UN/CEFACT Jungtinių Tautų skaidrumo protokolas (UNTP) yra besiformuojantis pasaulinis standartas, reglamentuojantis, kaip kurti, pasirašyti ir tikrinti skaitmeninius produktų pasus bei patikrinamus įrodymus. Jis sąmoningai sukurtas kaip paprastas ir gamintojams neutralus dokumentas - tai bendra kalba, kuria gali remtis regioniniai privalomi reglamentai, pavyzdžiui, ES produkto pasas, vietoj to, kad kiekviena jurisdikcija ir kiekvienas tiekėjas sugalvotų savo formatą.
UNTP pateikė versiją 0.7.0 viešam vertinimui. Iki versijos 1.0 patvirtinimo kiekvienas asmuo ir kiekviena organizacija gali pateikti atsiliepimus per atvirą registrą. Mes pateikėme šešis komentarus. Į du iš jų darbo grupė jau atsakė, o vienas iš jų pakeitė mūsų pačių kodą.
To nereikėtų painioti su ES konsultacijomis, kuriose taip pat dalyvavome: ten buvo kalbama apie privalomąjį ES Komisijos DPP registrą. UNTP yra žemesnis lygmuo - pasaulinė techninė infrastruktūra, kuria gali remtis ES registras ir kitos sistemos.
Kodėl prisidedame prie pasaulinio standarto kūrimo
Produkto pasas, kurį gali skaityti ir tikrinti tik vieno tiekėjo programinė įranga, nėra pasas - tai tiesiog „silo“ su gražesniu pavadinimu. DPP prasmė yra ta, kad pirkėja, perdirbėjas ar rinkos priežiūros institucija galėtų patikrinti duomenis bet kokia atitikties reikalavimus atitinkančia priemone, o ne tik mūsų. Kur tiksliai apibrėžiama ši atitiktis, nusprendžiama standarte. Mes mieliau prisidedame prie jo kūrimo, nei vėliau jį perimame.
1. Įrodymai, išliekantys dešimtmečius (#678)
Dabartinis UNTP profilis numato apgaubiančius įrodymus pagal W3C VC-JOSE-COSE: parašas apgaubia dokumentą kaip JWT. „Pass“, kuris turi būti archyvuojamas, dubliuojamas ir randamas pagal jo turinio adresą dešimt metų, ši alternatyva turi akivaizdžių privalumų. Įterpti įrodymai pagal W3C duomenų vientisumą lieka pačiame dokumente, išlieka po kiekvieno tolesnio platinimo, o kanonizacija pagal JSON kanonizacijos schemą (RFC 8785) užtikrina stabilų turinio hashą versijų sekimui. Mes pasiūlėme leisti naudoti kriptografinį rinkinį eddsa-jcs-2022 kaip lygiavertę atitikties galimybę. Kodėl pasas iš viso turi išlikti ilgiau nei jo išdavėjas ir kaip tai užtikrina kriptografiniai įrodymai, išsamiai aptarėme straipsnyje apie parašus ir sertifikatus.
Šis komentaras ne tik sulaukė atsakymo - jis pakeitė mūsų patį tikrinimo įrankį. Su „Transpareo Time Machine 2.0.0“ (2026 m. birželio 20 d.) mes perėjome nuo supaprastinto vidinio profilio prie standartą atitinkančio W3C kriptografinio rinkinio „eddsa-jcs-2022“. Dėl to bet kuris duomenų vientisumo tikrinimo įrankis gali patikrinti „Transpareo“ pasą, ne tik mūsų pačių įrankis. Mes ne tik reikalavome sąveikumo, bet ir jį užtikrinome.
Tame pačiame komentare pasiūlėme du susijusius dalykus: patikimus reikalavimus, kiek laiko turi būti prieinamas būsenų sąrašas, su galimybe prireikus atkurti atšaukimo būseną remiantis gyvavimo ciklo įvykiais; ir idempotentinį atvaizdavimą, pagrįstą semantiškai turtingu duomenų modeliu, kad kiekvienas reikalavimus atitinkantis atvaizdavimo įrankis tą patį pasą rodytų vienodai, be papildomų atvaizdavimo instrukcijų.
2. Vienas algoritmas visai pasitikėjimo grandinei (#683)
Kaip tikrintojas nuo išdavėjo DID per „Digital Identity Anchor“ patenka į registrą ir toliau į gamybos vietą, šiandien aprašyta keliuose puslapiuose proza - bet ne kaip vienas algoritmas. Mes pasiūlėme žingsnis po žingsnio patikrinimo algoritmą visai pasitikėjimo grandinei: įrodymo vientisumas, išdavėjo DID susiejimas su „Anchor“ ir registru, atitikties kriterijų palyginimas, gamybos vietos nustatymas. Nesant šio vieningo privalomo aprašymo, nepriklausomi įgyvendintojai skirtingai interpretuoja išskirstytus paragrafus ir priima skirtingus sprendimus dėl paso autentiškumo. Šis komentaras taip pat sulaukė darbo grupės atsakymo.
3. Vieno paso pakopinis atskleidimas (#679)
Reglamentuojamas pasas turi tenkinti kelių tikslinių grupių poreikius: plačioji visuomenė, įgalioti suinteresuoti asmenys, pavyzdžiui, perdirbėjai ir valdžios institucijos, mato skirtingas to paties paso ištraukas - būtent tai numato ES baterijų reglamentas. Mes pasiūlėme šį pakopinį atskleidimą traktuoti kaip pirmos klasės standartinį atvejį, o ne vėliau jį nustatyti kaip šifravimą pagal kiekvieną gavėją.
4. Daugiakalbė informacija tiesiogiai duomenų modelyje (#680)
Šiuo metu UNTP žmonėms suprantamą informaciją pateikia kaip vienakalbes simbolių sekas. Reglamentuojamose, daugiakalbėse rinkose to nepakanka - visoje ES galiojančiame pase tekstai turi būti pateikiami keliomis kalbomis vienu metu. Mes pasiūlėme naudoti JSON-LD kalbų korteles, kad viena reikšmė apimtų visas jos kalbos versijas. „Transpareo“ šiuo metu išduoda pasus 39 kalbomis - šią spragą jaučiame kasdien. Kaip apskritai susidorojame su šia kalbų įvairove, aprašome straipsnyje apie AI vertimą.
5. Ilgalaikis patikrinamumas kaip architektūros klausimas (#681)
Susijęs su pirmuoju punktu, bet esminis: įrodymai, DID dokumentai ir būsenų sąrašai turi išlikti atsekami daugiau nei dešimtmetį, kitaip senas pasas kada nors nebegalės būti patikrintas, nors jis ir buvo galiojantis. Mes paprašėme pateikti nenormatyvias gaires, kaip užtikrinti, kad raktai, DID dokumentai ir būsenų sąrašai būtų nuolat prieinami - tai klausimas, kuris iškils tik po kelerių metų, ir būtent dėl to jis turi būti įtrauktas į standartą jau šiandien.
6. Tiltas į ES produkto pasą (#682)
UNTP sąmoningai sukurta kaip paprastas B2B pasas. ES produkto pasas yra privaloma sistema su savo atributų sąrašu. Įgyvendintojams reikalingas aiškus abiejų sistemų atitikimas - profilis, kuris parodytų, kaip UNTP pasas užpildo privalomus reguliavimo paso laukelius. Būtent šią sąsają mes ir taip kasdien tobuliname, todėl ir pareikalavome sukurti šį tiltą.
Kodėl tai darome
Standartas tampa geresnis, kai į diskusijas įsitraukia žmonės, kurie iš tikrųjų pasirašo ir tikrina pasus - ne tik tie, kurie apie juos rašo. Į du iš šešių mūsų komentarų jau gautas atsakymas, o vienas iš jų paskatino mūsų tikrinimo įrankį pereiti prie standartą atitinkančio kriptografinio rinkinio. Dėl to mes nebesėdime nuošalyje, o dalyvaujame tiekimo grandinės darbo grupės ekspertų diskusijose.
Mūsų klientams tai nėra savitikslis dalykas. Kuo tikslesnis ir nešališkesnis gamintojų atžvilgiu yra pasaulinis standartas, tuo saugesnė lieka jų investicija: jų pasų duomenys išlieka eksportuojami ir patikrinami bet kuriuo standartą atitinkančiu įrankiu. Nėra priklausomybės nuo vieno tiekėjo, nėra formato, kuris priklauso nuo vieno tiekėjo.
Kas nori prisijungti
Viešasis svarstymas tęsiasi. Visi pateikti klausimai yra viešai skelbiami UNTP viešajame problemų registre. Tiekimo grandinės darbo grupė reguliariai susitinka per vaizdo skambučius; susitikimų datos nurodytos UNTP valdymo puslapyje. Visi, kurie ateityje išduos ar tikrins produktų pasus - gamintojai, paslaugų teikėjai, perdirbėjai, valdžios institucijos - turėtų bent kartą susipažinti su neišspręstais klausimais. Net trumpas, techniškai tikslus atsiliepimas yra naudingas.
O kas jau šiandien nori savarankiškai patikrinti „Transpareo“ pasą, gali tai padaryti naudodamasis „Transpareo Time Machine“ - nuo 2.0.0 versijos su ta pačia kriptografine programine įranga, kurią mes rekomendavome UNTP profilyje.