Digitalni produktni potni list mora ostati preverljiv deset let ali več. Programska platforma redko deluje tako dolgo. To protislovje ima jasno posledico: zaupanje v DPP ne sme biti odvisno od ponudnika, temveč mora biti vezano na sam nabor podatkov. Zaupanje v artefakt, ne v podjetje.
Kako to izgleda v praksi, lahko ponazorimo s štirimi gradniki.
Vsaka različica DPP je podpisana
Pred zamrznitvijo Transpareo preveri nabor podatkov glede na obvezna polja, specifična za posamezno kategorijo (validacija SHACL). Če ta preverjanje ni uspešno, se objava zavrne - podpisan je le popoln in predpisom skladen potni list.
Ko se DPP objavi, Transpareo zamrzne njegovo vsebino kot različico DPP in jo podpiše z dvema neodvisnima ključema: enim izdajatelja, drugim pa Transpareo. S sistemom »Bring Your Own Key« (BYOK) izdajatelj pri tem upravlja lastno končno točko za podpisovanje - Transpareo nikoli ne hrani zasebnega ključa in doda le neodvisni protipodpis, tako da je podpis izdajatelja takšen, ki ga Transpareo sam ne more ustvariti.
Uporablja se postopek Ed25519 prek kanonične oblike podatkovnega niza (t. i. JSON Canonicalization Scheme, RFC 8785). Dva podpisa, dve med seboj neodvisni avtoriteti.
Preverjanje poteka v brskalniku uporabnika. Odprtokodni renderer Transpareo Time Machine naloži bajte, ponovno izračuna hash in preveri oba podpisa, ne da bi se povezal z našim strežnikom. Kdor je nezaupljiv, lahko prebere kodo.
Identiteta izdajatelja je na lastni domeni
Da bi preveritelj lahko našel javna ključa, vsak izdajatelj objavi svojo identiteto kot DID:web na lastni domeni, ki jo je mogoče najti prek natančno opredeljenega naslova v mapi /.well-known/. Namerno ne gre za klasični certifikat v smislu standarda X.509: verige certifikatov potečejo v nekaj desetletjih, naslov HTTPS na lastni domeni pa ostane zanesljiv in pod vašim nadzorom.
Če se ključ zamenja, starejši podpisi ostanejo preverljivi - stari ključ še naprej preverja tisto, kar je nekoč podpisal, ne da bi podpisoval nove dokumente. In ker bi izdajatelj po zamenjavi ponudnika lahko prenesel svojo domeno, Transpareo vsak javni ključ ob objavi zrcalno shranjuje na trajni naslov. Tako ostane vsaka različica DPP preverljiva, tudi če prvotni gostitelj kdaj izgine.
Registracija v EU nosi kvalificirani pečat
Vložitev v prihajajoči register EU-DPP zahteva več kot le običajen podpis: Vsaka registracija mora biti opremljena s kvalificiranim elektronskim pečatom (QES) v skladu z Uredbo eIDAS 910/2014. QES temelji na strojni opremi in je vezan na preverjeno pravno osebo - to je najvišja stopnja zaupanja, ki jo pozna zakonodaja EU.
Ta možnost kvalificiranega pečatenja bo na voljo, takoj ko bosta akt eIDAS in vmesnik registra dokončno oblikovana. Transpareo bo za to upravljal lastno storitev pečatenja z lastno napravo za pečatenje in kvalificiranim certifikatom podjetja D-Trust, kvalificiranega ponudnika zaupanja vrednih storitev - tako da bodo proizvajalci, ki sami ne upravljajo infrastrukture za pečatenje, lahko izpolnili obveznost QES brez lastne strojne opreme.
Arhiv, ki preživi ponudnika
Takoj ko bodo DPP-ji registrirani v registru EU, bo vsaka različica DPP dodatno arhivirana v nespremenljivi obliki za obdobje desetih let - niti proizvajalec niti Transpareo jih ne bosta mogla naknadno spremeniti. Da bi ta arhiv ostal dostopen tudi v primeru, da Transpareo ne bi več obstajal, je njegovo financiranje zavarovano z notarsko deponiranjem v Švici. Zaveza je torej zasnovana na dolgoročnosti ne le tehnično, temveč tudi pogodbeno.
Tako tretja oseba preveri potrdilo - povsem brez nas
Odločilni preizkus zaupanja v artefakt je, ali lahko nekdo preveri potrdilo brez naše infrastrukture. Postopek:
- Pridobite bajte različice DPP iz katerega koli vira (CDN, javni arhiv, register EU ali arhiv tretje osebe)
- Kanonizirajte niz podatkov in izračunajte njegov hash
- Pridobite javna ključa izdajatelja in podjetja Transpareo prek naslovov, navedenih v potnem listu
- Oba podpisa preverite glede na hash - če se oba ujemata, je potni list pravi in nespremenjen
Brez prijave, brez klica v Transpareo, brez odvisnosti od delujoče platforme.
Kaj danes deluje in kaj je v pripravi
Podpisi, preverjanje v brskalniku, identiteta DID:web in »Bring Your Own Key« (BYOK) so že v uporabi. Nepremenljiv desetletni arhiv je vzpostavljen in bo začel delovati, takoj ko bodo DPP-ji registrirani v registru EU. Predvidena je možnost uporabe kvalificiranega elektronskega podpisa (QES) za registracijo v EU, takoj ko bosta akt eIDAS in vmesnik registra dokončno oblikovana.
Načelo ostaja v vsakem primeru enako: kar je enkrat podpisano in arhivirano, ostane preverljivo, ne glede na to, kdo bo platformo upravljal v prihodnosti.