Odottamaton uhka yksityisyydelle ja vapaudelle internetissä

eIDAS (electronic IDentification, Authentication and trust Services) on Euroopan unionin asetus sähköisistä tunnistamis- ja luottamispalveluista. Valitettavasti poliitikot ja byrokraatit ovat kuin suljettujen ovien takana sopineet, että kyseinen asetuksen ansiosta jokainen EU-maa voi sijoittaa selaimiin kansalliset kryptoavaimet, eivätkä selainvalmistajat saa mitätöidä luottamusta näihin avaimiin ilman hallituksen lupaa.

eIDAS-nimi ja -logo löytyy useiden startup-yritysten pitch-deckeistä ja mielipidevaikuttajien esityksistä, jotka kertovat e-yritusten menestystarinoista, sillä se tukee nykyaikaisten digitaalisten todennuspalveluidemme kehitystä.

eIDAS on yllättäen muuttunut kirosanaksi ja nettikäyttäjiä uhkaavaksi möröksi, joka aivan kuin kulkee totalitaaristen diktatuurien tallaamia polkuja. (Parallels between eIDAS and actions from the Russian government?)

Mitä tapahtui?

Muutama viikko sitten Euroopan komission, Euroopan unionin neuvoston ja Euroopan parlamentin virkailijat taputtivat toisiaan olalle, sillä he olivat juuri sopineet eIDAS 2.0 -version sanamuodosta.

Kului vain muutama päivä, kun sen teksti vuoti ja pakotti yksityisyyden ja kyberturvallisuuden parissa työskentelevät tutkijat ja asiantuntijat lyömään ensin päät yhteen ja tarttumaan sen jälkeen kyniin yhteisen julkisen kirjeen laatimiseksi: Last Chance to fix eIDAS: Secret EU law threatens Internet security.

Poliitikot ja byrokraatit ovat nimittäin kuin suljettujen ovien takana sopineet, että jokainen EU-maa saa tulevaisuudessa oikeuden sijoittaa verkkoselaimiin “kansallisen sertifiointikeskuksen” kryptograafiset avaimet, eivätkä selainvalmistajat saa mitätöidä luottamusta näihin avaimiin ilman hallituksen lupaa.

Selaimilta viedään myös oikeus soveltaa näitä avaimia koskevia lisäturvatarkastuksia, paitsi jos Euroopan unionin IT-standardijärjestö ETSI on hyväksynyt ne ensin.

Käytännössä Euroopan unioni antaa näin jokaiselle maalle yleisavaimen, joka tekee salaa kaikista verkkoselainten osoiterivillä olevista digitaalisista lukoista hyödyttömiä.

Kyseisten avainten ansiosta Euroopan maiden valvovat toimielimet voivat nimittäin teknisesti salakuunnella muuten salattua verkkoliikennettä – mukaan lukien sähköpostia, jota suuri osa ihmisistä lukee myös nykyään selaimen kautta.

Kiusaus hyödyntää tätä mahdollisuutta tulee todennäköisesti olemaan hyvin suuri, erityisesti autoritaarisuutta kohti liukuvissa maissa, jollaisia Euroopan unionista löytyy nykyään yhä enemmän.

Kuvitellaanpa hetkeksi, ettei yksityisyys ole suojeltava perusoikeus, eikä yhdessäkään EU-maassa ole vallassa eikä tule valtaan autokraatteja, jotka haluaisivat hallita maataan rautanyrkein ja tarkkailla salaa opponenttejaan.

Ilmaan jää silti mieletön turvallisuusriski, joka realisoituu sillä hetkellä, kun tällainen yleisavain pääsee jonkun sellaisen maan hallintaan, joka pystyy sitä hyödyntämällä pääsemään käsiksi Euroopan unionin tai NATON turvallisuutta suojaaviin salaisuuksiin.

Vaikuttaa siltä, että elokuvalainaus ”Joko kuolet sankarina tai elät riittävän pitkään tullaksesi pahikseksi…” koskee myös lakeja.