Tillid, der overlever produktet: Signaturer og certifikater i DPP
BlogTeknik30/05/2026

Tillid, der overlever produktet: Signaturer og certifikater i DPP

En DPP skal forblive kontrollerbar i ti år - selvom platformudbyderen forsvinder i morgen. Svaret ligger ikke i tilliden til virksomheden, men til selve artefakten.

Et digitalt produktpas skal kunne kontrolleres i ti år eller længere. En softwareplatform holder sjældent så længe. Denne modsætning har en klar konsekvens: Tilliden til et DPP må ikke afhænge af udbyderen, men skal være knyttet til selve datasættet. Tillid til artefakten, ikke til virksomheden.

Hvordan dette ser ud i praksis, kan illustreres ved hjælp af fire grundsten.

Hver DPP-version signeres

Inden fastfrysningen kontrollerer Transpareo datasættet i forhold til de kategorispecifikke obligatoriske felter (SHACL-validering). Hvis denne kontrol mislykkes, afvises offentliggørelsen - kun et fuldstændigt, regelkonformt pass signeres.

Når et DPP offentliggøres, fastfryser Transpareo dets indhold som en DPP-version og signerer det med to uafhængige nøgler: én fra udstederen og én fra Transpareo. Med Bring Your Own Key (BYOK) driver udstederen herved sit eget signaturendepunkt - Transpareo opbevarer aldrig den private nøgle og tilføjer kun den uafhængige modsignatur, således at udstederens signatur er en, som Transpareo selv ikke kan generere.

Der anvendes metoden Ed25519⁠ via en kanonisk form af datasættet (det JSON Canonicalization Scheme, RFC 8785⁠). To signaturer, to indbyrdes uafhængige autoriteter.

Valideringen foregår i brugerens browser. Den open source-baserede renderer Transpareo Time Machine indlæser bytes, beregner hashen på ny og validerer begge signaturer uden at kontakte en af vores servere. Den, der er mistænksom, kan læse koden.

Udstederens identitet findes på eget domæne

For at en verificator kan finde de offentlige nøgler, offentliggør hver udsteder sin identitet som DID:web⁠ på sit eget domæne, som kan findes via en veldefineret adresse under /.well-known/. Bevidst intet klassisk certifikat i X.509-forstand: Certifikatkæder udløber over årtier, mens en HTTPS-adresse på ens eget domæne forbliver robust og under ens kontrol.

Når en nøgle udskiftes, forbliver ældre signaturer verificerbare - den gamle nøgle verificerer fortsat det, den engang har signeret, uden at signere nye dokumenter. Og fordi en udsteder kan tage sit domæne med sig efter et udbyderskift, spejler Transpareo hver offentlig nøgle til en permanent adresse på tidspunktet for offentliggørelsen. På den måde forbliver hver DPP-version verificerbar, selvom den oprindelige host på et tidspunkt forsvinder.

EU-registreringen bærer et kvalificeret segl

Indsendelsen til det kommende EU-DPP-register kræver mere end en almindelig signatur: Hver registrering skal være forsynet med et kvalificeret elektronisk segl (QES) i henhold til eIDAS-forordningen 910/2014⁠. Et QES er hardwarebaseret og knyttet til en godkendt juridisk person - det højeste tillidsniveau, som EU-lovgivningen kender.

Denne mulighed for kvalificerede segl vil blive indført, så snart eIDAS-forordningen og registergrænsefladen er færdigudviklet. Transpareo vil til dette formål drive sin egen segltjeneste med en egen seglenhed og et kvalificeret certifikat fra D-Trust, en kvalificeret tillidstjenesteudbyder - således at producenter, der ikke selv driver en seglinfrastruktur, kan opfylde QES-kravet uden egen hardware.

Et arkiv, der overlever udbyderen

Så snart DPP’erne er registreret i EU-registret, arkiveres hver DPP-version desuden uændret i ti år - hverken producenten eller Transpareo kan ændre dem efterfølgende. For at sikre, at dette arkiv forbliver tilgængeligt, selv hvis Transpareo en dag ikke længere eksisterer, er dets finansiering sikret via en notariel deponering i Schweiz. Løftet er altså ikke kun teknisk, men også kontraktmæssigt udformet med henblik på lang levetid.

Sådan kontrollerer en tredjepart passet - helt uden os

Den afgørende test for tilliden til artefakten er, om nogen kan kontrollere passet uden vores infrastruktur. Fremgangsmåden:

  1. Hent bytes fra DPP-versionen fra en vilkårlig kilde (CDN, offentligt arkiv, EU-registret eller et tredjepartsarkiv)
  2. Kanoniser datasættet og beregn dets hash
  3. Hent udstederens og Transpareos offentlige nøgler via de adresser, der er angivet i passet
  4. Kontroller begge signaturer mod hashværdien - hvis begge stemmer overens, er passet ægte og uændret

Intet login, intet opkald til Transpareo, ingen afhængighed af en kørende platform.

Hvad der fungerer i dag, og hvad der er under forberedelse

Signaturer, browser-verifikation, DID:web-identitet og Bring Your Own Key (BYOK) er i brug. Det uforanderlige tiårige arkiv er oprettet og træder i kraft, så snart DPP’erne er registreret i EU-registret. Den kvalificerede elektroniske signatur (QES) til EU-registrering er planlagt, så snart eIDAS-forordningen og registergrænsefladen er færdigudviklet.

Princippet forbliver under alle omstændigheder det samme: Det, der en gang er signeret og arkiveret, forbliver verificerbart, uanset hvem der driver platformen i fremtiden.

Opdateringer vedrørende signaturer og tillid

Kryptografiske beviser, certifikater og registrering - de vigtigste nyheder leveret månedligt til din indbakke.