Fiduċja li ddum aktar mill-prodott: Firmi u ċertifikati fid-DPP
BlogTeknoloġija30/05/2026

Fiduċja li ddum aktar mill-prodott: Firmi u ċertifikati fid-DPP

DPP għandu jibqa' verifikabbli għal għaxar snin - anki jekk il-fornitur tal-pjattaforma jisparixxi għada. It-tweġiba mhix fit-twemmin fil-kumpanija, iżda fit-twemmin fl-artefatt innifsu.

Passaport Diġitali tal-Prodott għandu jibqa’ verifikabbli għal għaxar snin jew aktar. Pjattaforma tas-softwer rari ddum daqshekk. Din il-kontradizzjoni għandha implikazzjoni ċara: il-fiduċja f’DPP ma għandhiex tiddependi fuq il-fornitur, iżda trid tkun marbuta mad-dataset innifsu. Fiduċja fl-artefatt, mhux fil-kumpanija.

Erba’ elementi ewlenin juru kif dan jaħdem fil-prattika.

Kull verżjoni tal-DPP tiġi ffirmata

Qabel ma jiffriża d-dejta, Transpareo jiċċekkja s-sett tad-dejta kontra l-kampijiet obbligatorji speċifiċi għall-kategorija (validazzjoni SHACL). Jekk dan iċċekkjar jonqos, il-pubblikazzjoni tiġi miċħuda - jingħata firma biss lil passaport komplut u konformi.

Meta DPP tiġi ppubblikata, Transpareo jiffriża l-kontenut tagħha bħala verżjoni ta’ DPP u jagħtiha firma b’żewġ ċwievet indipendenti: wieħed mill-emittent, u wieħed minn Transpareo. Bil-Bring Your Own Key (BYOK), l-emittent jopera l-endpoint tas-sinjatura tiegħu stess - Transpareo qatt ma jżomm iċ-ċavetta privata u sempliċement iżid is-sinjatura indipendenti, u b’hekk jiżgura li s-sinjatura tal-emittent hija waħda li Transpareo innifsu ma jistax jiġġenera.

L-iskema Ed25519⁠ tintuża permezz ta’ forma kanonika tal-grupp tad-dejta (il- Skema ta’ Kanonikalizzazzjoni JSON, RFC 8785⁠). Żewġ firmi, żewġ awtoritajiet indipendenti.

Il-verifika ssir fil-browser tal-utent. Ir-renderer open-source ta’ Transpareo Time Machine jillgħab il-bytes, jerġa’ jikkalkula l-hash u jivverifika iż-żewġ sinjaturi mingħajr ma jikkuntattja lil ebda wieħed mis-servers tagħna. Kull min għandu dubji jista’ jaqra l-kodiċi.

L-identità tal-emittent tinsab fuq id-dominju tagħhom stess

Biex il-verifikatur ikun jista’ jsib iċ-ċwievet pubbliċi, kull emittent jippubblika l-identità tiegħu bħala DID:web⁠ fuq id-dominju tiegħu stess, aċċessibbli permezz ta’ indirizz definit sew f’/.well-known/. Dan b’mod deliberat mhux ċertifikat tradizzjonali fis-sens ta’ X.509: il-katini taċ-ċertifikati jiskadew matul id-deċennji, filwaqt li indirizz HTTPS fuq id-dominju tiegħek stess jibqa’ robust u taħt il-kontroll tiegħek.

Meta ċavetta tiġi mrotata, is-sinjaturi l-aktar antiki jibqgħu verifikabbli - iċ-ċavetta l-qadima tkompli tivverifika dak li kien iffirma qabel, mingħajr ma tiffirma ċertifikati ġodda. U peress li emittent jista’ jieħu d-dominju tiegħu miegħu wara li jibdel il-fornituri, Transpareo jirrifletti kull ċavetta pubblika għal indirizz permanenti fil-ħin tal-pubblikazzjoni. Dan jiżgura li kull verżjoni tal-DPP tibqa’ verifikabbli, anke jekk il-host oriġinali jisparixxi f’xi punt.

Ir-reġistrazzjoni tal-UE għandha siġill elettroniku kwalifikat

Is-sottomissjoni lir-reġistru DPP tal-UE li jmiss teħtieġ aktar minn firma standard: Kull reġistrazzjoni trid tkun akkumpanjata minn siġill elettroniku kwalifikat (QES) skont ir-Regolament eIDAS 910/2014⁠. Siġill elettroniku kwalifikat (QES) huwa bbażat fuq hardware u marbut ma’ entità legali vverifikata - l-ogħla livell ta’ fiduċja rikonoxxut taħt il-liġi tal-UE.

Din il-kapaċità ta’ siġill kwalifikat hija pjanata biex tiġi implimentata hekk kif il-leġiżlazzjoni eIDAS u l-interface tar-reġistru jkunu finalizzati. Għal dan l-għan, Transpareo se tħaddem is-servizz tagħha ta’ siġillar stess billi tuża apparat ta’ siġillar ospitat lokalment u ċertifikat kwalifikat minn D-Trust, fornitur tas-servizz ta’ fiduċja kwalifikat - li jippermetti lill-manifatturi li ma jħaddmux l-infrastruttura tagħhom stess ta’ siġillar biex jikkonformaw mar-rekwiżit tal-QES mingħajr ma jkollhom bżonn l-hardware tagħhom stess.

Arċivju li jdum aktar mill-fornitur

Ladarba l-DPPs ikunu rreġistrati fir-reġistru tal-UE, kull verżjoni tal-DPP se tiġi arkivjata wkoll f’forma li ma tistax tinbidel għal għaxar snin - kemm il-manifattur kif ukoll Transpareo ma jkollhomx il-possibbiltà li jimmodifikawhom b’mod retrospettiv. Biex jiġi żgurat li dan l-arkivju jibqa’ aċċessibbli anki jekk Transpareo tieqaf teżisti xi darba, il-finanzjament tiegħu huwa assigurat permezz ta’ depożitu notarili fiż-Żvizzera. Għalhekk, l-impenn huwa mfassal għal durabilità mhux biss teknikament iżda wkoll kuntrattwalment.

Kif parti terza tivverifika l-pass - kompletament mingħajrna

It-test deċiżiv tal-fiduċja fl-artefatt huwa jekk xi ħadd jistax jivverifika l-pass mingħajr l-infrastruttura tagħna. Il-proċess:

  1. Irkuprar il-bytes tal-verżjoni DPP minn kwalunkwe sors (CDN, arkivju pubbliku, ir-reġistru tal-UE jew arkivju ta’ parti terza)
  2. Ikkanonizza s-sett tad-dejta u kkalkula l-hash tiegħu
  3. Irkuprar iċ-ċwievet pubbliċi tal-emittent u ta’ Transpareo permezz tal-indirizzi speċifikati fil-pass
  4. Verifika ż-żewġ firme kontra l-hash - jekk it-tnejn jaqblu, il-passaport huwa awtentiku u ma nbidilx

L-ebda login, ebda bżonn li tissejjaħ Transpareo, ebda dipendenza fuq pjattaforma attiva.

X’inhu bħalissa f’operazzjoni u x’hemm fil-pjanijiet

Is-sottoskrizzjonijiet, il-verifika tal-browser, l-identità DID:web u Ġib il-Ċavetta Tiegħek Stess (BYOK) jinsabu f’użu. L-arkivju immutabbli ta’ għaxar snin ġie stabbilit u se jibda jopera hekk kif id-DPPs jiġu rreġistrati mar-Reġistru tal-UE. Il-kapaċità ta’ Firma Elettronika Kwalifikata (QES) għar-reġistrazzjoni fl-UE hija pjanata għal meta r-Regolament eIDAS u l-interfaċċa tar-reġistru jkunu finalizzati.

Il-prinċipju jibqa’ l-istess f’kull każ: ladarba jkun hemm firma u arkivjar, dan jibqa’ verifikabbli, irrispettivament minn min jopera l-pjattaforma fil-futur.

Aġġornamenti dwar is-sinjaturi u l-fiduċja

Provi kriptografiċi, ċertifikati u reġistrazzjoni - l-iktar żviluppi importanti mibgħuta lill-inbox tiegħek kull xahar.