EU:n lakiesitys mahdollistaisi EU-maille kansalaisten selainten salakuuntelun

Jälleen yksi Euroopan Unionin uusi muutosehdotus on joutunut tietoturva-asiantuntijoiden hampaisiin.

Taustalla on jo viiden vuoden ajan käytännössä ollut eIDAS-asetus ja siihen ehdotetut uudet muutokset.

eIDAS itsessään on varsin onnistuneeksi todettu asetus, joka käytännössä tarkoittaa sitä, että suomalainen voi käyttää Suomen valtion hyväksymiä digitaalisen henkilöllisyyden vahventamisen keinoja kirjautuessaan vaikkapa Italian viranomaisten palveluihin.

Eli mikäli viranomainen on ottanut eIDAS-säännöt käyttöönsä, voi suomalaisilla verkkopankkitunnuksilla hoitaa kaiken viranomaisasioinnin missä tahansa EU-maassa.

eIDASin käytön yleistyttyä on siitä kuitenkin löydetty puutteita, joita halutaan samalla korjata uudistetussa asetuksessa. Uudistusehdotus on muutoin ilmeisesti kaikkien mielestä varsin hyvin suunniteltu, mutta yksi sen pykälä närästää tietoturva-alaa pahasti.

Yli 300 tietoturva-alan ammattilaista, tutkijaa ja tiedemiestä allekirjoitti avoimen kirjeen, jossa vaaditaan muuttamaan eIDASiin ehdotetuista muutoksista kohtaa 45. Suomesta vetoomuksen on allekirjoittanut yhdeksän ihmistä, joista valtaosa työskentelee tutkijoina yliopistoissa. Kotimaisista organisaatioista allekirjoittajien joukossa on EFFi (EFFin oma tiedote asiasta).

Mikä muutosesityksessä on vialla?

Lakiesitykseen on piilotettu mukaan kohta, jonka perusteella kaikkien selainten olisi pakko luottaa minkä tahansa EU-maan hallituksen valitsemaan sertifikaattiin.

Sertifikaattien laillisuutta tai turvallisuutta ei saisi kyseenalaistaa, vaan kaikkien selainten olisi pakko hyväksyä EU-maiden valitsemat sertifikaatit ilman kysymyksiä. Niistä ei saisi myöskään varoittaa selaimen käyttäjää.

Kyseiset ns. root certificatet eli juurisertifikaatit tai juurivarmenteet ovat salausteknisiä luotettavuuden mittareita, joiden avulla selainten verkkoliikenne salataan. Koko toiminnan pohja perustuu siihen, että juurivarmenteisiin voidaan luottaa.

Koska selainten varmennekäsittely mahdollistaa juurisertifikaatin vaihtamisen toiseen luotettuun juurisertifikaattiin, antaisi ehdotus asiantuntijoiden mukaan EU-maiden hallituksille mahdollisuuden salakuunnella kaikkea selainten kautta tapahtuvaa tiedonvälitystä.

Lisäksi kysymys ei ole edes siitä, että salakuuntelun täytyisi tapahtua EU-maiden yhteisellä päätöksellä, vaan yksittäinen EU-maa voisi halutessaan päättää näin - ja olla kertomatta siitä mitään, kenellekään. Koska minkä tahansa EU-maan valitsema varmenne pitäisi ehdotuksen mukaan hyväksyä suoraan osaksi jokaista selainta, ilman minkäänlaisia tarkistuksia.

Käytäntöjä ei myöskään valvoisi mikään toimielin, vaan mekanismin kaikki valta ja vastuu olisi yksittäisten EU-maiden käsissä. Kun tiedetään, että osa EU-maista on nytkin suurennuslasin alla oikeusvaltioperiaatteiden rikkomisen vuoksi, ei idea välttämättä ole kovinkaan hyvältä kuulostava.

Painotettakoon vielä, että maasta riippumatta, kaikkien EU-selainten pitäisi kunnioittaa kaikkien EU-maiden valitsemia varmenteita. Eli jos vaikkapa Unkari päättää hyväksikäyttää luottamusta, Unkarin valtio saa vapaan pääsyn myös suomalaisten verkkoliikenteeseen. Ilman että edes Suomen valtio saa tietoa asiasta.

Selainvalmistajat kuten Mozilla, Google, Opera, Brave ja Microsoft eivät saisi minkäänlaista sananvaltaa asiaan ja pykälä kieltää niitä edes vihjaamasta käyttäjille päin, että jotain epäilyttävää tapahtuu. Mikäli selainvalmistajat eivät noudata sääntöjä, niiden selaimista tulee laittomia Euroopassa.

Asiasta ollaan päättämässä EU:ssa ilmeisesti jo 6.11. alkavalla viikolla, joten aikaa reagointiin on äärimmäisen vähän.

Ohjeita kansalaisaktivismille löytyy tämän sivuston takaa. Tärkeimpänä kenties se, että ottaa yhteyttä oikeisiin Euroopan Parlamentin jäseniin, joilla vielä asiaan vaikutusvaltaa voi olla.

EU on hieman vastaavanlaisessa itse aiheutetussa liemessä myös ns. Chat Control / CSAM -lakinsa kanssa, joka uhkaa pahimmillaan kieltää vahvan salauksen kokonaan.

• yksityisyys
• eIDAS
• Euroopan Unioni