Czym jest EUDI i jak Cytadela Dusk Network pasuje do…

10 lutego 2023 r. Unia Europejska opublikowała ekscytujący, ale niezwykle skomplikowany dokument, a konkretnie The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, czyli ARF. Przyjrzymy się temu dokumentowi i wyjaśnimy, co on oznacza dla Europy i sieci Dusk Network, a żeby zachować zwięzłość, zastosujemy się do sugerowanych przez UE skrótów tego dokumentu: EUDI i ARF.

Co to jest EUDI?

Koncepcja europejskiej tożsamości cyfrowej (EUDI) dojrzewa już od jakiegoś czasu. Już 3 czerwca 2021 r. Komisja Europejska ogłosiła, że ​​zamierza przewodzić w udostępnianiu tego produktu wszystkim obywatelom Europy. Teraz, prawie dwa lata później, UE jest gotowa do przejścia do fazy pilotażowej. Ale pilotowanie czego?

W efekcie EUDI jest formą identyfikacji, z której może korzystać każdy obywatel dowolnego państwa członkowskiego Unii Europejskiej, każda firma działająca w Unii Europejskiej i akceptowana przez każdą firmę lub agencję rządową w Unii Europejskiej. Zamiast zastępować istniejące wcześniej mechanizmy tożsamości (tj. krajowe dowody tożsamości), EUDI jest obok nich jako pomocniczy cyfrowy system tożsamości. Na przykład bank w Holandii nadal akceptowałby holenderski dowód tożsamości przy otwieraniu nowych rachunków, ale akceptowałby również kod EUDI dla osób niebędących rezydentami Holandii, co oznacza, że ​​musiałby obsługiwać tylko dwie formy weryfikacji tożsamości. Jest to krok naprzód w porównaniu z obecnymi opcjami banków, aby dowiedzieć się, jak obsługiwać mnóstwo certyfikatów tożsamości LUB ograniczyć usługi tylko do osób posiadających holenderskie dowody tożsamości.

EUDI nie byłby jednak ograniczony tylko do usług, do których wykorzystywany jest dowód tożsamości państwa członkowskiego, ale obejmowałby raczej wszelkie interakcje, w przypadku których konieczne jest udowodnienie atrybutów danej osoby. Przypadki użycia zidentyfikowane przez samą UE są bardzo szerokie, w tym:

• Bezpieczna i zaufana identyfikacja w celu uzyskania dostępu do usług online
• Mobilność i cyfrowe prawo jazdy
• Profesjonalne certyfikaty biznesowe
• Płacenie za rzeczy, w przypadku których występują różne ceny, takie jak płatne drogi
• Dokumentacja medyczna, taka jak streszczenia patentów lub e-recepty
• Posiadane wykształcenie i uprawnienia zawodowe
• Cyfrowe produkty finansowe
• Cyfrowe poświadczenia podróży (takie jak paszporty i wizy)

Obecnie potwierdzanie tożsamości i poświadczeń w Unii Europejskiej jest mylące i podatne na błędy. W rzeczywistości do tego, co obywatel próbuje zrobić, potrzebna jest ogromna liczba różnych certyfikatów, które również różnią się liczbą i stylem w poszczególnych państwach członkowskich. Zgodnie z europejską misją zharmonizowania wszystkich państw członkowskich w jeden obszar handlu i podróży, chcą rozwiązać ten problem za pomocą jednego EUDI dla wszystkich.

Co to jest ARF?

ARF to najnowszy dokument, który wyznacza początek fazy pilotażowej EUDI. Zasadniczo jest to lista kontrolna, którą każde państwo członkowskie musi uzgodnić i zharmonizować przed rozpoczęciem pilotażu. To zawiera:

• Określenie ról i obowiązków każdego uczestnika procesu EUDI.
• Określenie wymagań funkcjonalnych i niefunkcjonalnych portfela EUDI.
• Identyfikacja potencjalnych bloków budulcowych.

Ponieważ wdrożenie EUDI w każdym państwie członkowskim musi być interoperacyjne ze wszystkimi pozostałymi, niezwykle ważne jest, aby każdy zaczął od oparcia się na tym samym zestawie standardów i stosowania spójnej terminologii. Jest to ważne, jeśli chodzi o szczegóły, takie jak poświadczenie ważności dowodu osobistego lub dokumentu. Na przykład, jeśli certyfikat ma datę wygaśnięcia, powinien automatycznie utracić ważność w dniu lub po tej dacie. Ale czy wystawca powinien mieć również możliwość unieważnienia certyfikatu w dowolnym momencie przed jego naturalnym wygaśnięciem? A jeśli coś jest ważne „do odwołania”, czy na wszelki wypadek potrzebuje daty wygaśnięcia? ARF określa wytyczne dotyczące tego, jak wszystkie te rzeczy powinny być skonfigurowane, w jaki sposób informacje będą przepływać między zaangażowanymi stronami i kto powinien mieć do czego dostęp.

Ma to kluczowe znaczenie, biorąc pod uwagę, że w nawet prostą transakcję, taką jak wydanie studentowi biletu kolejowego ze zniżką, zaangażowanych jest wiele stron. W tym przykładzie stronami są:

• Uczeń. 
• Operator kolejowy.
• Uczelnia (która weryfikuje status studenta).
• Krajowa organizacja studencka (która może również musieć zweryfikować studenta).
• Operator stacji kolejowej (jeśli jest inny niż operator).
• Witryna internetowa biletu kolejowego, na której sprzedano bilet.

Jak widać, nawet pozornie prosta transakcja, jak zakup biletu kolejowego dla studenta, może dotyczyć nawet sześciu różnych stron. Czy potrafisz sobie wyobrazić, z jaką złożonością wiąże się radzenie sobie z wyrafinowanymi instrumentami finansowymi?

Dlaczego Dusk Network przyjmuje to z zadowoleniem?

W Dusk Network wierzymy, że specyfikacje ARF są ważnym krokiem w kierunku poprawy prywatności i bezpieczeństwa w procesie EUDI: dwa z naszych głównych priorytetów. Powyższy (dość prosty) przykład studenta kupującego bilet kolejowy podkreśla potrzebę selektywnych ujawnień. Pozwoliłyby one jednostkom udostępniać tylko niezbędne informacje, jednocześnie wprowadzając niebezpieczne praktyki, takie jak udostępnianie kopii dokumentów tożsamości lub wymaganie, aby dane osobowe były całkowicie nieaktualne. Możesz pomyśleć o selektywnym ujawnieniu, takim jak pokazanie komuś prawa jazdy, ale palcami zakrywasz wszystkie informacje oprócz zdjęcia, ponieważ to wszystko, czego naprawdę potrzebujesz.

Wycieki danych stają się coraz bardziej powszechne w społeczeństwie, a my w Dusk jesteśmy zaniepokojeni, że nawet najprostsze transakcje niosą ze sobą duży potencjał wycieku danych. Najłatwiejszym sposobem ochrony użytkowników i organizacji jest przechowywanie danych w bezpiecznym, zaszyfrowanym formacie lub unikanie ich narażenia.

Aby rozwiązać ten problem, specyfikacje ARF wskazują, że EUDI musi posiadać takie funkcje, jak wydawanie i unieważnianie certyfikatów, szyfrowanie, bezpieczne przesyłanie tożsamości i innych danych osobowych oraz szereg opcji selektywnego ujawniania. 

To brzmi trochę znajomo, prawda?

Dlaczego warto używać Citadel do EUDI?

Cytadela to chroniące prywatność rozwiązanie tożsamości cyfrowej Dusk, które pozwala na prywatność, zgodność, decentralizację i jednorazowe podejście do KYC. Jako taki byłby doskonałym wyborem dla EUDI z wielu powodów, ale głównie ze względu na prywatność, zgodność i wydajność.

Prywatność jest kluczową kwestią dla wszystkich zaangażowanych w proces EUDI. Cytadela jest zbudowana przy użyciu dowody wiedzy zerowej (ZKP), co oznacza, że ​​nie trzeba ujawniać danych prywatnych, aby potwierdzić, że dana osoba ma legalny dostęp do usługi, jest upoważniona do wjazdu do kraju lub ma uzasadnione prawo przebywania w jakimś miejscu. To podejście do prywatności i tożsamości jest nowe i rewolucyjne i pozwala na rozwiązanie, które chroni prywatność, a jednocześnie zapewnia bezpieczną weryfikację tożsamości. W tym sensie wykracza to poza obecne ambicje EUDI polegające na opublikowaniu cyfrowej wersji tego, co już istnieje. 

ZKP mają uprawnienia do udowodnienia, że ​​coś jest prawdą bez żadnego innego ujawnienia, aw przypadku EUDI oznaczałoby to umożliwienie ludziom udowodnienia uprawnień bez konieczności ujawniania swojej tożsamości. Niezależnie od tego, czy wjeżdżają do kraju, otwierają konto bankowe, czy nawet uzyskują dostęp do usługi, Citadel zapewni, że ich dane pozostaną prywatne, a także radykalnie zmniejszy wszelkie szanse na ataki hakerów.

Zgodność to kolejna zaleta oferowana przez Citadel, w szczególności zgodność programowalna. UE może zaprogramować swoje przepisy w samej Cytadeli, co nie tylko zapewnia zgodność, ale także ułatwia aktualizację przepisów w miarę zmian. 

Na przykład podczas Brexitu Citadel jako EUDI mógł zostać wykorzystany do aktualizacji systemu i zmiany tego, co było, a co nie było dozwolone, ułatwiając utrzymanie zgodności. Przypuszczalnie, EUDI obywateli Wielkiej Brytanii zostałyby unieważnione. 

Wreszcie, wydajność jest kluczową zaletą Citadel. W przeciwieństwie do tradycyjnych systemów, które wymagają rozbudowanych działów przechowywania danych i zgodności, Citadel eliminuje konieczność ponoszenia tych kosztów. Dzięki Citadel nie byłoby potrzeby utrzymywania nadmiarowych kopii baz danych przechowujących tożsamość cyfrową około 450 milionów ludzi, wraz z całymi działami prawnymi, zgodności i cyberbezpieczeństwa. Przekazywany byłby tylko dowód kwalifikowalności, a dane nie. Jeśli nie ma nic do zhakowania, nie ma potrzeby na te wszystkie koszty ogólne. 

Podsumowując, Citadel może zapewnić zarówno UE, jak i jej obywatelom prywatność, programowalną zgodność i wydajność, których potrzebują, aby tożsamości cyfrowe odniosły sukces. Dzięki zastosowaniu kryptografii o zerowej wiedzy i programowalnej zgodności Citadel oferuje nowe podejście do tożsamości cyfrowej, które jest zarówno bezpieczne, jak i wydajne i może zrewolucjonizować sposób, w jaki podchodzimy do weryfikacji tożsamości.