I cittadini europei rischiano di trovarsi a essere molto più suscettibili agli attacchi informatici e alla sorveglianza online da parte dei governi nazionali, a causa di una nuova regola aggiunta, a porte chiuse, nel testo di riforma del Regolamento europeo sull’identificazione elettronica, l’autenticazione e i servizi fiduciari (Eidas), che è stata approvata dalla Commissione e ora dovrà affrontare il voto del Parlamento e la decisione del Consiglio. Nel mirino c’è l’emendamento dell’articolo 45 del Regolamento, di cui 400 esperti di sicurezza informatica hanno già chiesto la cancellazione in una lettera aperta. Wired ne ha parlato con Filippo Valsorda, esperto di crittografia ed ex responsabile della sicurezza per il Go team di Google, fino al 2022.
- Su cosa interviene l’emendamento?
- Cosa fanno le Certification authority?
- Perché la modifica sembra essere problematica?
- Perché è stata proposta questa modifica se rischia di essere così pericolosa?
- Ma ci sono altri dettagli che non quadrano, questa volta di natura politica
Su cosa interviene l’emendamento?
In estrema sintesi, il nuovo testo dell’articolo 45 obbligherebbe i browser a limitare i propri requisiti di sicurezza, aumentando l’influenza dei governi nazionali nella scelta di questi standard. L’emendamento costringerebbe infatti i browser ad accettare come affidabili tutte le Certification authority (Ca) proposte dagli stati e, allo stesso tempo, andrebbe a proibire l’aggiunta di nuovi requisiti di sicurezza rispetto a quelli già decisi dall’Istituto europeo per le norme di telecomunicazione (Etsi). In altre parole, verrebbero meno le garanzie che fino a oggi hanno impedito ai governi nazionali di spiare liberamente il nostro traffico web.
Cosa fanno le Certification authority?
Le Certification authority sono quelle compagnie private incaricate di verificare con il browser che il sito, o dominio, a cui vogliamo accedere sia effettivamente il sito giusto e non una copia realizzata per rubare i nostri dati. Per fare un esempio, le Ca garantiscono che quando accediamo al sito della nostra banca lo facciamo senza il pericolo di venire intercettati da criminali informatici intenzionati a svuotarci il conto e, quindi, che tutte le nostre comunicazioni con quel determinato sito o i dati che andiamo a inserirvi sono protetti e privati. Tutto ciò avviene attraverso i certificati per Transport Layer Security (Tls) emessi dalle Ca, che contribuiscono a criptare le informazioni trasmesse quando si accede a un sito attraverso un browser.
Perché la modifica sembra essere problematica?
L’emendamento all’articolo 45 di Eidas rischia di cambiare per sempre tutto questo e non in meglio, secondo gli esperti. “Questa clausola ci ha colto di sorpresa perché non riguarda le identità e i contratti giuridicamente vincolanti” di cui si occupa il regolamento “ma i browser” andando a espandere “radicalmente la capacità dei governi di sorvegliare sia i propri cittadini che i residenti in tutta l’Unione europea, fornendo loro i mezzi tecnici per intercettare il traffico web criptato, oltre a minare i meccanismi di controllo esistenti su cui fanno affidamento i cittadini europei”.
Come spiega Valsorda, negli ultimi 15 anni sono sempre stati i browser a scegliere quali Ca tenere, perché affidabili, e quali scartare, perché inaffidabili. Per esempio, meno di un anno fa Google, Mozilla e Microsoft hanno scartato Truscor perché collegata a una compagnia di spyware e Camerafirma perché non abbastanza sicura. In questo ambito, almeno per una volta, gli interessi delle big tech e degli utenti sono allineati, perché i browser hanno tutto l’interesse a fornire una connessione sicura se non vogliono perdere credibilità e pubblico. I governi, però, hanno interessi diversi e la modifica dell’articolo 45 sposta il peso solo su questi.
Leggi tutto su www.wired.it
di Kevin Carboni www.wired.it 2023-11-10 05:50:00 ,