Kas yra EUDI ir kaip tinka „Dusk Network“ citadelė…

10 m. vasario 2023 d. Europos Sąjunga paskelbė įdomų, bet neįtikėtinai sudėtingai pavadintą dokumentą, konkrečiai „Bendros sąjungos įrankių rinkinys koordinuotam požiūriui į Europos skaitmeninės tapatybės sistemą: Europos skaitmeninės tapatybės piniginės architektūra ir atskaitos sistema, arba ARF“. Čia mes pasinersime į šį dokumentą ir tai, ką jis reiškia Europai ir „Dusk Network“, ir, kad viskas būtų trumpai, vadovausimės pačios ES siūlomomis šio dokumento santrumpos: EUDI ir ARF.

Kas yra EUDI?

Europos skaitmeninės tapatybės (EUDI) koncepcija brendo jau kurį laiką. Dar 3 m. birželio 2021 d. Europos Komisija paskelbė apie savo ketinimą rodyti pavyzdį, kad šis produktas būtų prieinamas visiems Europos piliečiams. Dabar, praėjus beveik dvejiems metams, ES yra pasirengusi pradėti bandomąjį etapą. Bet ką pilotuoti?

Iš tikrųjų EUDI yra tapatybės nustatymo forma, kurią gali naudoti bet kurios Europos Sąjungos valstybės narės pilietis, bet kuri Europos Sąjungoje veikianti įmonė ir kurią priima bet kuri Europos Sąjungos verslo ar vyriausybinė agentūra. Užuot pakeitusi jau egzistuojančius tapatybės mechanizmus (ty nacionalines asmens tapatybės korteles), EUDI yra greta jų kaip pagalbinė skaitmeninė tapatybės sistema. Pavyzdžiui, Nyderlandų bankas ir toliau priimtų Nyderlandų asmens tapatybės kortelę atidarant naujas sąskaitas, bet taip pat priimtų EUDI ne Nyderlandų gyventojams, o tai reiškia, kad jiems reikės tik dviejų formų tapatybės patvirtinimo. Tai žingsnis į priekį, palyginti su dabartinėmis bankų galimybėmis išmokti palaikyti daugybę tapatybės sertifikatų ARBA apriboti paslaugas tik Olandijos ID turintiems žmonėms.

Tačiau EUDI neapsiribotų tik tomis paslaugomis, kurioms naudojama valstybės narės asmens tapatybės kortelė, o apimtų bet kokią sąveiką, kai reikia įrodyti asmenybę. Pati ES nustatyti naudojimo atvejai yra dideli, įskaitant:

• Saugus ir patikimas identifikavimas norint pasiekti internetines paslaugas
• Mobilumo ir skaitmeninis vairuotojo pažymėjimas
• Profesionalūs verslo sertifikatai
• Mokėjimas už daiktus, kurių kainos skiriasi, pvz., mokamus kelius
• Sveikatos įrašai, pvz., patentų santraukos arba el. receptai
• Išsilavinimo pažymėjimai ir profesinė kvalifikacija
• Skaitmeninių finansų produktai
• Skaitmeniniai kelionių įgaliojimai (pvz., pasai ir vizos)

Šiuo metu tapatybės ir įgaliojimų įrodinėjimas Europos Sąjungoje yra painus ir linkęs į klaidas. Tiesą sakant, norint, ką pilietis bandytų daryti, reikia daugybės skirtingų sertifikatų, kurių skaičius ir stilius įvairiose valstybėse narėse taip pat skiriasi. Laikydamiesi Europos misijos suvienyti visas valstybes nares į vieną prekybos ir kelionių erdvę, jie nori išspręsti šią problemą su vienu visiems skirtu EUDI.

Kas yra ARF?

ARF yra neseniai išleistas dokumentas, žymintis EUDI bandomojo etapo pradžią. Iš esmės tai yra kontrolinis sąrašas, dėl kurio kiekviena valstybė narė turi susitarti ir suderinti prieš pradedant bandomąjį projektą. Tai įtraukia:

• Kiekvieno EUDI proceso dalyvio vaidmenų ir atsakomybės apibrėžimas.
• Nurodomi funkciniai ir nefunkciniai EUDI piniginės reikalavimai.
• Galimų statybinių blokų nustatymas.

Kadangi kiekvienos valstybės narės EUDI įgyvendinimas turi būti suderinamas su visomis kitomis, labai svarbu, kad visi pradėtų remdamiesi tais pačiais standartais ir vartodami nuoseklią terminiją. Tai svarbu, kai kalbama apie specifiškumą, pvz., asmens tapatybės dokumento ar dokumento galiojimo patvirtinimą. Pavyzdžiui, jei sertifikatas turi galiojimo pabaigos datą, jis turėtų automatiškai tapti negaliojančiu tą dieną arba vėliau. Tačiau ar išdavėjas taip pat turėtų turėti galimybę atšaukti sertifikatą bet kuriuo momentu prieš natūraliai pasibaigus sertifikato galiojimui? Ir jei kas nors galioja „kol bus atšauktas“, ar tam reikia bet kuriuo atveju galiojimo pabaigos? ARF nustato gaires, kaip visi šie dalykai turėtų būti nustatyti, kaip informacija sklistų tarp dalyvaujančių šalių ir kas turėtų prie ko prieiti.

Tai labai svarbu, atsižvelgiant į tai, kad net ir paprastame sandoryje, pavyzdžiui, studentui išduodant traukinio bilietą su nuolaida, dalyvauja kelios šalys. Šiame pavyzdyje šalys apima:

• Studentas. 
• Geležinkelio operatorius.
• Universitetas (kuris patikrina studento statusą).
• Nacionalinė studentų institucija (kuriai taip pat gali tekti patikrinti studentą).
• Geležinkelio stoties operatorius (jei kitoks nei operatorius).
• Traukinio bilietų svetainė, kurioje buvo parduotas bilietas.

Kaip matote, net ir iš pažiūros paprastas sandoris, pavyzdžiui, traukinio bilieto pirkimas studentui, gali apimti iki šešių skirtingų šalių. Ar įsivaizduojate, koks sudėtingumas gali būti susijęs su sudėtingomis finansinėmis priemonėmis?

Kodėl „Dusk Network“ tai sveikina?

„Dusk Network“ mano, kad ARF specifikacijos yra svarbus žingsnis siekiant pagerinti privatumą ir saugumą EUDI procese: du pagrindiniai mūsų prioritetai. Aukščiau pateiktas (gana paprastas) pavyzdys, kai studentas perka traukinio bilietą, pabrėžia atrankos atskleidimo poreikį. Jie leistų asmenims dalytis tik reikiama informacija, o kartu taptų nesaugi praktika, pvz., asmens tapatybės dokumentų kopijų dalijimasis arba reikalavimas, kad asmens duomenys būtų visiškai pasenę. Galite galvoti apie selektyvų atskleidimą, pavyzdžiui, parodyti kam nors savo vairuotojo pažymėjimą, bet pirštais uždengti visą informaciją, išskyrus nuotrauką, nes tai yra viskas, ko tikrai reikia.

Duomenų nutekėjimas visuomenėje tampa vis dažnesnis, o mes „Dusk“ sunerimę, kad net ir paprasčiausios operacijos turi didelį duomenų nutekėjimo potencialą. Lengviausias būdas apsaugoti vartotojus ir organizacijas yra saugoti duomenis saugiu užšifruotu formatu arba negauti jų poveikio.

Siekiant išspręsti šią problemą, ARF specifikacijose nurodoma EUDI, kuri turi turėti tokias funkcijas kaip sertifikato išdavimas ir atšaukimas, šifravimas, saugus tapatybės ir kitos asmeninės informacijos perdavimas ir daugybė atrankinio atskleidimo parinkčių. 

Tai skamba šiek tiek pažįstamai, ar ne?

Kodėl EUDI naudoti „Citadel“?

Citadelė yra „Dusk“ privatumą išsaugantis skaitmeninės tapatybės sprendimas, leidžiantis užtikrinti privatumą, atitiktį, decentralizavimą ir „vienkartinį“ požiūrį į KYC. Tai būtų puikus pasirinkimas EUDI dėl kelių priežasčių, tačiau daugiausia dėl privatumo, atitikties ir efektyvumo.

Privatumas yra pagrindinis rūpestis visiems, dalyvaujantiems EUDI procese. Citadelė pastatyta naudojant nulinių žinių įrodymai (ZKP), o tai reiškia, kad privačių duomenų nereikia atskleisti, norint patvirtinti, kad asmuo turi teisėtą prieigą prie paslaugos, turi teisę atvykti į šalį ar teisėtą teisę kažkur būti. Šis požiūris į privatumą ir tapatybę yra naujas ir revoliucinis, todėl galima rasti sprendimą, kuris išsaugo privatumą ir užtikrina saugų tapatybės patvirtinimą. Šia prasme jis viršija dabartinį EUDI siekį išleisti skaitmeninę to, kas jau egzistuoja, versiją. 

ZKP turi teisę įrodyti, kad kažkas yra tiesa be jokio kito atskleidimo, o EUDI atveju tai reikštų, kad žmonėms suteikiama teisė įrodyti tinkamumą nesidalinant savo tapatybe. Nesvarbu, ar jie atvyksta į šalį, atidaro banko sąskaitą ar net naudojasi paslauga, „Citadel“ užtikrins, kad jų duomenys išliktų privatūs, taip pat smarkiai sumažintų bet kokią įsilaužėlių atakų tikimybę.

Atitiktis yra dar vienas privalumas, kurį siūlo Citadel, ypač programuojamas atitikimas. ES gali programuoti savo reglamentus pačioje Citadelėje, o tai ne tik užtikrina atitiktį, bet ir leidžia lengviau atnaujinti taisykles, kai viskas keičiasi. 

Pavyzdžiui, „Brexit“ metu „Citadelė“ kaip EUDI galėjo būti naudojama sistemai atnaujinti ir pakeisti, kas buvo leidžiama ir neleistina, kad būtų lengviau laikytis reikalavimų. Tikėtina, kad JK piliečių EUDI būtų buvę negaliojantys. 

Galiausiai, efektyvumas yra esminis Citadelės pranašumas. Skirtingai nuo tradicinių sistemų, kurioms reikalingi dideli duomenų saugojimo ir atitikties skyriai, „Citadel“ pašalina šių išlaidų poreikį. Naudojant Citadelę, nereikėtų saugoti perteklinių duomenų bazių kopijų, kuriose saugoma maždaug 450 milijonų žmonių skaitmeninė tapatybė, kartu su visais teisės, atitikties ir kibernetinio saugumo departamentais. Bus perduodami tik tinkamumo įrodymai, o duomenys – ne. Jei nėra ko nulaužti, nereikia visų šių išlaidų. 

Apibendrinant galima pasakyti, kad „Citadelė“ gali suteikti ES ir jos piliečiams privatumo, programuojamo atitikties ir veiksmingumo, kurių jiems reikia, kad skaitmeninė tapatybė būtų sėkminga. Naudodama nulinių žinių kriptografiją ir programuojamą atitiktį, „Citadel“ siūlo naują požiūrį į skaitmeninę tapatybę, kuris yra saugus ir efektyvus bei gali pakeisti tapatybės patvirtinimo būdą.