Vertrouwen dat het product overleeft: handtekeningen en certificaten in het DPP
BlogTechniek30/05/2026

Vertrouwen dat het product overleeft: handtekeningen en certificaten in het DPP

Een DPP moet tien jaar lang controleerbaar blijven - zelfs als de platformaanbieder morgen zou verdwijnen. Het gaat niet om vertrouwen in het bedrijf, maar in het artefact.

Een digitaal productpaspoort moet tien jaar of langer controleerbaar blijven. Een softwareplatform gaat zelden zo lang mee. Deze tegenstrijdigheid heeft een duidelijk gevolg: het vertrouwen in een DPP mag niet afhankelijk zijn van de aanbieder, maar moet verbonden zijn met de dataset zelf. Vertrouwen in het artefact, niet in het bedrijf.

Hoe dit er in de praktijk uitziet, kan aan de hand van vier bouwstenen worden geïllustreerd.

Elke DPP-versie wordt ondertekend

Vóór het vastleggen controleert Transpareo de dataset aan de hand van de categorie-specifieke verplichte velden (SHACL-validatie). Als deze controle mislukt, wordt de publicatie geweigerd - alleen een volledig, aan de regels beantwoordend paspoort wordt ondertekend.

Wanneer een DPP wordt gepubliceerd, bevriest Transpareo de inhoud ervan als DPP-versie en ondertekent deze met twee onafhankelijke sleutels: één van de uitgever en één van Transpareo. Met Bring Your Own Key (BYOK) beheert de fabrikant daarbij een eigen ondertekenings-eindpunt - Transpareo bewaart de privésleutel nooit en voegt alleen de onafhankelijke tegenondertekening toe, zodat de ondertekening van de uitgever er een is die Transpareo zelf niet kan genereren.

Er wordt gebruikgemaakt van de methode Ed25519⁠ via een canonieke vorm van het gegevensrecord (het JSON Canonicalization Scheme, RFC 8785⁠). Twee handtekeningen, twee van elkaar onafhankelijke autoriteiten.

De controle vindt plaats in de browser van de gebruiker. De open-source renderer Transpareo Time Machine laadt de bytes, berekent de hash opnieuw en controleert beide handtekeningen, zonder contact op te nemen met een van onze servers. Wie wantrouwig is, kan de code lezen.

De identiteit van de uitgever staat op het eigen domein

Om ervoor te zorgen dat een controleur de openbare sleutels kan vinden, publiceert elke uitgever zijn identiteit als DID:web⁠ op zijn eigen domein, op te zoeken via een duidelijk gedefinieerd adres onder /.well-known/. Bewust geen klassiek certificaat in de zin van X.509: certificaatketens vervallen in de loop van decennia, terwijl een HTTPS-adres op het eigen domein robuust blijft en onder uw controle staat.

Als een sleutel wordt vernieuwd, blijven oudere handtekeningen verifieerbaar - de oude sleutel blijft verifiëren wat hij ooit heeft ondertekend, zonder nieuwe documenten te ondertekenen. En omdat een uitgever zijn domein bij een overstap naar een andere provider zou kunnen meenemen, spiegelt Transpareo elke openbare sleutel op het moment van publicatie naar een permanent adres. Zo blijft elke DPP-versie verifieerbaar, zelfs als de oorspronkelijke host op een gegeven moment verdwijnt.

De EU-registratie is voorzien van een gekwalificeerd elektronisch zegel

De aanvraag voor het komende EU-DPP-register vereist meer dan een gewone handtekening: Elke registratie moet worden voorzien van een gekwalificeerd elektronisch zegel (QES) volgens de eIDAS-verordening 910/2014⁠ worden voorzien. Een QES is hardwaregebaseerd en gekoppeld aan een gecertificeerde rechtspersoon - het hoogste vertrouwensniveau dat het EU-recht kent.

Deze mogelijkheid tot het gebruik van gekwalificeerde zegels is voorzien zodra de eIDAS-verordening en de registerinterface definitief zijn. Transpareo zal hiervoor een eigen zegel-dienst exploiteren met een eigen zegelapparaat en een gekwalificeerd certificaat van D-Trust, een gekwalificeerde vertrouwensdienstverlener - zodat fabrikanten die zelf geen zegelinfrastructuur exploiteren, aan de QES-verplichting kunnen voldoen zonder eigen hardware.

Een archief dat de aanbieder overleeft

Zodra de DPP’s bij het EU-register zijn geregistreerd, wordt elke DPP-versie bovendien tien jaar lang onwijzigbaar gearchiveerd - noch de fabrikant, noch Transpareo kan deze achteraf wijzigen. Om ervoor te zorgen dat dit archief ook toegankelijk blijft als Transpareo op een dag niet meer zou bestaan, is de financiering ervan gewaarborgd via een notariële deponering in Zwitserland. De belofte is dus niet alleen technisch, maar ook contractueel gericht op duurzaamheid.

Zo controleert een derde partij het paspoort - geheel zonder ons

De doorslaggevende test voor het vertrouwen in het artefact is of iemand het paspoort kan controleren zonder gebruik te maken van onze infrastructuur. De procedure:

  1. De bytes van de DPP-versie ophalen uit een willekeurige bron (CDN, openbaar archief, het EU-register of een archief van een derde partij)
  2. De dataset kanoniseren en de hash ervan berekenen
  3. De openbare sleutels van de uitgever en Transpareo opvragen via de adressen die in het paspoort worden vermeld
  4. Beide handtekeningen controleren aan de hand van de hash - als beide kloppen, is het pasje echt en ongewijzigd

Geen inlog, geen telefoontje naar Transpareo, geen afhankelijkheid van een actief platform.

Wat er vandaag de dag werkt en wat in voorbereiding is

Handtekeningen, browserverificatie, DID:web-identiteit en Bring Your Own Key (BYOK) zijn in gebruik. Het onveranderlijke tienjarige archief is aangelegd en treedt in werking zodra de DPP’s bij het EU-register zijn geregistreerd. De gekwalificeerde elektronische handtekening (QES) voor de EU-registratie is gepland zodra de eIDAS-wetgeving en de registerinterface definitief zijn.

Het uitgangspunt blijft in elk geval hetzelfde: wat eenmaal is ondertekend en gearchiveerd, blijft verifieerbaar, ongeacht wie het platform morgen beheert.

Updates over handtekeningen en vertrouwen

Cryptografische bewijzen, certificaten en registratie - de belangrijkste ontwikkelingen maandelijks in uw inbox.