Дигитални пасош производa мора да остане проверљив десет или више година. Софтверска платформа ретко траје толико дуго. Ова противречност има јасну импликацију: поверење у ДПП не сме да зависи од провајдера, већ мора да буде везано за сам скуп података. Поверење у артефакт, а не у компанију.
Четири кључна елемента илуструју како ово функционише у пракси.
Свака верзија ДПП-а се потписује
Пре замрзавања података, Transpareo проверава скуп података у односу на обавезна поља специфична за категорију (SHACL валидација). Ако ова провера не успе, објављивање се одбија - потписује се само потпуни пасош који је у складу са прописима.
Када се DPP објави, Transpareo замрзава његов садржај као верзију DPP-а и потписује га са два независна кључа: једним издаваоца, а другим Transpareo-а. Користећи приступ “Донесите свој кључ” (BYOK), издавач управља сопственим крајњим пунктом за потпис - Transpareo никада не поседује приватни кључ и само додаје независни контрапотпис, чиме се обезбеђује да издавачев потпис не може да генерише сам Transpareo.
Шема Ed25519 користи се преко каноничког облика скупа података (the JSON шема канонизације, RFC 8785). Два потписа, два независна ауторитета.
Верификација се одвија у прегледачу корисника. Рендерер Transpareo Time Machine отвореног кода учитава бајтове, поново израчунава хаш и проверава оба потписа без контактирања било ког од наших сервера. Сви који су скептични могу да прочитају код.
Идентитет издаваоца је хостован на њиховом сопственом домену
Да би верификатор могао да пронађе јавне кључеве, сваки издавач објављује свој идентитет као DID:web на свом домену, доступан преко добро дефинисане адресе /.well-known/. Ово намерно није традиционални сертификат у смислу X.509: ланци сертификата истичу након деценија, док HTTPS адреса на вашем сопственом домену остаје робусна и под вашом контролом.
Када се кључ ротира, старији потписи остају проверљиви - стари кључ наставља да потврђује оно што је некада потписао, без потписивања нових сертификата. И пошто издавач може да понесе свој домен са собом након промене провајдера, Transpareo огледа се сваки јавни кључ на трајну адресу у тренутку објављивања. Ово обезбеђује да свака верзија DPP-а остаје проверљива, чак и ако оригинални хост нестане у неком тренутку.
Регистрација у ЕУ носи квалификовани електронски печат
Подношење предстојећем ЕУ регистру DPP захтева више од стандардног потписа: Свака регистрација мора бити праћена квалификованим електронским печатом (QES) у складу са Регулативом eIDAS 910/2014. Квалификовани електронски печат (QES) је заснован на хардверу и повезан је са провереним правном лицем - највиши ниво поверења који је признат у складу са правом ЕУ.
Ова могућност квалификованог печата планирана је за имплементацију чим буду финализовани Уредба eIDAS и интерфејс регистра. У ту сврху, Transpareo ће користити сопствену услугу оверавања помоћу унутрашњег уређаја за оверавање и квалификованог сертификата од D-Trust-а, квалификованог пружаоца услуга поверења - омогућавајући произвођачима који не користе сопствену инфраструктуру за оверавање да испуне захтев за QES без потребе за сопственим хардвером.
Архива која преживљава провајдера
Након што се DPP-ови региструју у ЕУ регистру, свака верзија DPP-а ће такође бити архивирана у непроменљивом облику на десет година - ни произвођач ни Transpareo неће моћи да их ретроактивно мењају. Да би се осигурало да ова архива остане доступна чак и ако Transpareo једног дана престане да постоји, њено финансирање је обезбеђено нотарским депозитом у Швајцарској. Обавеза је стога осмишљена за дуговечност не само технички, већ и уговорно.
Како трећа страна проверава пролаз - потпуно без нас
Одлучујући тест поверења у артефакт јесте да ли неко може да провери пролаз без наше инфраструктуре. Процес:
- Преузети бајтове верзије DPP-а из било ког извора (CDN, јавна архива, регистар ЕУ или архива треће стране)
- Канонизовати скуп података и израчунати његов хеш
- Преузети јавне кључеве издаваоца и Transpareo-а преко адреса наведених у пропусници
- Проверити оба потписа у односу на хеш - ако се оба поклопе, пасош је аутентичан и непромењен
Нема пријаве, нема потребе за позивом Transpareo-а, нема ослањања на активну платформу.
Шта је тренутно у функцији и шта је у припреми
Потписи, верификација прегледача, DID:web идентитет и “Понесите свој кључ” (BYOK) су у употреби. Непроменљива десетогодишња архива је подешена и биће оперативна чим DPP-ови буду регистровани у ЕУ регистру. Могућност квалификованог електронског потписа (QES) за регистрацију у ЕУ планирана је за тренутак када буду финализовани Уредба eIDAS и интерфејс регистра.
Принцип остаје исти у свим случајевима: када се нешто потпише и архивира, оно остаје проверљиво, без обзира на то ко у будућности управља платформом.