UN/CEFACTi ÜRO läbipaistvusprotokoll (UNTP) on kujunemas olev ülemaailmne standard, mis reguleerib digitaalsete tootepasside ja kontrollitavate tõendite ülesehitust, allkirjastamist ja kontrollimist. See on teadlikult hoitud lihtsana ja tootjaneutraalsena - ühine keel, millele saavad tugineda piirkondlikud kohustuslikud süsteemid, nagu ELi tootepass, selle asemel, et iga jurisdiktsioon ja iga pakkuja leiutaks oma formaadi.
UNTP on avalikustanud versiooni 0.7.0 arvamuste kogumiseks. Kuni versiooni 1.0 avaldamiseni saab iga isik ja organisatsioon avatud registri kaudu tagasisidet anda. Me oleme esitanud kuus kommentaari. Kahele neist on töörühm juba vastanud - ja üks neist on muutnud meie enda koodi.
Seda ei tohi segi ajada ELi konsultatsiooniga, milles me samuti osalesime: seal oli tegemist Euroopa Komisjoni kohustusliku DPP-registriga. UNTP on sellest üks tase madalam - globaalne tehniline alus, millele ELi register ja muud süsteemid saavad toetuda.
Miks me osaleme maailmastandardi väljatöötamises
Tootepass, mida suudab lugeda ja kontrollida vaid ühe pakkuja tarkvara, ei ole pass - see on lihtsalt silo, millel on parem nimi. DPP mõte on selles, et ostja, ringlussevõtja või turujärelevalveasutus saaks andmeid kontrollida mis tahes nõuetele vastava tööriistaga, mitte ainult meie omaga. Kus täpselt see vastavus määratletakse, otsustatakse standardis. Me eelistame sellele kaasa aidata, selle asemel et seda hiljem pärida.
1. Tõendid, mis püsivad aastakümneid (#678)
Praegune UNTP-profiil näeb ette W3C VC-JOSE-COSE-põhiseid ümbritsevaid tõendeid: allkiri ümbritseb dokumenti JWT-na. Passi puhul, mida tuleb kümme aastat arhiveerida, peegeldada ja selle sisu aadressi kaudu üles leida, on alternatiivil selged eelised. W3C Data Integrity järgi sisseehitatud tõendid jäävad dokumendisse endasse, säilivad igasuguse edasilevitamise korral ning kanoniseerimine JSON Canonicalization Scheme (RFC 8785) tagab stabiilse sisu-hash-väärtuse versioonide jälgimiseks. Oleme teinud ettepaneku lubada krüptokomplekti eddsa-jcs-2022 kui samaväärset vastavusvõimalust. Miks pass peab üldse oma väljastajat üle elama ja kuidas krüptograafilised tõendid seda tagavad, oleme põhjalikumalt käsitlenud artiklis allkirjade ja sertifikaatide kohta.
See kommentaar ei saanud mitte ainult vastust - see muutis ka meie enda verifitseerijat. Transpareo Time Machine 2.0.0 (20. juuni 2026) versiooniga oleme üle läinud vähendatud omaprofiililt standardile vastavale W3C-krüptokomplektile eddsa-jcs-2022. Nüüd saab iga suvaline andmete terviklikkuse verifitseerija kontrollida Transpareo-passi, mitte ainult meie enda tööriist. Me ei ole mitte ainult nõudnud koostalitlusvõimet, vaid oleme selle ka ellu viinud.
Samas kommentaaris tõstatasime kaks seotud küsimust: usaldusväärsed juhised selle kohta, kui kaua peab staatusloend olema kättesaadav, koos võimalusega vajaduse korral taastada tühistamisstaatus elutsükli sündmuste põhjal; ja idempotentne esitusviis semantilise rikkusega andmemudelist, et iga nõuetele vastav renderija kuvaks sama passi ühtmoodi, ilma kaasasolevate kuvamisjuhisteta.
2. Üksainus algoritm kogu usaldusahela jaoks (#683)
Kuidas kontrollija jõuab väljastaja DID-st digitaalse identiteedi ankruni, sealt registrisse ja edasi tootmiskohta, on praegu kirjeldatud mitmel leheküljel proosas - kuid mitte üheainsa algoritmina. Oleme pakkunud välja samm-sammulise verifitseerimisalgoritmi kogu usaldusahela jaoks: tõendite terviklikkus, väljastaja DID-i seostamine ankruga ja registriga, vastavuskriteeriumide võrdlemine, tootmiskoha kindlaksmääramine. Ilma selle ühe siduva kirjelduseta tõlgendavad sõltumatud rakendused hajutatud lõike erinevalt ja jõuavad erinevatele järeldustele selle kohta, kas pass on ehtne. Ka see kommentaar on kutsunud esile töörühma vastuse.
3. Ühe passi astmeline avalikustamine (#679)
Reguleeritud pass peab teenindama mitut sihtrühma: lai üldsus, volitatud huvitatud isikud, nagu ringlussevõtjad ja ametiasutused, näevad sama passi erinevaid osi - just seda näeb ette ELi patareimäärus. Oleme teinud ettepaneku käsitleda seda astmelist avalikustamist esmataseme standardjuhtumina, selle asemel et luua seda hiljem vastuvõtja-põhise krüpteeringuna.
4. Mitmekeelne sisu otse andmemudelis (#680)
UNTP esitab inimloetavaid andmeid praegu ühekeelsete märgijadadena. Reguleeritud, mitmekeelsetel turgudel sellest ei piisa - kogu ELis kehtiv pass vajab tekste mitmes keeles korraga. Oleme teinud ettepaneku kasutada JSON-LD keelekaarte, nii et üks väärtus sisaldab kõiki oma keeleversioone. Transpareo väljastab praegu passe 39 keeles - seda lünka tunneme iga päev. Kuidas me selle keelelise mitmekesisusega üldse toime tuleme, kirjeldame artiklis tehisintellekti tõlke kohta.
5. Pikaajaline kontrollitavus kui arhitektuuriline küsimus (#681)
Seotud esimese punktiga, kuid põhimõttelisem: tõendid, DID-dokumendid ja staatusnimekirjad peavad jääma tuvastatavaks üle kümne aasta, vastasel juhul ei ole vana passi enam võimalik kontrollida, kuigi see oli kehtiv. Oleme palunud mittenormatiivseid suuniseid selle kohta, kuidas hoida võtmeid, DID-dokumente ja staatusnimekirju püsivalt kättesaadavana - see on küsimus, mis kerkib esile alles aastate pärast, ja just seetõttu peaks see juba täna standardisse kuuluma.
6. Sild ELi tootepassi juurde (#682)
UNTP on teadlikult lihtsustatud B2B-pass. ELi tootepass on siduv süsteem, millel on oma atribuutide loetelu. Rakendajad vajavad selget seost nende kahe vahel - profiili, mis näitab, kuidas UNTP-pass täidab regulatiivse passi kohustuslikud väljad. Just selle ühenduskohtaga tegeleme me niikuinii iga päev, seetõttu nõudsime selle silla loomist.
Miks me seda teeme
Standard muutub paremaks, kui sõna saavad need, kes sertifikaate tegelikult allkirjastavad ja kontrollivad - mitte ainult need, kes neist kirjutavad. Kaks meie kuuest kommentaarist on juba vastuse saanud, üks neist on pannud meie verifitseerija üle standardile vastavale krüptokomplektile. Seega ei istu me enam kõrval, vaid oleme tarneahela töörühma ekspertide ringis.
Meie klientide jaoks ei ole see eesmärk omaette. Mida täpsem ja tootjast sõltumatu on maailmastandard, seda turvalisem on nende investeering: nende passide andmed jäävad eksporditavaks ja kontrollitavaks iga standardile vastava tööriistaga. Ei mingit lukustamist, ei mingit formaati, mis sõltub ühestainsast pakkujast.
Kes soovib osaleda
Avalik arutelu jätkub. Kõik esitatud punktid on avalikult kättesaadavad UNTP avalikus probleemide registris. Tarneahela töörühm kohtub regulaarselt videokonverentsi teel; kohtumiste kuupäevad on esitatud UNTP juhtimise lehel. Kõik, kes hakkavad tulevikus tootepasse väljastama või kontrollima - tootjad, teenusepakkujad, ringlussevõtjad, ametiasutused -, peaksid vähemalt korra läbi lugema lahtised küsimused. Ka lühike, asjatundlik ja täpne tagasiside on abiks.
Ja kes soovib juba täna Transpareo-passi iseseisvalt kontrollida, saab seda teha Transpareo Time Machine’i abil - alates versioonist 2.0.0 just selle krüptokomplektiga, mida me UNTP-profiilis reklaamisime.