Ürünün ömrünü aşan güven: DPP’deki imzalar ve sertifikalar
BlogTeknik30.05.2026

Ürünün ömrünü aşan güven: DPP’deki imzalar ve sertifikalar

Bir DPP, platform sağlayıcısı yarın ortadan kaybolsa bile on yıl boyunca denetlenebilir durumda kalmalıdır. Cevap, şirkete değil, ürüne güvenmektir.

Bir Dijital Ürün Pasaportu, on yıl ve daha uzun süre boyunca doğrulanabilir durumda kalmalıdır. Bir yazılım platformu nadiren bu kadar uzun süre dayanır. Bu çelişkinin net bir sonucu vardır: Bir DPP’ye duyulan güven, sağlayıcıya bağlı olmamalı, veri setinin kendisine bağlı olmalıdır. Şirkete değil, esere duyulan güven.

Bunun pratikte nasıl işlediği, dört temel unsurla açıklanabilir.

Her DPP sürümü imzalanır

Dondurma işleminden önce Transpareo, veri setini kategoriye özgü zorunlu alanlara göre kontrol eder (SHACL doğrulaması). Bu kontrol başarısız olursa, yayın reddedilir - yalnızca eksiksiz ve kurallara uygun bir geçiş kartı imzalanır.

Bir DPP yayınlandığında, Transpareo içeriğini bir DPP sürümü olarak dondurur ve iki bağımsız anahtarla imzalar: biri düzenleyene, diğeri Transpareo’ya aittir. Bring Your Own Key (BYOK) ile üretici kendi imza uç noktasını işletir; Transpareo özel anahtarı asla elinde tutmaz ve yalnızca bağımsız karşı imzayı ekler, böylece düzenleyici imzası Transpareo’nun kendisinin oluşturamayacağı bir imza olur.

Bu işlemde, veri setinin kanonik biçimi ( JSON Kanonikleştirme Şeması, RFC 8785⁠). İki imza, birbirinden bağımsız iki otorite.

Doğrulama, kullanıcının tarayıcısında gerçekleştirilir. Açık kaynaklı Transpareo Time Machine renderer’ı, baytları yükler, hash değerini yeniden hesaplar ve bizim sunucularımızla iletişim kurmadan her iki imzayı da doğrular. Şüphe duyanlar kodu inceleyebilir.

İhraççının kimliği kendi etki alanında bulunur

Bir denetçinin açık anahtarları bulabilmesi için, her yayıncı kimliğini DID:web⁠ olarak kendi etki alanında yayınlar; bu kimlik, /.well-known/ altındaki iyi tanımlanmış bir adres üzerinden erişilebilir. X.509 anlamında klasik bir sertifika kullanılmaması bilinçli bir tercihtir: Sertifika zincirleri on yıllar içinde geçerliliğini yitirirken, kendi etki alanınızdaki bir HTTPS adresi sağlam kalır ve sizin kontrolünüz altında olur.

Bir anahtar değiştirildiğinde, eski imzalar doğrulanabilir olmaya devam eder - eski anahtar, yeni belgeleri imzalamadan, bir zamanlar imzaladığı belgeleri doğrulamaya devam eder. Ayrıca, bir yayıncı sağlayıcı değiştirdikten sonra kendi alan adını da beraberinde götürebileceğinden, Transpareo her açık anahtarı yayınlandığı anda kalıcı bir adrese yansıtır. Böylece, orijinal barındırıcı bir gün ortadan kaybolsa bile her DPP sürümü doğrulanabilir kalır.

AB kaydı, nitelikli bir mühür taşır

Yaklaşan AB-DPP Kayıt Defteri’ne başvuru, sıradan bir imzadan daha fazlasını gerektirir: Her kayıt, eIDAS Yönetmeliği 910/2014⁠ uyarınca nitelikli bir elektronik mühür (QES) ile donatılmalıdır. Bir QES, donanım tabanlıdır ve denetlenmiş bir tüzel kişiliğe bağlıdır; bu, AB hukukunda tanınan en yüksek güven seviyesidir.

Bu nitelikli mühürleme özelliği, eIDAS mevzuatı ve kayıt defteri arayüzü nihai hale getirildiğinde devreye girecektir. Transpareo, bu amaçla kendi mühür cihazını barındıran ve nitelikli bir güven hizmeti sağlayıcısı olan D-Trust’tan alınan nitelikli bir sertifikaya sahip özel bir mühür hizmeti sunacaktır; böylece, kendi mühür altyapısını işletmeyen üreticiler, kendi donanımlarına sahip olmadan da QES yükümlülüğünü yerine getirebileceklerdir.

Sağlayıcıdan daha uzun ömürlü bir arşiv

DPP’ler AB Kayıt Sistemi’ne kaydedilir kaydedilmez, her DPP sürümü ek olarak on yıl boyunca değiştirilemez şekilde arşivlenecektir; ne üretici ne de Transpareo bunları sonradan değiştiremez. Bu arşivin, bir gün Transpareo artık var olmasa bile erişilebilir kalması için, finansmanı İsviçre’de noter nezdinde yapılan bir emanet yoluyla güvence altına alınmıştır. Dolayısıyla bu taahhüt, sadece teknik olarak değil, aynı zamanda sözleşme açısından da uzun vadeli olarak tasarlanmıştır.

İşte bir üçüncü taraf, bizim müdahil olmamamız durumunda pasaportu nasıl doğrular?

Bu esere duyulan güvenin en önemli testi, birisinin bizim altyapımız olmadan ## pasaportudoğrulayabilmesidir. Süreç şöyledir:

  1. DPP sürümünün baytlarını herhangi bir kaynaktan alın (CDN, kamu arşivi, AB kayıt defteri veya bir üçüncü taraf arşivi)
  2. Veri setini kanonik hale getirin ve hash değerini hesaplayın
  3. Pasaportta belirtilen adresler üzerinden düzenleyici ve Transpareo’nun açık anahtarlarını alın
  4. Her iki imzayı da hash değeriyle karşılaştırın - ikisi de uyuyorsa, pasaport gerçek ve değiştirilmemiştir

Giriş yapmaya gerek yok, Transpareo’yu aramaya gerek yok, çalışan bir platforma bağımlılık yok.

Şu anda çalışan ve hazırlanan özellikler

İmzalar, tarayıcı doğrulaması, DID:web kimliği ve Kendi Anahtarını Getir (BYOK) ## özelliklerikullanıma sunulmuştur. Değiştirilemez on yıllık arşiv oluşturulmuştur ve DPP’ler AB Kayıt Defteri’ne kaydedilir kaydedilmez devreye girecektir. eIDAS mevzuatı ve kayıt defteri arayüzü kesinleştiğinde, AB kaydı için nitelikli elektronik imza (QES) özelliği devreye girecektir.

İlke her durumda aynı kalır: Bir kez imzalanıp arşivlenen her şey, yarın platformu kim işletirse işletsin, doğrulanabilir olmaya devam eder.

İmzalar ve Güvenle İlgili Güncellemeler

Kriptografik kanıtlar, sertifikalar ve kayıt işlemleri - en önemli gelişmeler her ay e-posta kutunuza geliyor.