Довіра, яка витримує випробування часом: підписи та сертифікати в DPP
БлогТехніка30/05/2026

Довіра, яка витримує випробування часом: підписи та сертифікати в DPP

DPP має залишатися доступним для перевірки протягом десяти років - навіть якщо завтра провайдер платформи зникне. Відповідь полягає не в довірі до компанії, а в довірі до самого артефакту.

Цифровий паспорт продукту повинен залишатися доступним для перевірки протягом десяти років і довше. Програмна платформа рідко працює так довго. Ця суперечність має чіткий висновок: довіра до цифрового паспорта продукту (DPP) не повинна залежати від постачальника, а має бути пов’язана безпосередньо з набором даних. Довіра до артефакту, а не до компанії.

Як це виглядає на практиці, можна проілюструвати на прикладі чотирьох складових.

Кожна версія DPP підписується

Перед фіксацією Transpareo перевіряє набір даних на відповідність обов’язковим полям для конкретної категорії (валідація SHACL). Якщо ця перевірка завершується невдало, публікація відхиляється - підписується лише повний паспорт, що відповідає правилам.

Якщо DPP публікується, Transpareo фіксує його вміст як версію DPP і підписує її двома незалежними ключами: одним від емітента, іншим від Transpareo. За допомогою функції «Принеси свій власний ключ» (BYOK) виробник використовує власний кінцевий пункт підпису - Transpareo ніколи не зберігає приватний ключ і лише додає незалежний контрпідпис, завдяки чому підпис емітента є таким, який Transpareo самостійно створити не може.

Використовується алгоритм Ed25519⁠ на основі канонічної форми набору даних ( Схема канонізації JSON, RFC 8785⁠). Дві підписи, два незалежні один від одного авторитети.

Перевірка відбувається у браузері користувача. Відкритий рендерер Transpareo Time Machine завантажує байти, перераховує хеш і перевіряє обидві підписи, не звертаючись до нашого сервера. Хто не довіряє, може переглянути код.

Ідентичність емітента розміщена на власному домені

Щоб перевіряючий міг знайти відкриті ключі, кожен емітент публікує свою ідентичність як DID:web⁠ на власному домені, доступ до якої здійснюється через чітко визначену адресу в каталозі /.well-known/. Ми свідомо відмовилися від класичного сертифіката у форматі X.509: ланцюжки сертифікатів втрачають чинність протягом десятиліть, тоді як HTTPS-адреса на власному домені залишається надійною та під вашим контролем.

Якщо ключ замінюється, старі підписи залишаються перевіреними - старий ключ і надалі підтверджує те, що він колись підписав, не підписуючи нових документів. А оскільки емітент може перенести свій домен після зміни провайдера, Transpareo дзеркально копіює кожен відкритий ключ на постійну адресу на момент публікації. Таким чином, кожна версія DPP залишається перевіреною, навіть якщо початковий хост колись зникне.

Реєстрація в ЄС супроводжується кваліфікованою печаткою

Подання до майбутнього реєстру EU-DPP вимагає більше, ніж звичайний підпис: кожна реєстрація має бути забезпечена кваліфікованою електронною печаткою (QES) відповідно до Регламенту eIDAS 910/2014⁠. QES є апаратним і прив’язаним до перевіреної юридичної особи - це найвищий рівень довіри, передбачений законодавством ЄС.

Ця можливість використання кваліфікованого печатки буде доступна, щойно законодавчий акт eIDAS та інтерфейс реєстру набудуть остаточного вигляду. Для цього Transpareo буде надавати власну послугу печатки з використанням власного пристрою печатки та кваліфікованого сертифіката від D-Trust, кваліфікованого постачальника довірчих послуг, - завдяки чому виробники, які самі не експлуатують інфраструктуру печаток, зможуть виконати вимогу щодо QES без власного обладнання.

Архів, який переживе самого постачальника

Як тільки DPP будуть зареєстровані в реєстрі ЄС, кожна версія DPP додатково архівується у незмінному вигляді на десять років - ані виробник, ані Transpareo не зможуть змінити її згодом. Щоб цей архів залишався доступним навіть у разі, якщо Transpareo одного дня перестане існувати, його фінансування забезпечено нотаріальним депонуванням у Швейцарії. Отже, обіцянка щодо довговічності є не лише технічною, а й договірною.

Ось як третя сторона перевіряє паспорт - зовсім без нашої участі

Вирішальним критерієм довіри до артефакту є те, чи може хтось перевірити паспорт без використання нашої інфраструктури. Процес такий:

  1. Отримати байти версії DPP з будь-якого джерела (CDN, публічний архів, реєстр ЄС або архів третьої сторони)
  2. Канонізувати набір даних і обчислити його хеш
  3. Отримати відкриті ключі емітента та Transpareo за адресами, вказаними в паспорті
  4. Перевірити обидва підписи щодо хешу - якщо обидва збігаються, паспорт є справжнім і не зміненим

Без входу в систему, без дзвінка до Transpareo, без залежності від діючої платформи.

Що працює сьогодні та що готується

Підписи, перевірка в браузері, ідентифікація DID:web та функція «Принеси свій власний ключ» (BYOK) вже використовуються. Незмінний десятирічний архів створено, і він почне діяти, щойно DPP будуть зареєстровані в реєстрі ЄС. Передбачається впровадження кваліфікованої електронної печатки (QES) для реєстрації в ЄС, щойно будуть остаточно затверджені законодавчий акт eIDAS та інтерфейс реєстру.

Принцип у будь-якому разі залишається незмінним: те, що одного разу було підписано та заархівовано, залишається перевіреним, незалежно від того, хто буде керувати платформою завтра.

Оновлення щодо підписів та довіри

Криптографічні докази, сертифікати та реєстрація - найважливіші новини щомісяця у вашій поштовій скриньці.