EU-institutionernas trilogförhandlingar om EU:s Digital Identity Framework (eIDAS) är klara. Men vad gäller att tvinga din web-läsare att godkänna statligt utfärdade certifikat (QWACs) utanför HTTPS certifikatsystem är förvirringen fortfarande stor.
Den 28 november röstar Europaparlamentets industriutskott (ITRE) om trilogförhandlingarnas kompromiss om EU:s Digital Identity Framework (eIDAS).
Problemet är att dokumenten fortfarande inte är allmänt tillgängliga samtidigt som det är högst oklart om beslutsfattarna begriper vad de sysslar med.
Detta är snårigt och tekniskt komplicerat. Själv är jag inte tekniker utan sysslar mest med den politiska sidan kring frågor som rör ett fritt och öppet internet. Så jag kan ha fel. Men å andra sidan tycks även de tekniska experterna sväva i ovisshet.
Vad det handlar om är ett förslag om att din webb-läsare kanske måste acceptera certifikat som staten säger åt den att acceptera – utanför HTTPS certifikatsystem (artikel 45). Facktermen är QWAC.
Vilket i så fall kan öppna dörren för ännu mer övervakning samtidigt som säkerheten online kan äventyras.
EFF kommenterade saken i ett tidigt skede:
»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«
Nu varnar Mozilla för att EP ITRE är på väg att klubba resultet av trilogen om eIDAS utan att dokumenten är tillgängliga för granskning:
»We understand that although no changes have been made to Article 45, there were last-minute changes to the accompanying Recital 32. However, the EU has still not published the agreed legal text. There are now less than 13 days until the vote and the cyber security community, civil society and the public are still unable to read the proposed regulation, let alone scrutinize its impacts.«
Från EU-kommissionens sida menar man att allt är en missuppfattning. Cirkulera, här finns inget att se. Vilket vi dock lärt oss inte är någon garanti för att det blir rätt eller för att beslutsfattarna begriper vad de beslutar om.
IT-säkerhetsspecialisten Karl Emil Nikka säger:
»Det vansinniga här är att vi tvingas spekulera om vad QWAC i själva verket är. Den här processen, där politiker lägger fram tekniska förslag utan att ens konkretisera vad de föreslår, är vansinnig.«
Förvirringen om vad man håller på att besluta om är med andra ord stor.
Här kan du läsa Mozillas varning:
• 13 days before the first eIDAS vote, still no public text »
Lobbygruppen European Signature Dialog håller inte med:
• Mozilla website pushes serious eIDAS misinformation to political decision makers and public »
• ESD Experts Support Trilogue Compromise and Emphasize Necessity for Highest Security of the Internet »
Och här är EU-kommissionens input:
• CEF eSignature pilot on ntQWACs »
• European digital identity: Council and Parliament reach a provisional agreement on eID »
Vad som verkligen gäller går över min horisont. Men dokumenten ovan kan kanske vara till nytta för dem som har den tekniska kompetensen. Fyll gärna på med input i kommentarsfältet.
Slutligen, här är våra tidigare bloggposter i ämnet – som innehåller massor av länkade referenser:
• Nu tar EU kontrollen över din web-läsare »
• EU:s eID nu ett steg närmare – och EU-certifikat »
