Luottamus, joka kestää tuotteen elinkaaren: allekirjoitukset ja varmenteet DPP:ssä
BlogiTekniikka30/05/2026

Luottamus, joka kestää tuotteen elinkaaren: allekirjoitukset ja varmenteet DPP:ssä

DPP:n on oltava tarkastettavissa kymmenen vuoden ajan - vaikka alustan tarjoaja katoaisi huomenna. Ratkaisu ei ole luottamus yritykseen, vaan itse tuotteeseen.

Digitaalisen tuotepassin on oltava tarkastettavissa vähintään kymmenen vuotta. Ohjelmistoalusta harvoin kestää niin kauan. Tällä ristiriidalla on selkeä seuraus: luottamus DPP:hen ei saa riippua palveluntarjoajasta, vaan sen on liityttävä itse tietokantaan. Luottamus kohteeseen, ei yritykseen.

Neljän peruselementin avulla voidaan havainnollistaa, miten tämä toimii käytännössä.

Jokainen DPP-versio allekirjoitetaan

Ennen sisällön lukitsemista Transpareo tarkistaa tietojoukon kategoria-kohtaisten pakollisten kenttien perusteella (SHACL-validointi). Jos tarkistus epäonnistuu, julkaisua ei sallita - allekirjoitetaan vain täydellinen, sääntöjen mukainen passi.

Kun DPP julkaistaan, Transpareo jäädyttää sen sisällön DPP-versiona ja allekirjoittaa sen kahdella riippumattomalla avaimella: yhdellä myöntäjän ja yhdellä Transpareon avaimella. Bring Your Own Key (BYOK) -menetelmällä valmistaja ylläpitää omaa allekirjoituspäätepistettä - Transpareo ei koskaan säilytä yksityistä avainta, vaan lisää vain riippumattoman vastallekirjoituksen, jolloin myöntäjän allekirjoitus on sellainen, jota Transpareo ei itse voi luoda.

Menetelmänä käytetään Ed25519⁠ tietueen kanonisen muodon kautta ( JSON Canonicalization Scheme, RFC 8785⁠). Kaksi allekirjoitusta, kaksi toisistaan riippumatonta auktoriteettia.

Tarkistus tapahtuu käyttäjän selaimessa. Avoimen lähdekoodin renderöintiohjelma Transpareo Time Machine lataa tavut, laskee hajautusarvon uudelleen ja tarkistaa molemmat allekirjoitukset ottamatta yhteyttä palvelimeemme. Epäileväinen käyttäjä voi lukea koodin.

Myöntäjän identiteetti on omalla verkkotunnuksella

Jotta tarkastaja löytää julkiset avaimet, jokainen myöntäjä julkaisee identiteettinsä DID:web⁠ -muodossa omalla verkkotunnuksellaan, joka on löydettävissä tarkasti määritellyn osoitteen /.well-known/ kautta. Tarkoituksella ei käytetä perinteistä X.509-tyyppistä varmennetta: varmenneketjut vanhenevat vuosikymmenien kuluessa, mutta HTTPS-osoite omalla verkkotunnuksella pysyy vakaana ja hallinnassasi.

Kun avain vaihdetaan, vanhemmat allekirjoitukset pysyvät todennettavissa - vanha avain todentaa edelleen sen, mitä se on aikoinaan allekirjoittanut, ilman että se allekirjoittaa uusia asiakirjoja. Ja koska myöntäjä voi siirtää verkkotunnuksensa palveluntarjoajan vaihdon yhteydessä, Transpareo peilaa jokaisen julkisen avaimen julkaisuhetkellä pysyvään osoitteeseen. Näin jokainen DPP-versio pysyy todennettavissa, vaikka alkuperäinen isäntä katoaisikin jossain vaiheessa.

EU-rekisteröintiin kuuluu pätevä sähköinen sinetti

Hakemus tulevaan EU-DPP-rekisteriin vaatii enemmän kuin tavallisen allekirjoituksen: Jokainen rekisteröinti on varustettava eIDAS-asetuksen 910/2014⁠ mukaisella pätevällä sähköisellä sinetillä (QES). QES on laitteistopohjainen ja sidottu tarkastettuun oikeushenkilöön - se on EU-lainsäädännön korkein luotettavuustaso.

Tämä pätevän varmenteen käyttö on suunniteltu otettavaksi käyttöön heti, kun eIDAS-asetus ja rekisterirajapinta ovat lopullisessa muodossaan. Transpareo tulee tätä varten ylläpitämään omaa varmennepalvelua, jossa käytetään itse hallinnoitua varmennelaitetta ja pätevää varmennetta D-Trustilta, joka on pätevä luottamuspalvelujen tarjoaja - näin valmistajat, jotka eivät itse ylläpidä varmenneinfrastruktuuria, voivat täyttää QES-velvoitteen ilman omaa laitteistoa.

Arkisto, joka säilyy palveluntarjoajaa pidempään

Heti kun DPP:t on rekisteröity EU-rekisteriin, jokainen DPP-versio arkistoidaan lisäksi kymmeneksi vuodeksi muuttumattomana - sen jälkeen niitä ei voi muuttaa jälkikäteen sen enempää valmistaja kuin Transpareo. Jotta tämä arkisto pysyy saatavilla myös silloin, kun Transpareoa ei enää jonain päivänä ole olemassa, sen rahoitus on turvattu notaarin toimesta Sveitsissä tehdyn talletuksen avulla. Lupaus on siis suunniteltu pitkäikäiseksi paitsi teknisesti myös sopimuksellisesti.

Näin kolmas osapuoli tarkistaa passin - täysin ilman meitä

Ratkaiseva testi artefaktin luotettavuudelle on se, voiko joku tarkistaa passin ilman infrastruktuuriamme. Menettely:

  1. Haetaan DPP-version tavut mistä tahansa lähteestä (CDN, julkinen arkisto, EU:n rekisteri tai kolmannen osapuolen arkisto)
  2. Kanonisoidaan tietue ja lasketaan sen hajautusarvo
  3. Haetaan myöntäjän ja Transpareon julkiset avaimet passissa mainituista osoitteista
  4. Tarkista molemmat allekirjoitukset hajautusarvoa vastaan - jos molemmat täsmäävät, passi on aito ja muuttumaton

Ei kirjautumista, ei puhelua Transpareoon, ei riippuvuutta toimivasta alustasta.

Mikä on tällä hetkellä käytössä ja mitä on valmisteltu

Allekirjoitukset, selaimen tarkistus, DID:web-identiteetti ja Bring Your Own Key (BYOK) ovat käytössä. Muuttumaton kymmenvuotinen arkisto on luotu ja se otetaan käyttöön heti, kun DPP:t on rekisteröity EU:n rekisteriin. EU-rekisteröintiä varten suunniteltu pätevä sähköinen allekirjoitus (QES) otetaan käyttöön heti, kun eIDAS-asetus ja rekisterirajapinta ovat valmiit.

Periaate pysyy joka tapauksessa samana: kerran allekirjoitettu ja arkistoitu aineisto pysyy todennettavissa riippumatta siitä, kuka alustaa huomenna ylläpitää.

Allekirjoitusten ja luottamuksen päivitykset

Salaustekniset todisteet, varmenteet ja rekisteröinti - tärkeimmät kuukausittaiset uutiset suoraan sähköpostiisi.