EU-wetgevers stemden afgelopen week over een tweede versie van de European Digital Identity Regulation. Daarin zit een idee verwerkt dat het internet volgens experten opnieuw minder veilig maakt. Wetgevers lijken weinig zin te hebben om met deze waarschuwingen aan de slag te gaan.
De wettekst staat wellicht meer bekend onder de naam eIDAS 2.0. Dit omvat regelgeving voor online identificatie, authenticatie en vertrouwensdiensten staat opgenomen. Een tweede versie van de tekst is volgens de EU belangrijk om de zaken up-to-date te houden.
Webbrowsers minder veilig
Volgens experten kan de vernieuwing het internet net op vlak van beveiliging naar ongeveer een decennium geleden sturen. Zij stellen namelijk veiligheidsproblemen vast bij het onderdeel dat handelt over certificaten voor website-authenticatie.
De wet beperkt namelijk de activiteiten van webbrowsers op twee gebieden. Dit zowel in het controleren van deze certificaten en het ondernemen van acties tegen schadelijke websites. De politiek probeert de macht hiermee uit handen te nemen van webbrowsers en wil de controle zelf nemen. Certificate Authorities (CA) die goedkeuring kregen van Europese overheden mogen nog worden vertrouwd. Daarnaast geldt voor alle veiligheidsregels van de European Telecommunications Standards Institute (ETSI) verplichte integratie. Eigen beveiligingsmechanismen toevoegen, is niet toegelaten.
Nu de politiek de controle overneemt, maken experten zich zorgen over de privacy van burgers. Mozilla, het bedrijf achter webbrowser Firefox, spreekt bijvoorbeeld al over de mogelijkheid voor lidstaten van de EU om websitecertificaten uit te geven waarmee ze zichzelf de mogelijkheid geven internetsessies te onderscheppen. “Er is geen onafhankelijke controle of evenwicht tussen de beslissingen die de lidstaten nemen met betrekking tot de sleutels die zij autoriseren en het gebruik dat zij ervan maken.”
De Electronic Frontier Foundation (EFF) herhaalde deze week grotendeels dezelfde standpunten: “Artikel 45 verbiedt browsers om moderne beveiligingsvereisten op te leggen aan bepaalde CA’s zonder de goedkeuring van een regering van een EU-lidstaat. Welke CA’s? Met name de CA’s die door de overheid zijn aangesteld en die in sommige gevallen eigendom zullen zijn van of beheerd zullen worden door diezelfde overheid. Dat betekent dat cryptografische sleutels onder controle van één overheid kunnen worden gebruikt om HTTPS-communicatie in de hele EU en daarbuiten te onderscheppen.”
Wetgevers zien niet altijd de gevolgen
Een andere voorgestelde EU-wet lag nog niet zo lang geleden ook al onder vuur omwille van mogelijke beveiligingsrisico’s. Het ging in het bijzonder over een wet die client-side scanning verplicht aan communicatieplatformen. Experten zien de wet voornamelijk als een privacyprobleem dat naargelang de uiteindelijke invulling van de wet ook beveiligingsproblemen kan opleveren.
Lees ook: Tweede Kamer krijgt uitleg over client-side scanning ter voorbereiding EU-wet
Beide wetten tonen aan dat wetgevers niet altijd de gevolgen zien die een voorgestelde wet met zich mee kan brengen. In de periode tussen de voorstelling van de wet, de stemming en de uiteindelijke uitwerking van de wet, komen ze daar doorgaans wel van op de hoogte. Mogelijks ligt in het geval van IT-wetgeving ook een deel ontwetendheid bij in de basis.
Soms een kwestie van onwillendheid
In het geval van de European Digital Identity Regulation blijkt het voornamelijk om onwillendheid te gaan. De wetgevers werden in een open brief van meer dan 500 experten namelijk gewaarschuwd voor de gevaren, maar deze brief werd simpelweg aan de kant geschoven. “Deze veranderingen vergroten de mogelijkheden van EU-regeringen om hun burgers in de gaten te houden radicaal door ervoor te zorgen dat cryptografische sleutels onder controle van de overheid kunnen worden gebruikt om gecodeerd webverkeer in de hele EU te onderscheppen”, weten de experten.
Ondanks de waarschuwingen gooiden de Europese Commissie, de Raad en het Parlement het afgelopen week op een akkoord. De stemming volgt begin 2024. Na het akkoord volgde nog een persconferentie waarin de Europese Commissie alle mogelijke gevaren waar experten voor waarschuwen, ontkent. De instantie geeft aan dat de kritiek werd besproken met eigen experten en daaruit zou gebleken zijn dat Mozilla, de EFF en alle experten van de open brief het mis hebben. De experten zouden vergeten dat EU-overheden alleen controle hebben tot de publieke sleutel in een certificaat en nooit tot de identiteit van een gebruiker.
Nieuwe truc?
De EU heeft er de laatste tijd vaker een handje van eigen ‘experts’ te spreken. Het is niet duidelijk welke experts dit in de praktijk zijn. Omtrent de wet over client-side scanning wijst de EU de vraag om de lijst te openbaren af. Opvallend is echter dat deze experts de standpunten van de EU altijd verdedigen en niet deze van alle andere experten die online te horen zijn.
Beide wetten liggen momenteel al zwaar onder vuur, maar blijven een spelletje van verborgen experten tegen openbare experten. Hoe lang de EU dit nieuwe trucje kan blijven volhouden, zal de tijd uitwijzen.