Besimi që i kalon produktit: Nënshkrimet dhe certifikatat në DPP
BloguTeknologji30/05/2026

Besimi që i kalon produktit: Nënshkrimet dhe certifikatat në DPP

Një DPP duhet të mbetet e verifikueshme për dhjetë vjet - edhe nëse ofruesi i platformës do të zhdukej nesër. Përgjigjja nuk qëndron në besimin te kompania, por në besimin te vetë artefakti.

Një Pasaportë Dixhitale e Produktit duhet të mbetet e verifikueshme për dhjetë vjet ose më shumë. Një platformë softuerike rrallë zgjat kaq gjatë. Kjo kontradiktë ka një implikim të qartë: besimi te një PDP nuk duhet të varet nga ofruesi, por duhet të lidhet me vetë grupin e të dhënave. Besoni te artefakti, jo te kompania.

Katër elementë kyç ilustrojnë se si funksionon kjo në praktikë.

Çdo version i DPP-së nënshkruhet

Para ngrirjes së të dhënave, Transpareo kontrollon grupin e të dhënave kundrejt fushave të detyrueshme specifike për kategorinë (validim SHACL). Nëse ky kontroll dështon, publikimi refuzohet - nënshkruhet vetëm një pasaportë e plotë dhe konform.

Kur publikohet një DPP, Transpareo ngrin përmbajtjen e tij si një version DPP dhe e nënshkruan atë me dy çelësa të pavarur: një nga lëshuesi, një nga Transpareo. Me Metodën “Bring Your Own Key” (BYOK), lëshuesi operon pikën e vet të nënshkrimit - Transpareo kurrë nuk mban çelësin privat dhe thjesht shton nënshkrimin e pavarur, duke siguruar që nënshkrimi i lëshuesit është një që Transpareo vetë nuk mund ta gjenerojë.

Skema Ed25519⁠ përdoret përmes një forme kanonike të grupit të të dhënave (the Skema e Kanonikalizimit JSON, RFC 8785⁠). Dy nënshkrime, dy autoritete të pavarura.

Verifikimi kryhet në shfletuesin e përdoruesit. Renderi me burim të hapur Transpareo Time Machine ngarkon bajtet, rillogarit hash-in dhe verifikon të dyja firmat pa kontaktuar asnjë nga serverët tanë. Çdokush që është skeptik mund të lexojë kodin.

Identiteti i lëshuesit është i hostuar në domenin e tyre

Për t’i mundësuar verifikuesit të gjejë çelësat publikë, çdo lëshues boton identitetin e tij si një DID:web⁠ në domenin e tij, i aksesueshëm përmes një adrese të mirëpërcaktuar në /.well-known/. Kjo qëllimisht nuk është një certifikatë tradicionale në kuptimin e X.509: zinxhirët e certifikatave skadojnë me dekada, ndërsa një adresë HTTPS në domenin tuaj mbetet e fortë dhe nën kontrollin tuaj.

Kur një çelës zëvendësohet, nënshkrimet më të vjetra mbeten të verifikueshme - çelësi i vjetër vazhdon të verifikojë atë që ka nënshkruar dikur, pa nënshkruar asnjë certifikatë të re. Dhe për shkak se një lëshues mund të marrë domenin e tij me vete pasi të ndryshojë ofruesin, Transpareo pasqyron çdo çelës publik në një adresë të përhershme në kohën e publikimit. Kjo siguron që çdo version i DPP-së të mbetet i verifikueshëm, edhe nëse hosti origjinal zhduket në një moment të caktuar.

Regjistrimi i BE-së mban një vulë elektronike të kualifikuar

Dorëzimi në regjistrin e ardhshëm të DPP-së së BE-së kërkon më shumë se një nënshkrim standard: Çdo regjistrim duhet të shoqërohet me një vulë elektronike të kualifikuar (QES) në përputhje me Rregulloren e eIDAS 910/2014⁠. Një QES bazohet në harduer dhe lidhet me një subjekt ligjor të verifikuar - niveli më i lartë i besimit të njohur sipas ligjit të BE-së.

Kjo aftësi e vulës së kualifikuar planifikohet të zbatohet sapo të finalizohen legjislacioni eIDAS dhe ndërfaqja e regjistrit. Për këtë qëllim, Transpareo do të operojë shërbimin e vet të vulosjes duke përdorur një pajisje vulosëse të brendshme dhe një certifikatë të kualifikuar nga D-Trust, një ofrues i kualifikuar i shërbimeve të besimit - duke i mundësuar prodhuesve që nuk operojnë infrastrukturën e tyre të vulosjes të përmbushin kërkesën për VQE pa pasur nevojë për harduerin e tyre.

Një arkiv që mbijeton ofruesin

Pasi DPP-të të jenë regjistruar në regjistrin e BE-së, çdo version i DPP-së do të arkivohet gjithashtu në një formë të pandryshueshme për dhjetë vjet - as prodhuesi, as Transpareo nuk do të jenë në gjendje t’i ndryshojnë ato me efekt prapaveprues. Për t’u siguruar që ky arkiv të mbetet i aksesueshëm edhe nëse Transpareo një ditë do të pushojë së ekzistuari, financimi i tij është siguruar përmes një depozite noteriale në Zvicër. Prandaj, ky angazhim është hartuar për jetëgjatësi jo vetëm teknikisht, por edhe kontraktualisht.

Si verifikohet kalimi nga një palë e tretë - tërësisht pa ne

Testi vendimtar i besimit në artefakt është nëse dikush mund të verifikojë kalimin pa infrastrukturën tonë. Procesi:

  1. Merrni bajtet e versionit DPP nga çdo burim (CDN, arkivë publike, regjistri i BE-së ose një arkivë e palës së tretë)
  2. Kanonizoni grupin e të dhënave dhe llogaritni hash-in e tij
  3. Merrni çelësat publikë të lëshuesit dhe të Transpareo-s përmes adresave të specifikuara në pasaportë
  4. Verifikoni të dy firmat kundrejt hash-it - nëse të dyja përputhen, pasaporta është e vërtetë dhe e pandryshuar

Pa hyrje, pa nevojë për të thirrur Transpareo, pa varësi nga një platformë aktive.

Çfarë është aktualisht në funksion dhe çfarë pritet të vijë

Nënshkrimet, verifikimi i shfletuesit, identiteti DID:web dhe sjellja e çelësit tuaj (BYOK) janë në përdorim. Arkiva e paprekur dhjetëvjeçare është krijuar dhe do të hyjë në funksion sapo DPP-të të regjistrohen në Regjistrin e BE-së. Aftësia e Nënshkrimit Elektronik të Kualifikuar (QES) për regjistrimin në BE planifikohet për momentin kur të finalizohen Rregullorja e eIDAS dhe ndërfaqja e regjistrit.

Parimi mbetet i njëjtë në të gjitha rastet: sapo diçka të jetë nënshkruar dhe arkivuar, ajo mbetet e verifikueshme, pavarësisht se kush e operon platformën në të ardhmen.

Përditësime mbi nënshkrimet dhe besimin

Provat kriptografike, certifikatat dhe regjistrimi - zhvillimet më të rëndësishme, të dorëzuara në kutinë tuaj të postës elektronike çdo muaj.