l'allarme

eIDAS 2.0, la lettera di oltre 500 esperti di sicurezza informatica: “Una minaccia alla sicurezza del web”

di |

Gli scienziati criticano la proposta della Commissione UE di rendere obbligatorio ai browser il certificato qualificato di autenticazione di un sito web (QWAC): "Espande radicalmente la capacità dei governi dell'UE di sorvegliare i loro cittadini assicurando che le chiavi crittografiche sotto il controllo del governo possano essere utilizzate per intercettare il traffico web crittografato in tutta l'Unione".

È stato completato, da parte della Commissione Europea e la presidenza spagnola del Consiglio dell’UE, il lavoro a livello tecnico su eIDAS 2.0, il nuovo regolamento europeo che ha l’obiettivo di disciplinare i sistemi di identificazione elettronica per cittadini, imprese e pubbliche amministrazioni dell’Unione Europea. Il Trilogo ha concordato un testo quasi definitivo e nel 1^ trimestre del 2024 è previsto il voto del Parlamento in seduta plenaria.

La lettera

Ma questo testo ha suscitato l’allarme di oltre 500 esperti di sicurezza informatica, che hanno firmato questa lettera per denunciare in particolare un aspetto della sicurezza del web. Secondo i firmatari, “i nuovi articoli legislativi, introdotti nelle recenti riunioni a porte chiuse e non ancora pubblici, prevedono che tutti i browser web distribuiti in Europa saranno tenuti a fidarsi delle autorità di certificazione e delle chiavi crittografiche selezionate dai governi dell’UE”. 

“Questa sarebbe una minaccia alla sicurezza del web” scrivono gli oltre 500 esperti di sicurezza informatica.

Key4biz ha iniziato a seguire questa vicenda con l’analisi di Ivan Visconti, Professore Ordinario – Dipartimento di Ingegneria dell’Informazione ed Elettrica e Matematica applicata/DIEM – Università degli Studi di Salerno.

“La proposta eIDAS 2.0”, ha scritto Visconti, “prevede che possano essere ‘forzate’ nel database del browser (bypassando quindi le policy che essi adottano ed i meccanismi di risposta ai rischi) varie Autorità di certificazione scelte dai governi degli Stati membri dell’UE. Questa significativa variazione rischia di destabilizzare la sicurezza delle comunicazioni sul web, introducendo vari ‘points of failure’”.

L’attenzione degli oltre 500 esperti di sicurezza informatica è sul certificato qualificato di autenticazione di sito web (QWAC). I QWAC sono emessi da prestatori di servizi fiduciari qualificati sotto stretta vigilanza da parte delle autorità degli Stati membri, analogamente a tutti gli altri servizi fiduciari qualificati.

La Commissione ha proposto di rendere obbligatorio ai browser il certificato qualificato di autenticazione di sito web (QWAC)

 “I QWAC sono certificati elettronici che forniscono una garanzia indipendente dell’autenticità di un sito web certificandone la proprietà. In tal modo migliorano la sicurezza e la trasparenza di internet”, osserva la Commissione Europea.

I QWAC attestano l’autenticità dei siti web e pertanto hanno bisogno di essere supportati dai browser web per funzionare correttamente. Poiché i browser web non hanno riconosciuto volontariamente i QWAC sin dalla loro creazione mediante il regolamento eIDAS nel 2014, la Commissione ha proposto di rendere obbligatorio tale riconoscimento.

Il riconoscimento significa che i browser web devono garantire il supporto e l’interoperabilità del QWAC al solo scopo di visualizzare i dati di identità in modo facilmente fruibile. Il riconoscimento dei QWAC implica che i browser non dovrebbero mettere in discussione l’origine, l’integrità o i dati contenuti nel certificato.

L’obbligo di riconoscere i QWAC non incide tuttavia sulle politiche di sicurezza dei browser e lascia i browser web liberi di preservare le proprie procedure e i propri criteri per la cifratura e l’autenticazione di altri certificati.

Le considerazioni degli oltre 500 esperti di sicurezza informatica

“Questi cambiamenti espandono radicalmente la capacità dei governi dell’UE di sorvegliare i loro cittadini assicurando che le chiavi crittografiche sotto il controllo del governo possano essere utilizzate per intercettare il traffico web crittografato in tutta l’UE. Qualsiasi stato membro dell’UE ha la possibilità di designare chiavi crittografiche per la distribuzione nei browser web e ai browser è vietato revocare la fiducia in queste chiavi senza il permesso del governo.

Ciò consente al governo di qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza del sito web che possono essere utilizzati contro ogni cittadino dell’UE, anche quelli che non risiedono o non sono collegati allo Stato membro emittente. Non vi è alcun controllo o equilibrio indipendente sulle decisioni prese dagli Stati membri in merito alle chiavi che autorizzano e all’uso che le mettono. Ciò è particolarmente preoccupante dato che l’adesione allo stato di diritto non è stata uniforme in tutti gli Stati membri, con casi documentati di coercizione da parte della polizia segreta per scopi politici.

Il testo continua a vietare ai browser di applicare controlli di sicurezza a queste chiavi e certificati dell’UE ad eccezione di quelli pre-approvati dall’organismo di standard IT dell’UE – ETSI. Questa struttura rigida sarebbe problematica con qualsiasi entità, ma gli organismi standard controllati dal governo sono particolarmente suscettibili agli incentivi disallineati nella crittografia. ETSI in particolare ha sia un record preoccupante (1,2,3) di produzione di standard crittografici compromessi che un gruppo di lavoro dedicato interamente allo sviluppo della tecnologia di intercettazione”.

Anche i gruppi della società civile hanno sostenuto la lettera, tra cui Internet Society, European Digital Rights (EDRi), EFF, Epicenter.works e molti altri.

Critiche anche al portafoglio europeo di identità digitale

Gli esperti criticano anche i portafogli europei di identità digitale, sul cui testo finale è stato raggiunto, l’8 novembre scorso, l’accordo tra Parlamento europeo e dal Consiglio dell’UE.

“La creazione di un portafoglio digitale per l’identità mobile è lodevole”, scrive il prof. Bart Preneel, dell’Università di Lovanio in Belgio, a capo “della carica dei 500”, “ma se i cittadini sono costretti a utilizzare identità rilasciate dagli Stati membri dell’UE, dovrebbero essere utilizzate credenziali anonime o pseudonimi per impedire il collegamento di tutte le interazioni online. Purtroppo, nell’ultima bozza, l’introduzione dell’incollegabilità rimane facoltativa, ponendo le basi per una corsa al ribasso, in cui la tutela della privacy dei cittadini sarà dettata dallo Stato membro con le garanzie più deboli”.

Cos’è il portafoglio europeo di identità digitale?

I portafogli di identità digitale dell’UE sono portafogli digitali personali sotto forma di app, che consentiranno ai cittadini di identificarsi digitalmente e di conservare e gestire in formato digitale dati di identità e documenti ufficiali, come ad esempio la patente di guida, le prescrizioni mediche o i titoli di studio.

Con questi portafogli i cittadini potranno dimostrare, in tutta l’UE, la propria identità quando necessario per accedere a servizi online, condividere documenti digitali o semplicemente dimostrare un attributo personale specifico, come ad esempio l’età, senza rivelare le generalità complete o altri dati personali. I cittadini avranno sempre piena facoltà di decidere quali dati condividere e con chi condividerli.

Leggi le altre notizie sull’home page di Key4biz