数字产品护照必须确保在十年及以上的时间内仍可进行验证。而软件平台很少能维持这么久。这一矛盾带来一个明确的结论:对数字产品护照的信任不应依赖于提供商,而必须与数据集本身紧密相连。信任的是产品本身,而非企业。
这在实践中如何体现,可通过以下四个核心要素来阐明。
每个DPP版本均需进行签名
在数据冻结之前,Transpareo会根据类别特定的必填字段对数据集进行验证(SHACL验证)。 如果验证失败,则拒绝发布 - - 只有完整且符合规则的通行证才会被签名。
一旦 DPP 发布,Transpareo 会将其内容作为 DPP 版本冻结,并使用两把独立密钥进行签名:一把来自签发方,另一把来自 Transpareo。 通过“自带密钥”(BYOK)机制,制造商运营着自己的签名端点 - - Transpareo 绝不持有私钥,仅补充独立的对签,从而确保签发者签名是 Transpareo 自身无法生成的。
该流程采用 Ed25519 算法,基于数据集的规范化形式(即 JSON 规范化方案,RFC 8785)。两个签名,两个相互独立的权威机构。
验证在用户的浏览器中进行。开源渲染器Transpareo Time Machine会加载数据字节,重新计算哈希值,并验证两个签名,而无需联系我们的服务器。如有疑虑,可查阅源代码。
签发者身份公布在其自有域名上
为了让验证者能够找到公钥,每位发行者都会在其自有域名上以 DID:web 的形式发布其身份信息,该信息可通过 /.well-known/ 下的明确定义的地址解析。 这有意识地避免了传统 X.509 证书的模式:证书链在数十年间会过期,而您自有域名上的 HTTPS 地址则始终稳健可靠且由您掌控。
即使密钥轮换,旧签名仍可验证 - - 旧密钥仍可验证其曾经签名的内容,但不会对新文件进行签名。而且,由于签发者在更换服务商后仍可保留其域名,Transpareo 会在发布时将每个公钥映射到一个永久地址。 因此,即使原始主机最终消失,每个DPP版本仍可被验证。
欧盟注册附带合格电子印章
向即将推出的欧盟DPP注册库提交申请时,要求不仅限于普通签名: 每项注册都必须附 有符合eIDAS条例 910/2014 规定的合格电子印章(QES)。QES 基于硬件,并与经过认证的法人实体绑定 - - 这是欧盟法律所认可的最高信任级别。
一旦《eIDAS条例》及注册接口最终确定,该合格电子印章功能即可投入使用。 为此,Transpareo将运营自己的电子印章服务,配备自主持有的电子印章设备以及由合格信任服务提供商D-Trust签发的合格证书 - - 这样,那些未自行运营电子印章基础设施的制造商,无需自有硬件即可满足QES要求。
一个比服务商更长久的档案库
一旦DPP在欧盟注册处完成注册,每个DPP版本都将被以不可更改的形式存档十年 - - 无论是制造商还是Transpareo,事后均无法对其进行修改。 为了确保即使Transpareo未来不再存在,该归档仍可访问,其资金来源已通过在瑞士的公证托管得到保障。因此,这一承诺不仅在技术层面,而且在合同层面都旨在确保长期有效。
第三方如何验证通行证 - - 完全无需我们介入
检验对该数字资产信任度的关键测试 ## ,在于他人能否在不依赖我们基础设施的情况下验证## 通行证。具体流程如下:
- 从任意来源(CDN、公共档案库、欧盟注册库或第三方档案库)获取 DPP 版本的字节数据
- 对数据集进行规范化处理并计算其哈希值
- 通过护照中注明的地址获取签发方和 Transpareo 的公钥
- 将两个签名与哈希值进行比对 - - 若两者均匹配,则该护照真实且未被篡改
无需登录,无需致电 Transpareo,也不依赖于任何正在运行的平台。
当前运行状况及准备工作
签名、浏览器验证、DID:web身份验证和“自带密钥”(BYOK) ## 功能均已投入使用。不可篡改的十年存档已建立,一旦DPP在欧盟注册处完成注册,该存档即刻生效。 一旦《eIDAS条例》和注册处接口最终确定,将提供用于欧盟注册的合格电子印章(QES)功能。
无论如何,基本原则始终不变:一旦完成签名和归档,相关内容始终可验证,无论未来由谁运营该平台。