Protokol OSN o transparentnosti (UNTP) organizace UN/CEFACT je vznikající světový standard, který upravuje, jak mají být digitální pasy výrobků a ověřitelné doklady sestavovány, podepisovány a kontrolovány. Je záměrně navržen jako jednoduchý a nezávislý na výrobcích - představuje společný jazyk, na kterém mohou stavět regionální povinné systémy, jako je například produktový pas EU, namísto toho, aby si každá jurisdikce a každý poskytovatel vymýšlel vlastní formát.
UNTP předložilo verzi 0.7.0 k veřejnému posouzení. Až do schválení verze 1.0 může každá osoba a každá organizace poskytnout zpětnou vazbu prostřednictvím otevřeného registru. My jsme předložili šest připomínek. Na dvě z nich již pracovní skupina odpověděla - a jedna z nich vedla ke změně našeho vlastního kódu.
To nelze zaměňovat s konzultací EU, které jsme se rovněž zúčastnili: tam šlo o závazný registr DPP Evropské komise. UNTP je vrstva pod ním - globální technická základna, na které se může opírat registr EU i další systémy.
Proč se podílíme na tvorbě světového standardu
Produktový pas, který dokáže přečíst a ověřit pouze software jediného poskytovatele, není pasem - je to jen „silo“ s lepším názvem. Smyslem DPP je, aby kupující, recyklační společnost nebo orgán dohledu nad trhem mohl údaje ověřit pomocí jakéhokoli nástroje splňujícího požadavky, nejen pomocí toho našeho. Kde přesně je tato shoda definována, se rozhoduje v rámci standardu. Raději se na jeho tvorbě podílíme, než abychom jej později zdědili.
1. Doklady, které přežijí desetiletí (#678)
Aktuální profil UNTP předepisuje obalové doklady podle W3C VC-JOSE-COSE: podpis obaluje dokument jako JWT. Pro pas, který musí být po dobu deseti let archivován, zrcadlen a dohledatelný podle adresy obsahu, má tato alternativa jasné výhody. Vložené certifikáty podle W3C Data Integrity zůstávají přímo v dokumentu, přežijí jakékoli další šíření a kanonizace pomocí JSON Canonicalization Scheme (RFC 8785) poskytuje stabilní hash obsahu pro sledování verzí. Navrhli jsme povolit kryptosadu eddsa-jcs-2022 jako rovnocennou možnost pro zajištění shody. Proč musí certifikát vůbec přežít svého vydavatele a jak toho kryptografické důkazy dosahují, jsme podrobněji rozebírali v příspěvku o podpisech a certifikátech.
Tento komentář nezískal jen jednu odpověď - změnil i náš vlastní ověřovač. S verzí Transpareo Time Machine 2.0.0 (20. června 2026) jsme přešli z redukovaného vlastního profilu na kryptosadu eddsa-jcs-2022 vyhovující standardu W3C. Díky tomu může Transpareo Pass ověřit jakýkoli verifikátor integrity dat, nejen náš vlastní nástroj. Interoperabilitu jsme nejen požadovali, ale také jsme ji zajistili.
Ve stejném komentáři jsme navrhli dva související body: spolehlivé specifikace, jak dlouho musí zůstat seznam stavů dostupný, s možností v případě nutnosti rekonstruovat stav odvolání na základě událostí životního cyklu; a idempotentní zobrazení vycházející ze sémanticky bohatého datového modelu, aby každý kompatibilní renderer zobrazoval stejný pas stejně, bez dodávaných pokynů pro zobrazení.
2. Jediný algoritmus pro celý řetězec důvěry (#683)
Jak se ověřovatel dostane od DID vydavatele přes Digital Identity Anchor k registru a dále k výrobnímu závodu, je dnes popsáno v próze rozložené na několik stránek - nikoli však jako jediný algoritmus. Navrhli jsme algoritmus ověřování krok za krokem pro celý řetězec důvěry: ověření integrity, přiřazení DID vydavatele k kotvě a registru, porovnání kritérií shody, identifikace výrobního závodu. Bez tohoto jediného závazného popisu interpretují nezávislé implementace rozptýlené odstavce odlišně a docházejí k rozdílným závěrům ohledně pravosti pasu. I tento komentář vyvolal reakci pracovní skupiny.
3. Stupňované zveřejňování jediného pasu (#679)
Regulovaný pas musí sloužit několika cílovým skupinám: široká veřejnost, oprávněné zainteresované strany, jako jsou recyklační podniky a úřady, vidí různé části téhož pasu - přesně to předepisuje nařízení EU o bateriích. Navrhli jsme, aby se toto stupňované zveřejňování považovalo za standardní případ první třídy, namísto toho, aby se dodatečně nastavovalo jako šifrování podle příjemce.
4. Vícejazyčný obsah přímo v datovém modelu (#680)
UNTP dnes uchovává údaje čitelné pro člověka jako jednojazyčné řetězce znaků. Na regulovaných, vícejazyčných trzích to nestačí - pas, který platí v celé EU, potřebuje své texty v několika jazycích současně. Navrhli jsme využít jazykové mapy JSON-LD, aby jedna hodnota obsahovala všechny své jazykové verze. Společnost Transpareo dnes vydává pasy v 39 jazycích - tuto mezeru pociťujeme každý den. Jak tuto jazykovou rozmanitost vůbec zvládáme, popisujeme v článku o překladu pomocí umělé inteligence.
5. Dlouhodobá ověřitelnost jako otázka architektury (#681)
Souvisí to s prvním bodem, ale je to zásadnější: doklady, DID dokumenty a seznamy stavů musí zůstat dohledatelné po dobu více než deseti let, jinak nebude možné starý pas někdy ověřit, i když byl platný. Požádali jsme o nenormativní pokyny, jak zajistit trvalou dostupnost klíčů, DID dokumentů a seznamů stavů - jde o otázku, která se projeví až za několik let, a právě proto by měla být součástí standardu již dnes.
6. Most k produktovému pasu EU (#682)
UNTP je záměrně štíhlý B2B pas. Produktový pas EU je závazný režim s vlastním seznamem atributů. Implementátoři potřebují výslovnou mapu mezi oběma - profil, který ukazuje, jak pas UNTP naplňuje povinná pole regulačního pasu. Právě na tomto propojení ostatně pracujeme každý den, a proto jsme tuto mostovou funkci požadovali.
Proč to děláme
Standard se zlepší, když se do diskuse zapojí lidé, kteří certifikáty skutečně podepisují a ověřují - nejen ti, kteří o nich píší. Dva z našich šesti připomínek již mají odpověď, jedna z nich přiměla našeho ověřovatele přejít na kryptosuitu vyhovující standardu. Díky tomu již nesedíme na okraji, ale v kruhu odborníků pracovní skupiny pro dodavatelský řetězec.
Pro naše zákazníky to není samoúčel. Čím přesnější a výrobcem neutrálnější je světový standard, tím bezpečnější zůstává jejich investice: data jejich certifikátů zůstávají exportovatelná a ověřitelná jakýmkoli nástrojem, který standard splňuje. Žádné uzamčení, žádný formát, který stojí a padá s jediným poskytovatelem.
Kdo se chce zapojit
Veřejné posuzování pokračuje. Všechny předložené připomínky jsou veřejně dostupné v veřejném registru připomínek UNTP. Pracovní skupina pro dodavatelský řetězec se pravidelně schází prostřednictvím videohovorů; termíny jsou uvedeny na stránce o správě UNTP. Kdokoli, kdo bude v budoucnu vydávat nebo kontrolovat produktové pasy - výrobci, poskytovatelé služeb, recyklační firmy, úřady -, by si měl alespoň jednou přečíst otevřené body. I krátká, odborně přesná zpětná vazba má svůj význam.
A kdo chce již dnes nezávisle ověřit pas Transpareo, může tak učinit pomocí nástroje Transpareo Time Machine - od verze 2.0.0 s přesně tou kryptografickou sadou, kterou jsme propagovali v profilu UNTP.