Et digitalt produktpass må kunne kontrolleres i ti år eller lenger. En programvareplattform varer sjelden så lenge. Denne motsetningen har en klar konsekvens: Tilliten til et DPP må ikke være avhengig av leverandøren, men må være knyttet til selve datasettet. Tillit til selve artefaktet, ikke til selskapet.
Hvordan dette ser ut i praksis, kan illustreres ved hjelp av fire byggesteiner.
Hver DPP-versjon blir signert
Før frysing sjekker Transpareo datasettet opp mot de kategorispesifikke obligatoriske feltene (SHACL-validering). Hvis denne kontrollen mislykkes, nektes publisering - kun et fullstendig, regelkonformt pass blir signert.
Når en DPP publiseres, fryser Transpareo innholdet som en DPP-versjon og signerer den med to uavhengige nøkler: én fra utstederen og én fra Transpareo. Med «Bring Your Own Key» (BYOK) driver utstederen sitt eget signaturendepunkt - Transpareo oppbevarer aldri den private nøkkelen og legger bare til den uavhengige motsignaturen, slik at utstederens signatur er en som Transpareo selv ikke kan generere.
Metoden Ed25519 brukes via en kanonisk form av datasettet (det JSON Canonicalization Scheme, RFC 8785). To signaturer, to uavhengige autoriteter.
Verifiseringen skjer i brukerens nettleser. Den åpne kildekode-baserte rendereren Transpareo Time Machine laster inn byteene, beregner hashen på nytt og verifiserer begge signaturene uten å kontakte en av våre servere. Den som er mistenksom, kan lese koden.
Utstederens identitet ligger på eget domene
For at en verifikator skal kunne finne de offentlige nøklene, publiserer hver utsteder sin identitet som DID:web på sitt eget domene, tilgjengelig via en veldefinert adresse under /.well-known/. Bevisst ikke et klassisk sertifikat i X.509-forstand: Sertifikatkjeder utløper over flere tiår, mens en HTTPS-adresse på eget domene forblir robust og under din kontroll.
Når en nøkkel roteres, forblir eldre signaturer verifiserbare - den gamle nøkkelen verifiserer fortsatt det den en gang signerte, uten å signere nye dokumenter. Og fordi en utsteder kan ta med seg domenet sitt etter et leverandørbytte, speiler Transpareo hver offentlig nøkkel til en permanent adresse på tidspunktet for publisering. På denne måten forblir hver DPP-versjon verifiserbar, selv om den opprinnelige verten på et tidspunkt forsvinner.
EU-registreringen bærer et kvalifisert elektronisk segl
Innleveringen til det kommende EU-DPP-registeret krever mer enn en vanlig signatur: Hver registrering må være utstyrt med et kvalifisert elektronisk segl (QES) i henhold til eIDAS-forordningen 910/2014. Et QES er maskinvarestøttet og knyttet til en godkjent juridisk person - det høyeste tillitsnivået som EU-lovgivningen kjenner til.
Denne muligheten for kvalifisert signering er planlagt så snart eIDAS-forordningen og registergrensesnittet er ferdigstilt. Transpareo vil for dette formålet drive en egen signaturtjeneste med en egen signaturenhet og et kvalifisert sertifikat fra D-Trust, en kvalifisert tillitstjenesteleverandør - slik at produsenter som ikke selv driver noen signaturinfrastruktur, kan oppfylle QES-kravet uten egen maskinvare.
Et arkiv som overlever leverandøren
Så snart DPP-ene er registrert i EU-registeret, vil hver DPP-versjon i tillegg bli arkivert uforanderlig i ti år - verken produsenten eller Transpareo kan endre dem i etterkant. For at dette arkivet skal forbli tilgjengelig selv om Transpareo en dag skulle opphøre å eksistere, er finansieringen sikret gjennom en notarial deponering i Sveits. Løftet er altså ikke bare teknisk, men også kontraktsmessig utformet for å sikre lang levetid.
Slik kontrollerer en tredjepart passet - helt uten oss
Den avgjørende testen for tillit til artefaktet er om noen kan kontrollere passet uten vår infrastruktur. Fremgangsmåten:
- Hent byteene til DPP-versjonen fra en hvilken som helst kilde (CDN, offentlig arkiv, EU-registeret eller et tredjepartsarkiv)
- Kanoniser datasettet og beregne hashen
- Hent de offentlige nøklene til utstederen og Transpareo via adressene som er oppgitt i passet
- Sjekk begge signaturene mot hashen - stemmer begge, er passet ekte og uendret
Ingen pålogging, ingen telefon til Transpareo, ingen avhengighet av en plattform som er i drift.
Hva som er i drift i dag og hva som er under forberedelse
Signaturer, nettleserkontroll, DID:web-identitet og Bring Your Own Key (BYOK) er i bruk. Det uforanderlige tiårsarkivet er opprettet og trer i kraft så snart DPP-ene er registrert i EU-registeret. Den kvalifiserte elektroniske signaturfunksjonen (QES) for EU-registrering er planlagt så snart eIDAS-forordningen og registergrensesnittet er ferdigstilt.
Prinsippet forblir uansett det samme: Det som en gang er signert og arkivert, forblir verifiserbart, uavhengig av hvem som driver plattformen i fremtiden.