Zaufanie, które przetrwa dłużej niż sam produkt: podpisy i certyfikaty w DPP
BlogTechnika30/05/2026

Zaufanie, które przetrwa dłużej niż sam produkt: podpisy i certyfikaty w DPP

DPP musi pozostawać możliwe do zweryfikowania przez dziesięć lat - nawet jeśli dostawca platformy zniknie jutro. Odpowiedzią nie jest zaufanie do firmy, lecz do samego artefaktu.

Cyfrowy paszport produktu musi pozostawać weryfikowalny przez co najmniej dziesięć lat. Platforma oprogramowania rzadko działa tak długo. Ta sprzeczność ma jasną konsekwencję: zaufanie do cyfrowego paszportu produktu nie może zależeć od dostawcy, lecz musi być związane z samym zestawem danych. Zaufanie do artefaktu, a nie do przedsiębiorstwa.

Jak to wygląda w praktyce, można pokazać na przykładzie czterech elementów składowych.

Każda wersja DPP jest podpisywana

Przed zamrożeniem Transpareo sprawdza zbiór danych pod kątem obowiązkowych pól dla danej kategorii (walidacja SHACL). Jeśli weryfikacja ta zakończy się niepowodzeniem, publikacja zostaje odrzucona - podpisywany jest wyłącznie kompletny, zgodny z przepisami paszport.

W przypadku opublikowania DPP firma Transpareo zamraża jego zawartość jako wersję DPP i podpisuje ją dwoma niezależnymi kluczami: jednym należącym do wystawcy, a drugim do Transpareo. W ramach rozwiązania „Bring Your Own Key” (BYOK) producent obsługuje własny punkt końcowy podpisu - Transpareo nigdy nie przechowuje klucza prywatnego i dodaje jedynie niezależny podpis wzajemny, dzięki czemu podpis wystawcy jest taki, którego samo Transpareo nie jest w stanie wygenerować.

Wykorzystywana jest metoda Ed25519⁠ oparta na kanonicznej formie zestawu danych (tzw. schemat kanonizacji JSON, RFC 8785⁠). Dwa podpisy, dwa niezależne od siebie podmioty certyfikujące.

Weryfikacja odbywa się w przeglądarce użytkownika. Otwarty renderer Transpareo Time Machine ładuje bajty, ponownie oblicza skrót i sprawdza oba podpisy bez nawiązywania połączenia z naszym serwerem. Osoby, które mają wątpliwości, mogą zapoznać się z kodem.

Tożsamość wystawcy znajduje się na jego własnej domenie

Aby weryfikator mógł znaleźć klucze publiczne, każdy wystawca publikuje swoją tożsamość jako DID:web⁠ na własnej domenie, dostępną pod ściśle zdefiniowanym adresem w katalogu /.well-known/. Celowo nie jest to klasyczny certyfikat w rozumieniu standardu X.509: łańcuchy certyfikatów tracą ważność po dziesięcioleciach, natomiast adres HTTPS na własnej domenie pozostaje niezawodny i pod Państwa kontrolą.

W przypadku rotacji klucza starsze podpisy pozostają weryfikowalne - stary klucz nadal weryfikuje to, co kiedyś podpisał, nie podpisując jednak nowych dokumentów. A ponieważ wystawca mógłby przenieść swoją domenę po zmianie dostawcy, Transpareo odzwierciedla każdy klucz publiczny w momencie publikacji na stałym adresie. Dzięki temu każda wersja DPP pozostaje weryfikowalna, nawet jeśli pierwotny serwer w pewnym momencie przestanie istnieć.

Rejestracja w UE opatrzona jest kwalifikowanym podpisem elektronicznym

Zgłoszenie do przyszłego rejestru DPP UE wymaga czegoś więcej niż zwykłego podpisu: Każda rejestracja musi być opatrzona kwalifikowanym podpisem elektronicznym (QES) zgodnie z rozporządzeniem eIDAS 910/2014⁠. QES jest oparty na sprzęcie i powiązany z zweryfikowaną osobą prawną - stanowi to najwyższy poziom zaufania przewidziany w prawie UE.

Ta funkcja kwalifikowanego podpisu elektronicznego zostanie udostępniona, gdy tylko akt prawny eIDAS i interfejs rejestru zostaną ostatecznie zatwierdzone. W tym celu firma Transpareo będzie prowadzić własną usługę pieczęciową z wykorzystaniem własnego urządzenia pieczętującego oraz certyfikatu kwalifikowanego wydanego przez D-Trust, kwalifikowanego dostawcę usług zaufania - dzięki czemu producenci, którzy sami nie posiadają infrastruktury pieczęciowej, będą mogli spełnić wymóg stosowania QES bez konieczności posiadania własnego sprzętu.

Archiwum, które przetrwa dostawcę

Gdy tylko DPP zostaną zarejestrowane w rejestrze UE, każda wersja DPP będzie dodatkowo archiwizowana w niezmienionej postaci przez dziesięć lat - ani producent, ani Transpareo nie będą mogli jej później modyfikować. Aby archiwum to pozostało dostępne nawet w przypadku, gdyby firma Transpareo przestała kiedyś istnieć, jego finansowanie jest zabezpieczone poprzez depozyt notarialny w Szwajcarii. Obietnica ta jest zatem ukierunkowana na długotrwałość nie tylko pod względem technicznym, ale również umownym.

W ten sposób strona trzecia weryfikuje paszport - całkowicie bez naszego udziału

Decydującym testem zaufania do artefaktu jest to, czy ktoś może zweryfikować paszport bez korzystania z naszej infrastruktury. Procedura wygląda następująco:

  1. Pobierz bajty wersji DPP z dowolnego źródła (CDN, archiwum publiczne, rejestr UE lub archiwum strony trzeciej)
  2. Kanonizuj zbiór danych i oblicz jego skrót
  3. Pobierz klucze publiczne wystawcy i Transpareo z adresów podanych w paszporcie
  4. Zweryfikować oba podpisy względem skrótu - jeśli oba się zgadzają, paszport jest autentyczny i niezmieniony

Bez logowania, bez dzwonienia do Transpareo, bez uzależnienia od działającej platformy.

Co działa obecnie i co jest w przygotowaniu

Podpisy, weryfikacja w przeglądarce, tożsamość DID:web oraz funkcja „Bring Your Own Key” (BYOK) są już w użyciu. Utworzono niezmienialne dziesięcioletnie archiwum, które zacznie działać, gdy tylko DPP zostaną zarejestrowane w rejestrze UE. Przewiduje się wprowadzenie funkcji kwalifikowanego podpisu elektronicznego (QES) na potrzeby rejestracji w UE, gdy tylko akt prawny eIDAS i interfejs rejestru zostaną sfinalizowane.

Zasada pozostaje w każdym przypadku ta sama: to, co zostało raz podpisane i zarchiwizowane, pozostaje możliwe do zweryfikowania, niezależnie od tego, kto będzie jutro obsługiwał platformę.

Aktualizacje dotyczące podpisów i zaufania

Informacje dotyczące zabezpieczeń kryptograficznych, certyfikatów i rejestracji - najważniejsze nowości co miesiąc w Twojej skrzynce odbiorczej.