Digitálny produktový pas musí zostať overiteľný desať rokov a dlhšie. Softvérová platforma zriedka vydrží tak dlho. Z tohto rozporu vyplýva jasný záver: dôvera v DPP nesmie závisieť od poskytovateľa, ale musí byť viazaná na samotný dátový súbor. Dôvera v artefakt, nie v spoločnosť.
Ako to vyzerá v praxi, možno ukázať na štyroch základných prvkoch.
Každá verzia DPP je podpísaná
Pred zmrazením Transpareo overí súbor údajov voči povinným poliam špecifickým pre danú kategóriu (validácia SHACL). Ak táto kontrola zlyhá, zverejnenie sa zamietne - podpíše sa len kompletný pas, ktorý spĺňa pravidlá.
Ak sa DPP zverejní, spoločnosť Transpareo zmrazí jeho obsah ako verziu DPP a podpíše ju dvoma nezávislými kľúčmi: jedným od vydavateľa a druhým od spoločnosti Transpareo. V rámci funkcie „Bring Your Own Key“ (BYOK) prevádzkuje výrobca vlastný podpisový koncový bod - Transpareo nikdy neuchováva súkromný kľúč a dopĺňa iba nezávislý protipodpis, takže podpis vydavateľa je taký, ktorý Transpareo samo nemôže vygenerovať.
Používa sa postup Ed25519 prostredníctvom kanonickej formy dátového záznamu (tzv. JSON Canonicalization Scheme, RFC 8785). Dva podpisy, dve navzájom nezávislé autority.
Overovanie prebieha v prehliadači používateľa. Open-source renderer Transpareo Time Machine načíta bajty, prepočíta hash a overí oba podpisy bez toho, aby kontaktoval náš server. Kto je nedôverčivý, môže si prečítať kód.
Identita vydavateľa je uvedená na vlastnej doméne
Aby overovateľ mohol nájsť verejné kľúče, každý vydavateľ zverejňuje svoju identitu ako DID:web na svojej vlastnej doméne, prístupnú cez jasne definovanú adresu v adresári /.well-known/. Zámerne nejde o klasický certifikát v zmysle X.509: reťazce certifikátov strácajú platnosť v priebehu desaťročí, zatiaľ čo adresa HTTPS na vlastnej doméne zostáva stabilná a pod vašou kontrolou.
Ak sa kľúč obmieňa, staršie podpisy zostávajú overiteľné - starý kľúč naďalej overuje to, čo kedysi podpísal, bez toho, aby podpisoval nové dokumenty. A pretože vydavateľ si môže po zmene poskytovateľa preniesť svoju doménu, Transpareo zrkadlí každý verejný kľúč v čase zverejnenia na trvalú adresu. Vďaka tomu zostáva každá verzia DPP overiteľná, aj keby pôvodný hostiteľ niekedy zmizol.
Registrácia v EÚ nesie kvalifikovanú pečať
Podanie žiadosti do budúceho registra EÚ DPP vyžaduje viac než len bežný podpis: Každá registrácia musí byť opatrená kvalifikovanou elektronickou pečiatkou (QES) podľa nariadenia eIDAS 910/2014. QES je hardvérovo podporované a viazané na overenú právnickú osobu - ide o najvyššiu úroveň dôveryhodnosti, ktorú pozná právo EÚ.
Táto funkcia kvalifikovaného pečate bude k dispozícii hneď, ako budú právny akt eIDAS a rozhranie registra v konečnej podobe. Spoločnosť Transpareo bude na tento účel prevádzkovať vlastnú pečaťovú službu s vlastným pečaťovým zariadením a kvalifikovaným certifikátom od spoločnosti D-Trust, kvalifikovaného poskytovateľa dôveryhodných služieb - vďaka čomu výrobcovia, ktorí sami neprevádzkujú pečaťovú infraštruktúru, splnia povinnosť QES bez vlastného hardvéru.
Archív, ktorý prežije poskytovateľa
Hneď ako budú DPP zaregistrované v registri EÚ, každá verzia DPP bude navyše archivovaná v nezmeniteľnej podobe po dobu desiatich rokov - ani výrobca, ani spoločnosť Transpareo ju nebudú môcť dodatočne meniť. Aby bol tento archív dostupný aj v prípade, že by spoločnosť Transpareo jedného dňa prestala existovať, je jeho financovanie zabezpečené notárskym uložením vo Švajčiarsku. Sľub je teda zameraný na dlhodobú životnosť nielen z technického, ale aj zo zmluvného hľadiska.
Takto overuje pas tretia strana - úplne bez nášho zásahu
Rozhodujúcim testom dôveryhodnosti artefaktu je to, či niekto dokáže overiť pas bez našej infraštruktúry. Postup:
- Načítajte bajty verzie DPP z ľubovoľného zdroja (CDN, verejný archív, register EÚ alebo archív tretej strany)
- Kanonizujte dátový záznam a vypočítajte jeho hash
- Načítajte verejné kľúče vydavateľa a spoločnosti Transpareo z adries uvedených v pase
- Oba podpisy porovnať s hashovou hodnotou - ak sa zhodujú, pas je pravý a nezmenený
Žiadne prihlásenie, žiadny telefonát do spoločnosti Transpareo, žiadna závislosť od aktívnej platformy.
Čo už dnes funguje a čo sa pripravuje
Používajú sa podpisy, overovanie v prehliadači, identita DID:web a funkcia „Bring Your Own Key“ (BYOK). Nezmeniteľný desaťročný archív je vytvorený a začne fungovať hneď, ako budú DPP zaregistrované v registri EÚ. Kvalifikovaná elektronická pečiatka (QES) pre registráciu v EÚ je plánovaná hneď, ako budú finálne znenie právneho aktu eIDAS a rozhranie registra.
Zásada zostáva v každom prípade rovnaká: to, čo bolo raz podpísané a archivované, zostáva overiteľné bez ohľadu na to, kto bude platformu prevádzkovať v budúcnosti.