デジタル製品パスポート(DPP)は、10年以上検証可能な状態を維持しなければならない。しかし、ソフトウェアプラットフォームがこれほど長く存続することはめったにない。この矛盾には明確な帰結がある。すなわち、DPPへの信頼はプロバイダーに依存するのではなく、データセットそのものに結びついていなければならない。企業ではなく、成果物そのものへの信頼である。
これが実際にどのように機能するかは、4つの構成要素から説明できる。
すべてのDPPバージョンには署名が付与される
固定化の前に、Transpareoはデータセットがカテゴリー固有の必須項目を満たしているかを確認する(SHACL検証)。 この検証に失敗した場合、公開は拒否されます。完全かつ規則に準拠したパスにのみ署名が行われます。
DPPが公開されると、Transpareoはその内容をDPPバージョンとして固定し、2つの独立した鍵(発行者の鍵とTranspareoの鍵)で署名します。 「Bring Your Own Key(BYOK)」方式では、発行者が独自の署名エンドポイントを運用します。Transpareoは秘密鍵を一切保持せず、独立した対署名を追加するのみであるため、発行者による署名はTranspareo自身では生成できないものとなります。
このプロセスでは、データセットの正規化形式( JSON Canonicalization Scheme、RFC 8785) を通じて、Ed25519 方式が採用されています。2つの署名、互いに独立した2つの認証機関。
検証は閲覧者のブラウザ内で行われます。オープンソースのレンダラーであるTranspareo Time Machineは、バイトデータを読み込み、ハッシュを再計算し、当社のサーバーに問い合わせることなく両方の署名を検証します。疑わしいと思われる方は、コードを確認してください。
発行者の身元は独自のドメイン上に公開されています
検証者が公開鍵を見つけられるように、各発行者は自身のドメイン上で DID:web として身元情報を公開しており、これは /.well-known/ 配下の明確に定義されたアドレスを通じて参照可能です。 X.509形式の従来の証明書を意図的に採用していないのは、証明書チェーンは数十年で失効してしまうのに対し、自身のドメイン上のHTTPSアドレスは堅牢であり、かつ自身の管理下にあるためです。
鍵がローテーションされても、古い署名は引き続き検証可能です。古い鍵は、新たに証明書を署名することはなく、かつて署名したものを引き続き検証します。また、発行者がプロバイダーを変更した際にもドメインを引き継ぐことができるため、Transpareoは公開時点のすべての公開鍵を永続的なアドレスにミラーリングします。 これにより、元のホストがいつ消滅しても、すべてのDPPバージョンの検証が可能になります。
EU登録には適格電子印章が付与されます
今後のEU-DPPレジストリへの申請には、通常の署名以上のものが求められます: すべての登録には、[eIDAS規則 910/2014] (https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:02014R0910-20240520)に準拠した適格電子印章(QES)で署名されなければなりません。QESはハードウェアベースであり、検証済みの法人に紐付けられています。これは、EU法において認められている最高レベルの信頼性です。
この適格電子印鑑機能は、eIDAS法および登録インターフェースが最終確定次第、提供される予定です。 Transpareoは、自社で管理する電子署名デバイスと、認定信頼サービスプロバイダーであるD-Trust発行の認定証明書を用いた独自の電子署名サービスを運用する予定です。これにより、自社で電子署名インフラを運用していないメーカーでも、独自のハードウェアを持たずにQESの要件を満たすことが可能になります。
プロバイダーの存続を超えて残るアーカイブ
DPPがEUレジストリに登録されると、各DPPバージョンはさらに10年間、改変不可能な状態でアーカイブされます。メーカーもTranspareoも、事後的にこれを変更することはできません。 万が一Transpareoが将来存在しなくなった場合でも、このアーカイブが引き続きアクセス可能であるよう、スイスの公証人による預託を通じて資金調達が確保されています。つまり、この約束は技術的な面だけでなく、契約上も長期的な存続が保証されているのです。
このようにして、第三者によってパスが検証されます――当社を介さずに
このアーティファクトに対する信頼性を判断する決定的なテストは、当社のインフラを利用せずに誰かがパスを検証できるかどうかです。その手順は以下の通りです:
- 任意のソース(CDN、公開アーカイブ、EU登録簿、またはサードパーティのアーカイブ)からDPPバージョンのバイトデータを取得する
- データセットを正規化し、そのハッシュ値を算出する
- パスに記載されたアドレスから、発行者とTranspareoの公開鍵を取得する
- 両方の署名をハッシュ値と照合する。両方が一致すれば、パスポートは本物であり、改ざんされていない
ログインも、Transpareoへの電話も、稼働中のプラットフォームへの依存も一切不要です。
現在稼働中の機能と準備中の機能
署名、ブラウザによる検証、DID:web ID、およびBYOK(Bring Your Own Key)が導入されています。改ざん不可能な10年間のアーカイブが構築されており、DPPがEU登録簿に登録され次第、運用が開始されます。 eIDAS法規制および登録機関とのインターフェースが確定次第、EU登録向けの適格電子署名(QES)機能の導入が予定されています。
いずれの場合も、原則は変わりません。一度署名され、アーカイブされたものは、将来誰がプラットフォームを運営することになっても、検証可能な状態が維持されます。