Protokół przejrzystości ONZ (UNTP) opracowany przez UN/CEFACT stanowi powstający światowy standard określający sposób tworzenia, podpisywania i weryfikacji cyfrowych paszportów produktów oraz weryfikowalnych dowodów. Został on celowo zaprojektowany jako prosty i niezależny od producentów - stanowi wspólny język, na którym mogą opierać się regionalne systemy obowiązkowe, takie jak unijny paszport produktu, zamiast sytuacji, w której każda jurysdykcja i każdy dostawca wymyślałby własny format.
UNTP udostępnił wersję 0.7.0 do publicznej weryfikacji. Do momentu zatwierdzenia wersji 1.0 każda osoba i każda organizacja może zgłaszać uwagi za pośrednictwem otwartego rejestru. Zgłosiliśmy sześć uwag. Dwie z nich otrzymały już odpowiedź od grupy roboczej - a jedna spowodowała zmianę w naszym własnym kodzie.
Nie należy tego mylić z konsultacjami UE, w których również braliśmy udział: tam chodziło o wiążący rejestr DPP Komisji Europejskiej. UNTP stanowi warstwę niższą - globalną, techniczną podstawę, na której może opierać się rejestr UE i inne systemy.
Dlaczego współtworzymy światowy standard
Paszport produktu, który może odczytać i zweryfikować wyłącznie oprogramowanie jednego dostawcy, nie jest paszportem - to po prostu silos pod lepszą nazwą. Sens DPP polega na tym, że nabywca, podmiot zajmujący się recyklingiem lub organ nadzoru rynku może zweryfikować dane za pomocą dowolnego zgodnego narzędzia, a nie tylko naszego. To, gdzie dokładnie definiowana jest ta zgodność, ustala się w standardzie. Wolimy współtworzyć ten standard, niż później go przejmować.
1. Certyfikaty, które przetrwają dziesięciolecia (#678)
Aktualny profil UNTP nakazuje stosowanie dowodów otaczających zgodnie z W3C VC-JOSE-COSE: podpis otacza dokument jako JWT. W przypadku paszportu, który musi być archiwizowany przez dziesięć lat, kopiowany i odnajdywany za pomocą adresu treści, alternatywa ta ma wyraźne zalety. Dowody osadzone zgodnie z W3C Data Integrity pozostają w samym dokumencie, przetrwają każdą dalszą dystrybucję, a kanonizacja za pomocą JSON Canonicalization Scheme (RFC 8785) zapewnia stabilny skrót treści do śledzenia wersji. Zaproponowaliśmy dopuszczenie zestawu kryptograficznego eddsa-jcs-2022 jako równoważnej opcji zgodności. Dlaczego certyfikat musi w ogóle przetrwać swojego wystawcę i w jaki sposób dowody kryptograficzne to zapewniają, omówiliśmy szczegółowo w artykule poświęconym podpisom i certyfikatom.
Ten komentarz nie tylko otrzymał odpowiedź - zmienił również nasz własny weryfikator. Wraz z wprowadzeniem Transpareo Time Machine 2.0.0 (20 czerwca 2026 r.) przeszliśmy z uproszczonego profilu własnego na zgodny ze standardem W3C zestaw kryptograficzny eddsa-jcs-2022. Dzięki temu dowolny weryfikator integralności danych może sprawdzić certyfikat Transpareo, a nie tylko nasze własne narzędzie. Nie tylko domagaliśmy się interoperacyjności, ale także ją zapewniliśmy.
W tym samym komentarzu zasugerowaliśmy dwie powiązane kwestie: solidne wytyczne dotyczące tego, jak długo lista statusów musi pozostawać dostępna, z możliwością odtworzenia statusu unieważnienia w razie potrzeby na podstawie zdarzeń z cyklu życia; oraz idempotentną reprezentację opartą na bogatym semantycznie modelu danych, dzięki czemu każdy zgodny renderer wyświetla ten sam paszport w identyczny sposób, bez konieczności stosowania dołączonych instrukcji wyświetlania.
2. Jeden algorytm dla całego łańcucha zaufania (#683)
Sposób, w jaki weryfikator przechodzi od DID wystawcy przez Digital Identity Anchor do rejestru, a następnie do zakładu produkcyjnego, jest obecnie opisany w formie prozy na kilku stronach - ale nie jako jeden algorytm. Zaproponowaliśmy algorytm weryfikacji krok po kroku dla całego łańcucha zaufania: sprawdzenie integralności, przyporządkowanie identyfikatora DID wystawcy do kotwicy i rejestru, porównanie kryteriów zgodności, identyfikacja zakładu produkcyjnego. Bez tego jednego wiążącego opisu niezależne implementacje różnie interpretują rozproszone fragmenty tekstu i dochodzą do odmiennych wniosków co do autentyczności paszportu. Również ten komentarz wywołał reakcję grupy roboczej.
3. Stopniowe ujawnianie informacji zawartych w jednym paszporcie (#679)
Regulowany paszport musi służyć kilku grupom docelowym: ogół społeczeństwa, uprawnione zainteresowane strony, takie jak podmioty zajmujące się recyklingiem i organy administracji, widzą różne fragmenty tego samego paszportu - dokładnie to przewiduje unijne rozporządzenie w sprawie baterii. Zaproponowaliśmy, aby to stopniowane ujawnianie traktować jako standardowy przypadek pierwszego rzędu, zamiast wprowadzać je później jako szyfrowanie dostosowane do poszczególnych odbiorców.
4. Treści wielojęzyczne bezpośrednio w modelu danych (#680)
Obecnie UNTP przechowuje informacje czytelne dla człowieka jako jednojęzyczne ciągi znaków. Na regulowanych, wielojęzycznych rynkach to nie wystarcza - paszport obowiązujący w całej UE musi zawierać teksty w kilku językach jednocześnie. Zaproponowaliśmy wykorzystanie kart językowych JSON-LD, dzięki czemu pojedyncza wartość będzie zawierała wszystkie swoje wersje językowe. Transpareo wydaje obecnie paszporty w 39 językach - tę lukę odczuwamy na co dzień. Jak w ogóle radzimy sobie z tą różnorodnością językową, opisujemy w artykule poświęconym tłumaczeniom opartym na sztucznej inteligencji.
5. Długoterminowa weryfikowalność jako kwestia architektury (#681)
Związane z pierwszym punktem, ale o charakterze bardziej fundamentalnym: dowody, dokumenty DID i listy statusów muszą pozostawać dostępne przez ponad dekadę, w przeciwnym razie stary paszport nie będzie mógł zostać zweryfikowany, mimo że był ważny. Poprosiliśmy o nienormatywne wytyczne dotyczące tego, jak zapewnić stały dostęp do kluczy, dokumentów DID i list statusów - jest to kwestia, która pojawi się dopiero za kilka lat i właśnie dlatego powinna zostać uwzględniona w standardzie już dzisiaj.
6. Pomost do unijnego paszportu produktu (#682)
UNTP jest celowo uproszczonym paszportem B2B. Unijny paszport produktu to wiążący system z własną listą atrybutów. Osoby wdrażające potrzebują wyraźnego powiązania między nimi - profilu pokazującego, w jaki sposób paszport UNTP wypełnia obowiązkowe pola paszportu regulacyjnego. Właśnie nad tym połączeniem pracujemy na co dzień, dlatego domagaliśmy się stworzenia tego pomostu.
Dlaczego to robimy
Standard staje się lepszy, gdy głos mają osoby, które faktycznie podpisują i weryfikują paszporty - a nie tylko ci, którzy o nich piszą. Dwie z naszych sześciu uwag otrzymały już odpowiedź, a jedna z nich spowodowała, że nasz weryfikator został przestawiony na zestaw kryptograficzny zgodny ze standardem. Dzięki temu nie jesteśmy już na uboczu, lecz w gronie ekspertów grupy roboczej ds. łańcucha dostaw.
Dla naszych klientów nie jest to cel sam w sobie. Im bardziej precyzyjny i niezależny od producentów jest światowy standard, tym bezpieczniejsza pozostaje ich inwestycja: dane z certyfikatów pozostają możliwe do eksportu i weryfikowalne za pomocą każdego zgodnego narzędzia. Brak uzależnienia od jednego dostawcy, brak formatu, który stoi i upada wraz z jednym dostawcą.
Kto chce się przyłączyć
Publiczna weryfikacja trwa. Wszystkie zgłoszone kwestie są jawne w publicznym rejestrze zgłoszeń UNTP. Grupa robocza ds. łańcucha dostaw spotyka się regularnie w ramach wideokonferencji; terminy spotkań są podane na stronie poświęconej zarządzaniu UNTP. Każdy, kto w przyszłości będzie wystawiać lub weryfikować paszporty produktów - producenci, dostawcy usług, firmy zajmujące się recyklingiem, organy administracji - powinien przynajmniej raz zapoznać się z otwartymi kwestiami. Pomocna jest również krótka, precyzyjna pod względem merytorycznym informacja zwrotna.
A kto już dziś chce niezależnie zweryfikować paszport Transpareo, może to zrobić za pomocą narzędzia Transpareo Time Machine - od wersji 2.0.0 z dokładnie tym samym pakietem kryptograficznym, który promowaliśmy w profilu UNTP.