Pasitikėjimas, kuris išlieka ilgiau nei pats produktas: parašai ir sertifikatai DPP sistemoje
TinklaraštisTechnika30/05/2026

Pasitikėjimas, kuris išlieka ilgiau nei pats produktas: parašai ir sertifikatai DPP sistemoje

DPP turi išlikti patikrinamas dešimt metų - net jei platformos teikėjas rytoj išnyktų. Atsakymas yra ne pasitikėjimas įmone, o pasitikėjimas pačiu artefaktu.

Skaitmeninis produkto pasas turi išlikti patikrinamas dešimt metų ir ilgiau. Programinės įrangos platforma retai veikia taip ilgai. Šis prieštaravimas turi aiškią pasekmę: pasitikėjimas DPP neturi priklausyti nuo tiekėjo, o turi būti susietas su pačiu duomenų rinkiniu. Pasitikėjimas artefaktui, o ne įmonei.

Kaip tai atrodo praktikoje, galima parodyti remiantis keturiais pagrindiniais elementais.

Kiekviena DPP versija yra pasirašoma

Prieš įšaldant duomenų rinkinį, „Transpareo“ patikrina, ar jis atitinka kategorijai būdingus privalomus laukelius (SHACL patvirtinimas). Jei šis patikrinimas nepavyksta, paskelbimas atmetamas - pasirašomas tik išsamus, taisykles atitinkantis pasas.

Paskelbus DPP, „Transpareo“ įšaldo jo turinį kaip DPP versiją ir pasirašo ją dviem nepriklausomais raktas: vienu - išdavėjo, kitu - „Transpareo“. Naudodamas „Bring Your Own Key“ (BYOK) metodą, gamintojas valdo savo paties parašo galinį tašką - „Transpareo“ niekada nesaugo privataus rakto ir tik prideda nepriklausomą priešingą parašą, todėl išdavėjo parašas yra toks, kurio „Transpareo“ pats negali sukurti.

Naudojamas Ed25519⁠ metodas, taikant kanoninę duomenų rinkinio formą ( JSON kanonizacijos schema, RFC 8785⁠). Dvi parašai, dvi viena nuo kitos nepriklausomos institucijos.

Patikrinimas atliekamas peržiūrinčiojo naršyklėje. Atviro kodo rendereris „Transpareo Time Machine“ įkelia baitus, iš naujo apskaičiuoja hashą ir patikrina abu parašus, nesikreipdamas į mūsų serverį. Kas abejoja, gali perskaityti kodą.

Išduotojo tapatybė nurodyta jo pačio domeno svetainėje

Kad tikrintojas galėtų rasti viešuosius raktus, kiekvienas išdavėjas savo tapatybę skelbia kaip DID:web⁠ savo domeno vardu, kurią galima rasti pagal aiškiai apibrėžtą adresą /.well-known/. Sąmoningai nenaudojamas klasikinis sertifikatas X.509 prasme: sertifikatų grandinės netenka galiojimo per dešimtmečius, o HTTPS adresas savo domeno svetainėje išlieka patikimas ir jūsų kontroliuojamas.

Jei raktas keičiamas, senesni parašai išlieka patikrinami - senasis raktas ir toliau patvirtina tai, ką kadaise pasirašė, tačiau nepasirašo naujų dokumentų. O kadangi išdavėjas, pakeitęs paslaugų teikėją, galėtų perkelti savo domeną, „Transpareo“ kiekvieną viešąjį raktą jo paskelbimo metu atspindi nuolatinėje vietoje. Taigi kiekviena DPP versija išlieka patikrinama, net jei pradinis serveris kada nors išnyks.

ES registracija pažymėta kvalifikuotu elektroniniu parašu

Pateikimas į būsimą ES DPP registrą reikalauja daugiau nei įprasto parašo: Kiekviena registracija turi būti patvirtinta kvalifikuotu elektroniniu antspaudu (QES) pagal eIDAS reglamentą 910/2014⁠. QES yra aparatinės įrangos pagrindu veikiantis ir susietas su patikrintu juridiniu asmeniu - tai aukščiausias pasitikėjimo lygis, numatytas ES teisėje.

Ši kvalifikuotojo elektroninio parašo funkcija bus įdiegta, kai tik bus galutinai patvirtintas eIDAS teisės aktas ir registro sąsaja. „Transpareo“ šiam tikslui teiks savo antspaudo paslaugą, naudodama nuosavą antspaudo įrenginį ir kvalifikuotą sertifikatą, išduotą „D-Trust“ - kvalifikuoto pasitikėjimo paslaugų teikėjo, - kad gamintojai, kurie patys nevaldo antspaudo infrastruktūros, galėtų įvykdyti QES reikalavimą be savo aparatinės įrangos.

Archyvas, kuris išliks ilgiau nei paslaugos teikėjas

Kai tik DPP bus įregistruoti ES registre, kiekviena DPP versija bus archyvuojama nepakeičiama dar dešimt metų - nei gamintojas, nei „Transpareo“ negalės jos pakeisti vėliau. Kad šis archyvas liktų prieinamas net ir tuo atveju, jei vieną dieną „Transpareo“ nebeegzistuotų, jo finansavimas užtikrinamas notariškai patvirtintu indėliu Šveicarijoje. Taigi šis įsipareigojimas dėl ilgalaikiškumo yra ne tik techninis, bet ir sutartinis.

Taip trečioji šalis patikrina pasą - visiškai be mūsų dalyvavimo

Lemiamas pasitikėjimo artefaktu testas yra tai, ar kas nors gali patikrinti pasą be mūsų infrastruktūros. Eiga:

  1. Gauti DPP versijos baitus iš bet kurio šaltinio (CDN, viešojo archyvo, ES registro ar trečiojo asmens archyvo)
  2. Kanonizuoti duomenų rinkinį ir apskaičiuoti jo hashą
  3. Atsisiųsti išdavėjo ir „Transpareo“ viešuosius raktus per pase nurodytus adresus
  4. Patikrinti abu parašus pagal hashą - jei abu sutampa, pasas yra autentiškas ir nepakeistas

Nereikia prisijungti, skambinti į „Transpareo“, nepriklausoma nuo veikiančios platformos.

Kas veikia šiandien ir kas yra paruošta

Naudojami parašai, naršyklės patikrinimas, „DID:web“ tapatybė ir „Bring Your Own Key“ (BYOK) funkcija. Sukurtas nepakeičiamas dešimties metų archyvas, kuris pradės veikti, kai tik DPP bus įregistruoti ES registre. Kvalifikuoto elektroninio parašo (QES) galimybė ES registracijai bus numatyta, kai tik bus galutinai patvirtintas eIDAS teisės aktas ir registro sąsaja.

Principas bet kuriuo atveju išlieka tas pats: kas kartą pasirašyta ir archyvuota, lieka patikrinama, nepriklausomai nuo to, kas rytoj valdys platformą.

Atnaujinimai, susiję su parašais ir pasitikėjimu

Kriptografiniai įrodymai, sertifikatai ir registracija - svarbiausios naujienos kas mėnesį tiesiai į jūsų pašto dėžutę.