La versione 2.0 dell’eIDAS (electronic IDentification, Authentication and trust Services) in fase di approvazione si presenta come un tentativo di svecchiare questa norma sull’identità digitale e sui servizi fiduciari. Le principali modifiche si concentrerebbero su quattro ambiti quali le firme elettroniche, le marche temporali, i servizi di consegna e i certificati per l’autenticazione dei siti web. Proprio sull’ultimo, si vorrebbero introdurre delle nuove logiche che a una parte di esperti e organizzazioni fanno pensare a vecchie logiche. Quelle che nel 2011 lasciavano che autorità di certificazione collaborassero con i governi per spiare il traffico criptato dei cittadini europei. Un timore da approfondire.
Governi, certificazioni e browser: chi controlla chi
Il problema nasce dal fatto che la nuova versione della legislazione sembra richieda a tutti i browser web nell’UE di affidarsi ciecamente delle autorità di certificazione (CA) indicate dai vari governi nazionali come affidabili senza fiatare, accettando anche le corrispondenti chiavi crittografiche.
Proiettato nel mondo reale, ciò significa che un browser non ha modo di bloccare o mettere bocca nella certificazione, lasciando liberi eventuali regimi di controllare ciò che le persone fanno con un certo sito in qualsiasi momento. Nel testo di eIDAS 2.0, infatti, uno dei nuovi requisiti precisa che i produttori di browser non possono effettuare controlli di sicurezza aggiuntivi. Devono attenersi a quelli specificati dall’Istituto europeo per gli standard di telecomunicazione (ETSI), realizzati da CA approvate dal governo (Qualified Trust Service Provider, o QTSP). Se un sito ottiene un certificato TLS (Qualified Website Authentication Certificates, o QWAC), devono “tacere e fidarsi”, anche se sospettano o rilevano un uso improprio come l’intercettazione del traffico.
In generale, la crittografia TLS alla base delle connessioni sicure HTTPS conferma che l’indirizzo di un sito web corrisponde all’indirizzo certificato. Visitandolo, il browser “consulta” parte di questo certificato emesso dalla CA e se la CA è affidabile, approva la connessione. Con il nuovo eIDAS, i browser perdono totalmente voce in capitolo e devono ubbidire alle CA, il problema emerso si insinua infatti nella scelta delle autorità di certificazione e nel loro rapporto con i governi.
In questo nuovo ipotetico quadro, qualsiasi governo potrebbe ipoteticamente accordarsi con una CA “complice” per ottenere una copia del certificato rilasciato per un certo sito, impersonarlo e decifrare il traffico HTTPS degli utenti attraverso un attacco man-in-the-middle. Se ben ci si pensa, per un regime, questo “giochetto” è un facile modo per controllare ciò che le persone fanno on line. Anche se consapevole, il browser non potrebbe che stare a guardare.
L’allarme sorveglianza in una lettera aperta
Percependo un pericolo di sorveglianza per i cittadini di tutta l’Unione Europea, nella sua ampia varietà di forme governative, un gruppo di ricerca sulla sicurezza in Internet di oltre 400 esperti, assieme alla Fondazione Linux, a Mozilla e ad altre organizzazioni non governative, ha pubblicato una lettera aperta rivolta ai legislatori dell’UE. L’intento di questo “collettivo anti-spionaggio” sarebbe quello di ottenere delle modifiche nell’articolo 45 della versione 2.0 che contiene il requisito per browser da cui tutto nasce.
La mancanza di un controllo indipendente sulle decisioni prese dagli Stati membri in merito a certificazioni e chiavi crittografiche aprirebbe a incognite pericolose, nel presente e nel futuro.
Nella lettera lo si sottolinea, ricordando che l‘abuso delle CA controllate da parte dei governi non sarebbe una novità. In passato sarebbero infatti emersi già casi di certificati inaffidabili rimossi dai browser, emessi da CA con sede in Turchia, Cina, Kazakistan e in altri Paesi extra UE.
Se accadesse qualcosa di simile in futuro, i browser non potrebbero intraprendere alcuna azione contro CA con approvazione governativa, lasciando che i cittadini europei vengano liberamente sorvegliati. Questo è lo scenario descritto nella lettera: per alcuni un timore, per alcuni una previsione, per altri una certezza e per chi pensa che ci siano interessi di business nascosti, una falsa accusa all’UE. In ogni caso, meglio tenere alta l’attenzione sulla versione 2.0 in arrivo, per difendere la libertà di navigare di tutti coloro che possono essere spiati, noi stessi compresi.