Digitální produktový pas musí zůstat ověřitelný po dobu deseti let a déle. Softwarová platforma však málokdy vydrží tak dlouho. Z tohoto rozporu vyplývá jasný důsledek: důvěra v DPP nesmí záviset na poskytovateli, ale musí být vázána na samotný datový soubor. Důvěra v artefakt, nikoli ve společnost.
Jak to vypadá v praxi, lze ukázat na čtyřech základních prvcích.
Každá verze DPP je podepsána
Před zmrazením Transpareo zkontroluje datový soubor podle povinných polí specifických pro danou kategorii (validace SHACL). Pokud tato kontrola selže, zveřejnění je zamítnuto - podepsán je pouze úplný pas, který splňuje pravidla.
Je-li DPP zveřejněn, Transpareo zmrazí jeho obsah jako verzi DPP a podepíše ji dvěma nezávislými klíči: jedním od vystavitele a jedním od Transpareo. V rámci modelu „Bring Your Own Key“ (BYOK) provozuje výrobce vlastní podpisový koncový bod - Transpareo nikdy neuchovává soukromý klíč a doplňuje pouze nezávislý protipodpis, takže podpis vystavitele je takový, který Transpareo samo nemůže vygenerovat.
Používá se postup Ed25519 prostřednictvím kanonické formy datového záznamu (tzv. JSON Canonicalization Scheme, RFC 8785). Dva podpisy, dvě navzájem nezávislé autority.
Ověření probíhá v prohlížeči uživatele. Open-source renderer Transpareo Time Machine načte bajty, znovu vypočítá hash a ověří oba podpisy, aniž by kontaktoval náš server. Kdo je nedůvěřivý, může si přečíst kód.
Identita vydavatele je uvedena na vlastní doméně
Aby mohl ověřovatel najít veřejné klíče, zveřejňuje každý vystavovatel svou identitu jako DID:web na své vlastní doméně, kde je dostupná prostřednictvím jasně definované adresy v adresáři /.well-known/. Záměrně se nejedná o klasický certifikát ve smyslu X.509: certifikační řetězce po desetiletích vyprší, zatímco adresa HTTPS na vlastní doméně zůstává stabilní a pod vaší kontrolou.
I při rotaci klíče zůstávají starší podpisy ověřitelné - starý klíč i nadále ověřuje to, co kdysi podepsal, aniž by podepisoval nové dokumenty. A protože by vydavatel mohl po změně poskytovatele převést svou doménu s sebou, Transpareo zrcadlí každý veřejný klíč v okamžiku zveřejnění na trvalou adresu. Díky tomu zůstává každá verze DPP ověřitelná, i když původní hostitel někdy zmizí.
Registrace v EU nese kvalifikovanou pečeť
Podání žádosti do připravovaného registru EU-DPP vyžaduje více než jen běžný podpis: Každá registrace musí být opatřena kvalifikovaným elektronickým pečetím (QES) podle nařízení eIDAS 910/2014. QES je založeno na hardwaru a vázáno na ověřenou právnickou osobu - jedná se o nejvyšší úroveň důvěryhodnosti, kterou právo EU uznává.
Tato možnost použití kvalifikovaného pečetního zařízení bude k dispozici, jakmile budou právní akt eIDAS a rozhraní registru finálně schváleny. Společnost Transpareo za tímto účelem bude provozovat vlastní pečetní službu s vlastním pečetním zařízením a kvalifikovaným certifikátem od společnosti D-Trust, kvalifikovaného poskytovatele služeb důvěryhodnosti - takže výrobci, kteří sami neprovozují pečetní infrastrukturu, budou moci splnit povinnost QES bez vlastního hardwaru.
Archiv, který přežije poskytovatele
Jakmile budou DPP zaregistrovány v registru EU, bude každá verze DPP navíc po dobu deseti let archivována v nezměnitelné podobě - ani výrobce, ani Transpareo ji nebudou moci dodatečně změnit. Aby byl tento archiv dostupný i v případě, že by společnost Transpareo jednoho dne přestala existovat, je jeho financování zajištěno notářským vkladem ve Švýcarsku. Závazek je tedy zaměřen na dlouhodobou životnost nejen z technického, ale i ze smluvního hlediska.
Takto ověřuje pas třetí strana - zcela bez našeho zásahu
Rozhodujícím testem důvěry v artefakt je to, zda někdo dokáže ověřit pas bez naší infrastruktury. Postup:
- Načíst bajty verze DPP z libovolného zdroje (CDN, veřejný archiv, registr EU nebo archiv třetí strany)
- Kanonizovat datový záznam a vypočítat jeho hash
- Načíst veřejné klíče vydavatele a společnosti Transpareo z adres uvedených v pasu
- Ověřit oba podpisy proti hashové hodnotě - pokud se oba shodují, je pas pravý a nezměněný
Žádné přihlašování, žádný telefonát do Transpareo, žádná závislost na fungující platformě.
Co již dnes funguje a co se připravuje
Podpisy, ověřování v prohlížeči, identita DID:web a Bring Your Own Key (BYOK) jsou ## jižv provozu. Nezměnitelné desetileté archivy jsou vytvořeny a začnou fungovat, jakmile budou DPP zaregistrovány v registru EU. Kvalifikovaná elektronická pečeť (QES) pro registraci v EU je plánována, jakmile budou finální znění směrnice eIDAS a rozhraní registru.
Zásada zůstává v každém případě stejná: co je jednou podepsáno a archivováno, zůstává ověřitelné, bez ohledu na to, kdo bude platformu zítra provozovat.