Privacyzorgen rond eIDAS-wetgeving van de baan
Experts waarschuwden begin deze maand dat overheden met recente wijzigingen in de eIDAS-verordening (het raamwerk voor een Europese digitale identiteit) misbruik zouden kunnen maken van certificaten. Deze zorgen lijken voorlopig weggenomen, nu enkele belangrijke wijzigingen in het voorstel zijn doorgevoerd.
De eIDAS-verordening bepaalt dat overheidsorganisaties Europees erkende inlogmiddelen moeten accepteren in hun digitale dienstverlening. In de verordening staat onder meer dat dezelfde begrippen, betrouwbaarheidsniveaus en onderlinge digitale infrastructuur gebruikt worden bij onder meer elektronische handtekeningen, zegels, tijdstempels een website-authenticatie. Begin november werden er door de Europese Commissie echter enkele wijzigingen voorgesteld in de verordening, die grote zorgen over internetveiligheid veroorzaakten bij experts.
In een last-minute poging om de wettekst aan te scherpen schreef een groot aantal experts een open brief. Met het voorstel zou de veiligheid van het internet verzwakt worden. Ook zou het te weinig waarborgen bieden ter bescherming van gebruikers van de voorgestelde Europese identiteitsportemonnee.
Met name artikel 45 in eIDAS werd controversieel gevonden: de overheid zou aan de hand van het artikel misbruik kunnen maken van certificaten, in dit geval Qualified Website Authentication Certificates (QWACS). Daarmee zouden overheden dan privécommunicatie van burgers kunnen bespioneren.
Over-authenticatie
‘We waren met name bezorgd dat gebruikers niet voldoende zouden worden beschermd tegen dienstverleners die om meer informatie vragen dan nodig is voor het aanbieden van hun dienst (over-authenticatie). Ook maakten we ons zorgen dat het gebruik van de wallet en het gebruik van de daarin opgenomen attribuutcertificaten ‘koppelbaar’ zouden kunnen zijn’, schrijft Universitair Hoofddocent bij de Radboud Universiteit Nijmegen en privacyonderzoeker Henk-Jaap Hoepman, één van de experts die een brandbrief over eIDAS ondertekende.
Het lijkt erop dat deze zorgen zijn weggenomen. In de nieuwste voorstellen is het registratieproces van vertrouwende partijen is versterkt en het risico op over-authenticatie beperkt.
Misverstand?
De Europese Commissie stelde daags na de brandbrief in een ingelaste persconferentie tegenover Data News dat er sprake is van een misverstand. De beoogde certificaten zijn puur bedoeldom te controleren of een website wel een echte overheidswebsite is. Na enkele wijzigingen in het EU-voorstel lijken experts er nu vrede mee te hebben.
Europarlementariër Bart Groothuis, rapporteur Cyber Security, gaf eerder aan op X (voorheen Twitter) dat hij ‘zeer goede hoop’ heeft dat aanpassingen aan het voorstel die na de kritiek volgden een positief effect hebben. “Omdat de certificaten niet langer verplicht hoeven te worden geaccepteerd, ze niet in de root-store komen en het nu aan webbrowsers is om de veiligheid en vertrouwen te handhaven zoals we dat al gewend waren. De angel is er goeddeels uit.”
Nog op verlanglijstje: ENISA
Wel had Groothuis liever nog meer aanpassingen gezien. “Bijvoorbeeld dat Europa’s cybersecurity agentschap ENISA de certificaten kan toetsen aan de hoogste EU-standaarden en deze desgewenst kan afwijzen.” Al met al stelt hij wel zeer opgelucht te zijn over de wijzigingen.
Volgens Henk Jaap Hoepman, die zijn observaties optekende op zijn eigen blog, zijn de grootste problemen nu opgelost. Een nieuwe toevoeging maakt dat de hoogleraar zich veel minder zorgen maakt over het daadwerkelijke risico dat end-to-end-encryptie voor websites verbroken wordt door lidstaten.
Waken voor misbruik
De aanvulling aan het EU-plan vereist onder meer dat de makers van webbrowsers voortaan toezichthouders op de hoogte stellen van aanvallen op de beveiligingscertificaten. Aanvallen zouden dan dus neerkomen op misbruik door een overheid.
Dit artikel werd eerder gepubliceerd bij onze collega’s van AG Connect.
Mooi werk. Artikel 45 van de eIDAS-verordening verwijst naar de regels voor het erkennen van elektronische identificatie uit andere EU-lidstaten. Het bepaalt dat alle lidstaten een notificatie moeten doen van hun elektronische identificatiemiddelen aan de Europese Commissie, die ze vervolgens publiceert in het Publicatieblad van de Europese Unie. Stel dat een beetje hacker de gepubliceerde lijst van elektronische identificatiemiddelen bestudeert, dan kan hij zomaar een EU-land uitzoeken dat minder cyber savvy is. Hij maakt een vervalste elektronische identiteit aan die lijkt op de geselecteerde identificatiemiddelen van het EU-land van zijn keuze en zorgt dat deze vervalste identiteit zo authentiek mogelijk lijkt. Met deze vervalste identiteit benadert hij online diensten in andere EU-landen. Aangezien Artikel 45 verplicht dat deze diensten de vervalste identiteit accepteren als geldig, krijgt onze hacker toegang tot gevoelige informatie en kan hij mogelijk frauduleuze transacties uitvoeren. Resultaat: onze hacker, met zijn vervalste identiteit, kan potentieel schade aanrichten op verschillende niveaus, van identiteitsdiefstal tot financiële fraude. Identiteitsverificatieprocessen moeten dus niet alleen vertrouwen op het feit dat een identiteit is gepubliceerd in het Publicatieblad van de EU, maar ook additionele verificaties uitvoeren om de authenticiteit te bevestigen. Dan kom je al snel uit op gefedereerde, gedifferentieerde, claim en policy based verifiable claims. Niet vertrouwen op een centrale entititeit ‘die het wel zal weten’ maar context-bewuste verificaties met inzet van Policy Decision Points en Policy Enforcement Points. Het gaat niet alleen om aanvallen op beveiligingscertificaten, maar om vaststellen of beveiligingscertificaten überhaupt wel netjes zijn bijgewerkt. (spoiler alert: dat zijn ze meestal niet!) Dus de Staat zou het balletje vooral moeten leggen bij de eigen organisaties zelf: bij de volwassenheid van hun Data Governance! Het controleren of SSL en andere certificaten up-to-date zijn, is een cruciaal onderdeel van het behouden van een veilige web omgeving. Dit kan gedaan worden door het implementeren van geautomatiseerde processen die regelmatig de geldigheid en status van certificaten controleren. Deze processen kunnen ook contextgevoelig zijn, bijvoorbeeld door het controleren van specifieke certificaten die relevant zijn voor bepaalde diensten, toepassingen of functies. Gebruik daar bijvoorbeeld context brokers. Fiware.org Context Brokers kunnen de contextinformatie bijhouden over de status van SSL en andere certificaten. Deze informatie kan onder andere de uitgiftedatum, de vervaldatum, de uitgevende instantie en de status van het certificaat (bijvoorbeeld of het is ingetrokken of niet) omvatten. Door deze contextinformatie regelmatig te updaten, kunnen Fiware Context Brokers ervoor zorgen dat de meest actuele informatie over de certificaten beschikbaar is. Policy Enforcement Points (PEPs) kunnen de toegang tot bepaalde diensten, toepassingen of functies blokkeren op basis van het beleid. Als een certificaat bijvoorbeeld is verlopen of ingetrokken, kan een PEP de toegang tot de dienst voor dat certificaat weigeren. Policy Decision Points (PDPs) nemen beslissingen over toegangsrechten op basis van de contextinformatie en het beleid. De middelen liggen (gratis!) voor het grijpen om te zorgen dat elke organisatie kan inregelen dat een PDP, na het ontvangen van de contextinformatie over een bepaald certificaat van de Open Source Fiware Context Broker, kan beslissen om toegang te weigeren als het certificaat niet up-to-date is. (en dat dan meteen netjes melden). Door deze drie componenten samen te gebruiken, kan er een systeem worden gecreëerd dat niet alleen regelmatig de status van SSL en andere certificaten controleert, maar ook proactieve maatregelen neemt om onveilige verbindingen en transacties te voorkomen en daar ook transparante uitleg bij te leveren.