Um Passaporte Digital do Produto deve permanecer verificável durante dez anos ou mais. Uma plataforma de software raramente dura tanto tempo. Esta contradição tem uma consequência clara: a confiança num DPP não deve depender do fornecedor, mas sim do próprio conjunto de dados. Confiança no artefacto, não na empresa.
A forma como isto se traduz na prática pode ser ilustrada através de quatro pilares.
Cada versão do DPP é assinada
Antes do congelamento, a Transpareo verifica o conjunto de dados em relação aos campos obrigatórios específicos da categoria (validação SHACL). Se esta verificação falhar, a publicação é recusada - apenas um pass completo e em conformidade com as regras é assinado.
Quando um DPP é publicado, a Transpareo congela o seu conteúdo como versão do DPP e assina-o com duas chaves independentes: uma do emitente e outra da Transpareo. Com o «Bring Your Own Key» (BYOK), o fabricante opera o seu próprio ponto final de assinatura - a Transpareo nunca detém a chave privada e apenas acrescenta a contra-assinatura independente, de modo a que a assinatura do emitente seja uma que a própria Transpareo não possa gerar.
É utilizado o método Ed25519 através de uma forma canónica do conjunto de dados (o Esquema de Canonicalização JSON, RFC 8785). Duas assinaturas, duas autoridades independentes uma da outra.
A verificação é efetuada no navegador do utilizador. O renderizador de código aberto Transpareo Time Machine carrega os bytes, recalcula o hash e verifica ambas as assinaturas, sem contactar nenhum dos nossos servidores. Quem tiver dúvidas pode ler o código.
A identidade do emissor encontra-se no seu próprio domínio
Para que um verificador encontre as chaves públicas, cada emissor publica a sua identidade como DID:web no seu próprio domínio, acessível através de um endereço bem definido em /.well-known/. Deliberadamente, não se trata de um certificado clássico no sentido do X.509: as cadeias de certificados expiram ao longo de décadas, enquanto um endereço HTTPS no seu próprio domínio permanece robusto e sob o seu controlo.
Se uma chave for substituída, as assinaturas mais antigas continuam a ser verificáveis - a chave antiga continua a verificar o que assinou anteriormente, sem assinar novos documentos. E como um emissor pode manter o seu domínio após uma mudança de fornecedor, a Transpareo espelha cada chave pública, no momento da publicação, para um endereço permanente. Desta forma, todas as versões do DPP permanecem verificáveis, mesmo que o host original venha a desaparecer.
O registo na UE inclui um selo qualificado
A submissão ao futuro registo DPP da UE exige mais do que uma assinatura comum: Cada registo deve ser acompanhado de um selo eletrónico qualificado (QES) nos termos do Regulamento eIDAS 910/2014. Um QES é suportado por hardware e vinculado a uma entidade jurídica certificada - o nível de confiança mais elevado previsto pela legislação da UE.
Esta capacidade de selo qualificado está prevista assim que o ato legislativo eIDAS e a interface do registo estiverem finalizados; está prevista a ligação através de um prestador de serviços de confiança qualificado. Para os fabricantes de média dimensão que não operam a sua própria infraestrutura de selos, esta é a vantagem decisiva: A obrigação relativa ao QES poderá ser cumprida sem necessidade de hardware próprio.
Um arquivo que sobrevive ao fornecedor
Assim que os DPPs estiverem registados no registo da UE, cada versão do DPP será arquivada de forma imutável durante mais dez anos - nem o fabricante nem a Transpareo poderão alterá-la posteriormente. Para que este arquivo permaneça acessível mesmo que, um dia, a Transpareo deixe de existir, o seu financiamento está garantido através de um depósito notarial na Suíça. A promessa é, portanto, concebida para garantir a longevidade não só do ponto de vista técnico, mas também contratual.
É assim que um terceiro verifica o passe - sem qualquer intervenção nossa
O teste decisivo para a confiança no artefacto é saber se alguém consegue verificar o passe sem recorrer à nossa infraestrutura. O procedimento é o seguinte:
- Obter os bytes da versão DPP a partir de qualquer fonte (CDN, arquivo público, o registo da UE ou um arquivo de terceiros)
- Canonizar o conjunto de dados e calcular o seu hash
- Obter as chaves públicas do emitente e da Transpareo através dos endereços indicados no passaporte
- Verificar ambas as assinaturas em relação ao hash - se ambas corresponderem, o passaporte é autêntico e não foi alterado
Sem login, sem chamada para a Transpareo, sem dependência de uma plataforma ativa.
O que está em funcionamento hoje e o que está em preparação
Assinaturas, verificação no navegador, identidade DID:web e «Bring Your Own Key» (BYOK) estão em funcionamento. O arquivo inalterável com validade de dez anos já foi criado e entrará em vigor assim que os DPPs forem registados no Registo da UE. A capacidade de selo qualificado (QES) para o registo na UE está prevista assim que o ato legislativo eIDAS e a interface do registo estiverem finalizados.
O princípio mantém-se, em qualquer caso, o mesmo: o que for assinado e arquivado uma vez permanece verificável, independentemente de quem venha a operar a plataforma no futuro.