikasjon gjennom nettleseren din. En hvilken som helst EU-stat kan utstede kryptografiske nøkler som alle nettlesere tvinges til å akseptere såfremt de ikke har fått myndighetenes godkjenning til å avvise dem.
Kryptering og trojanere
Nettlesere som Chrome, Firefox, Safari osv. er verktøy vi alle bruker for å samhandle på internett. De har alle egne, innebygde sikkerhetsnøkler og strenge krav til eksterne sikkerhetssertifikater. Når du ser en hengelås og bokstavkombinasjonen «https» foran nettadressen, betyr det at kommunikasjonen med dette nettstedet er kryptert med et sikkerhetssertifikat.
Operativsystemer og nettlesere beskytter sine såkalte rotsertifikater. Fremmede eller usikre sertifikater blir automatisk avvist.
Forslaget til endringer i EUs rammeverk for digital identitet (eIDAS) betyr imidlertid at sertifikater godkjent av nasjonale myndigheter må installeres i rotsystemet, uten noe krav om at disse innfrir sikkerhetskravene eller standardene som er bygd inn i operativsystem eller nettleser. Slike sertifikater kan dermed opptre som trojanske hester, enten fordi de inneholder dårlig eller mangelfull kode, eller fordi de faktisk er ment å fungere som spionvare.
– Det nye lovforslaget hindrer nettleserleverandørene i å undersøke og fjerne falske og upålitelige sertifikater hvis de kommer fra myndighetene. Det er det som skremmer meg mest med lovforslaget, sier Diego Aranha, førsteamanuensis ved Aarhus Universitet og spesialist i kryptografi, ifølge digi.no
Statlige organer får med dette mulighet til å installere et sertifikat som saumfarer innbyggernes aktivitet på nett. Myndighetene i Kazakhstan prøvde seg på det samme i 2019 for å møte angivelige sikkerhetstrusler. Nettlesere som de forannevnte kunne da blokkere dette sertifikatet, ettersom de har uavhengige rotmapper med streng sikkerhetskontroll. Med forslaget til nye regler, ville den oppgaven blitt vanskelig, påpeker Electronic Frontier Foundation.
Nettsamfunnet slår alarm
Selskapet og stiftelsen Mozilla, som bl.a. står bak nettleseren Firefox, gikk 2. november 2023 til det uvanlige skritt å slå på alarmklokkene. Forslaget om å endre teksten i forordningen «utvider radikalt muligheten for EU-regjeringer til å overvåke sine borgere ved å sikre at kryptografiske nøkler under regjeringskontroll kan brukes til å fange opp kryptert nettrafikk over hele EU», skriver Mozilla. De legger til at «innføring av denne teksten så sent i lovgivningsprosessen og bak lukkede dører er også dypt bekymringsfullt for demokratiske normer i Europa».
«Kryptografiske nøkler under regjeringskontroll kan brukes til å fange opp kryptert nettrafikk over hele EU»
Den foreslåtte endringsteksten i eIDAS-forordningens artikkel 45 forbyr nettlesere å bruke sikkerhetskontroll på disse EU-nøklene og sertifikatene, bortsett fra de som er forhåndsgodkjent av EUs eget IT-standardiseringsorgan – ETSI.
Flere enn 400 forskere og eksperter på cybersikkerhet fra hele verden har undertegnet et åpent brev med oppfordring til EU om å forkaste planene og verne om det åpne nettet. Det later til å ha hatt begrenset effekt.
Kosmetiske justeringer
De avsluttende forhandlingene mellom de tre EU-institusjonene fant sted den 8. november. Den vesentligste justeringa av teksten er at EU-parlamentet ser ut til å ha fått gjennomslag for at installasjon av den digitale «lommeboka» skal skje på frivillig basis.
Det kan høres betryggende ut. Et åpent spørsmål er hvilken praktisk verdi dette har, så lenge denne typen ID-identifisering kan bli en nødvendighet for enhver som vil bruke digitale tjenester som krever verifiserte personopplysninger på tvers av EØS-området. Uten lommeboka eller telefonen blir hverdagen som kjent vanskelig. Det obligatoriske kravet om at nettlesere og operativsystemer ikke kan avvise eller stille spørsmål ved EU-sertifikatets opprinnelse, integritet eller datainnhold, er opprettholdt.
Etter dette gjenstår den formelle godkjenningsprosessen i EU-parlamentet. Det vil trolig skje allerede tidlig i 2024.
Den opprinnelige eIDAS-forordningen fra 2014 er allerede innbakt i EØS-avtalen. Endringsbestemmelsene er til vurdering i EFTA-statene. I sitt EØS-notat av 17. mars 2022 stiller regjeringa seg positiv til innføring av ei såkalt digital lommebok, med et forbehold om at de administrative og økonomiske kostnadene «kan bli betydelige» og at forslaget krever lovendringer.
Forfatteren er politisk rådgiver i Nei til EU.
- Les mer om emnet: Masseovervåking setter demokratiet i fare