Birkaç ay önce AB’nin interneti düzeltme arayışının vatandaşlar için nasıl bir mahremiyet ve güvenlik kabusuna dönüşmesinin beklendiğini bildirmiştik. Uzmanlar TechRadar’a, yasanın mevcut haliyle geçmesi durumunda VPN hizmetlerinin bile çevrimiçi anonimliğimizi kurtaramayacağını söyledi.
Olarak bilinir eIDAS 2.0, önerilen kötü şöhretli düzenleme, önceki AB’nin dijital kimlik yasasının bir revizyonudur; 2020’de başlayan ve tamamlanmak üzere olan bir süreçtir. Yasa iki şeyi yapmayı amaçlıyor: tüm Avrupalılar için bir kimlik belirleme uygulaması (AB Kimlik Cüzdanı) başlatırken, web tarayıcılarının güvenlik ve web sitesi kimlik doğrulamasını ele alma biçimini değiştirmek.
Mozilla gibi güvenli tarayıcı sağlayıcıları ve kriptograflar, bilgisayar bilimcileri ve gizlilik savunucuları, önerilen bu hükümlerin tüm bloktaki vatandaşların güvenliğini ve mahremiyetini nasıl tehlikeye attığı konusunda uyarıda bulundu. Bu makalenin amacı doğrultusunda yalnızca tarayıcı kimlik doğrulamasıyla ilgili konulara odaklanacağım.
Çevrimiçi gözetimi artırmaya yönelik 45. Madde
Nym Technologies’in CEO’su ve kurucu ortağı Harry Halpin bana “Güvenlik camiasında hepimiz şoktayız. Avrupa Parlamentosu’nun ne yaptığını bildiğini sanmıyorum” dedi. “Bunların hepsi çok tehlikeli şeyler, bu kadar aptalca bir kuralın yürürlüğe girmesi şaşırtıcı.”
Halpin, istilacı hükümet gözetiminin etkisini ilk elden deneyimledikten sonra daha iyi gizlilik için uzun bir mücadele geçmişine sahip bir bilgisayar bilimcisidir. Son 15 yıldır iklim taban aktivisti gruplarla geçmişteki ilişkileri nedeniyle izleme listesinde yer alıyor. Geçtiğimiz Kasım ayında, mevcut çözümlerden daha iyi çevrimiçi anonimlik sağlamak için NymVPN’i başlattı. Artık çabaları, en azından AB genelinde geçerliliğini yitirmiş olabilir.
Sorunun gerçekte ne olduğunu anlamak için bir adım geriye gidelim. Daha önce de belirtildiği gibi, Avrupa Komisyonu, Halpin’in “çılgın bir yaklaşım” olarak tanımladığı şekilde, web tarayıcılarının web sitesi kimlik doğrulamalarını yönetme şeklini değiştirmeye çalışıyor. Peki bu değişiklik neye benziyor?
Muhtemelen bir tarayıcının arama çubuğundaki bir web sitesi URL’sinin sol tarafında küçük asma kilidi görmüşsünüzdür (yukarıdaki resme bakın). Bu, erişmek üzere olduğunuz web sitesinin bir HTTPS bağlantısıyla güvence altına alındığını, yani tarayıcı ile hizmeti sağlayan sunucu arasındaki bağlantının şifrelendiğini gösterir.
Asma kilide tıklayarak bağlantının güvenliğini onaylayarak kök sertifikayı kimin verdiğinin ayrıntılarını okuyabilirsiniz. Bu, web sitesinin tam olarak iddia ettiği gibi olmasını sağlayan varlıktır.
eIDAS’ın değiştirmek istediği şey, sektördeki pek çok endişeyi gündeme getirerek bu sertifikalarla nasıl başa çıkılacağıdır. EPFL’de bilgisayar mühendisi ve profesör olan Carmela Troncoso’nun açıkladığı gibi yasa, AB devletlerine, web tarayıcılarının gerçek olarak kabul etmek zorunda kalacağı bu güven kanıtlarını verme hakkını verecek. Tarayıcı sağlayıcılarının, üye devlet izin vermediği sürece, kötü niyetli faaliyetleri fark ettikleri durumlarda bile (şu anda olduğu gibi) bu sertifikaları kaldırmaları da engellenecektir.
“[The law] bu güvenlik kontrollerini üye devletlere taşıyarak güç dengesini değiştirir. Bunu son derece tehlikeli buluyoruz” dedi Troncoso bana. “Tüm internetin güvenliği tehlikede çünkü bu iki sayfanın güvenliğiyle ilgili değil, her şey bu.”
Biliyor musun?
Sanal özel ağın kısaltması olan VPN, hem IP adresinizi taklit eden hem de internet bağlantılarını şifreleyen bir güvenlik yazılımıdır. Basitçe söylemek gerekirse, bağlantınızı uluslararası sunucularından biri aracılığıyla yeniden yönlendirirken, aktarım halindeki tüm verileri şifreler. Çevrimiçi coğrafi kısıtlamaları aşmak ve web’de gezinirken gizliliği artırmak için yaygın olarak kullanılır.
Bu, hükümetlerin tüm internet trafiğimize müdahale edebileceği anlamına geliyor. Halpin, “Çin ve Rusya’nın sahip olduğundan daha kötü bir gözetim rejimi” dedi. “Aklı başında olan hiç kimsenin bunu kabul edeceğini sanmıyorum.”
Daha da kötüsü belki de en güvenli VPN uygulamasının bile bunu engelleyemeyeceğini savunuyor.
Çünkü hükümet, makinemiz ile web sitemiz arasında, Halpin’in deyimiyle “bağlantımızın ortasında” bulunan adam gibi hareket edecek.
“VPN daha düşük bir seviyede; ağ bağlantısını koruyor, ancak ayrıca ağın üzerinde çalışan web sitesi veya uygulama da var” dedi. “O zaman VPN kullanıp kullanmamamın pek bir önemi olmayacak çünkü söz konusu hükümet, trafiği web tarayıcısı düzeyinde engelleyebilir. Web tarayıcınız üzerinden, şifrelenmiş olsa bile tüm trafiği yasal olarak engelleyebilirler ve bunu yapmazlar. sizin ve hatta Google’ın bunu bilmesini istiyorum.”
Ancak Halpin aynı zamanda bir VPN’in teoride hâlâ bazı avantajlar getirebileceğine inanıyor. Örneğin, Avrupa’da değilmiş gibi davranmak için IP adresinizin konumunu taklit edebilir ve daha özel ve güvenli bir tarayıcı indirebilirsiniz. “Bu nispeten çılgınca ama olabilir” dedi.
Sıradaki ne?
Avrupa Komisyonu bu tür güvenlik kaygılarını göz ardı etse de, bu yazının yazıldığı sırada yalnızca geçici bir metin üzerinde anlaşmıştı.
Bu nedenle Norveçli tarayıcı Opera’daki ekip daha iyimser düşünüyor. Yasanın mevcut haliyle web güvenliğini artırmayacağı konusunda sektörle aynı görüşte olmasına rağmen BT ve Güvenlikten Sorumlu Başkan Yardımcısı Christian Zubel bana şunları söyledi: “Yarın uyanıp farklı bir versiyon görebileceğimize gerçekten inanıyorum. [of the text]”
Bununla birlikte uzmanlar, Parlamentonun Haziran ayında yapılması planlanan Avrupa seçimlerinden önce tüm açık yasama süreçlerini kapatmaya çalışması nedeniyle nihai anlaşmanın Mart ayı sonuna kadar açıklanmasını bekliyor.
Kesin olan şey, eIDAS revizyonunun 45. Maddesinin yalnızca daha fazla gözetimin önünü açmadığıdır. Çevrimiçi sansürün artma riski de yüksektir ve potansiyel siber saldırılar da öyle. Halpin bana, “Siber güvenlik açısından bakıldığında bu, Avrupa’yı internet üzerinden herhangi bir şey yapmak için tehlikeli bir yer haline getiriyor” dedi.
Ancak yasa koyucuların sektörün içinden gelen çığlığı en azından kısmen dinliyor gibi göründüğünü belirtmekte fayda var. Aslında hükmün kendisini değiştirmediler, bunun yerine belirsizlikleri açıklığa kavuşturacak ve tarayıcı sağlayıcılarına web güvenliğini sağlama konusunda daha fazla özgürlük bırakacak bir ön açıklama eklediler. Bu iyi bir başlangıç olmasına rağmen, hukuki açıdan eninde sonunda ne kadar değer kazanacağını zaman gösterecek.