Mikä on EUDI ja miten Dusk Networkin Citadel sopii…

Euroopan unioni julkaisi 10. helmikuuta 2023 jännittävän, mutta uskomattoman monimutkaisen nimen asiakirjan, erityisesti The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework tai ARF. Sukellamme tähän asiakirjaan ja sen merkitykseen Euroopalle ja Dusk Networkille täällä, ja pitääksemme asiat lyhyesti, noudatamme EU:n omia ehdottamia lyhenteitä tälle asiakirjalle: EUDI ja ARF.

Mikä on EUDI?

Eurooppalaisen digitaalisen identiteetin (EUDI) käsite on kypsynyt jo jonkin aikaa. Jo 3. kesäkuuta 2021 Euroopan komissio ilmoitti aikovansa olla edelläkävijä tämän tuotteen saattamisessa kaikkien Euroopan kansalaisten saataville. Nyt, lähes kaksi vuotta myöhemmin, EU on valmis siirtymään pilottivaiheeseen. Mutta mitä pilotti?

Käytännössä EUDI on tunnistusmuoto, jota voivat käyttää minkä tahansa Euroopan unionin jäsenvaltion kansalainen, mikä tahansa Euroopan unionissa toimiva yritys ja jonka kaikki yritykset tai valtion virastot hyväksyvät Euroopan unionissa. Sen sijaan, että EUDI korvaisi olemassa olevia henkilöllisyysmekanismeja (eli kansallisia henkilökortteja), se toimii niiden rinnalla digitoituna aputunnistusjärjestelmänä. Esimerkiksi alankomaalainen pankki hyväksyisi edelleen hollantilaisen henkilökortin uusien tilien avaamiseen, mutta hyväksyisi myös EUDI:n muille kuin Alankomaissa asuville, mikä tarkoittaa, että heidän tarvitsee tukea vain kahta henkilöllisyyden todentamistapaa. Tämä on askel eteenpäin pankkien nykyisistä vaihtoehdoista joko oppia tukemaan lukuisia henkilöllisyysvarmenteita TAI rajoittamaan palvelut vain henkilöihin, joilla on hollantilainen henkilöllisyystodistus.

EUDI ei kuitenkaan rajoittuisi vain palveluihin, joihin jäsenvaltion henkilökorttia käytetään, vaan se ulottuisi myös kaikkiin vuorovaikutukseen, jossa henkilöä koskevat attribuutit on todistettava. EU:n itsensä tunnistamat käyttötapaukset ovat laajat, mukaan lukien:

• Turvallinen ja luotettava tunnistaminen verkkopalveluihin pääsyä varten
• Liikkuvuus ja digitaalinen ajokortti
• Ammattimaiset yritystodistukset
• Maksaminen asioista, joissa on erilaisia ​​hintoja, kuten maksullisista teistä
• Terveystiedot, kuten patenttiyhteenvedot tai sähköiset reseptit
• Koulutustodistus ja ammatillinen pätevyys
• Digital Finance -tuotteet
• Digitaaliset matkatodistukset (kuten passit ja viisumit)

Tällä hetkellä henkilöllisyyden ja valtakirjojen todistaminen Euroopan unionissa on hämmentävää ja altista virheille. Itse asiassa tarvitaan valtava määrä erilaisia ​​sertifiointeja, mitä tahansa kansalainen yrittääkin tehdä. Niiden määrä ja tyyli vaihtelevat myös jäsenvaltioittain. Uskollisena eurooppalaiselle tehtävälle harmonisoida kaikki jäsenvaltiot yhdeksi kauppa- ja matkailualueeksi, he haluavat ratkaista tämän ongelman yhdellä EUDI:lla kaikille.

Mikä on ARF?

ARF on tuore asiakirja, joka merkitsee EUDI-pilottivaiheen alkua. Se on pohjimmiltaan tarkistuslista, joka kunkin jäsenvaltion on sovittava ja harmonisoitava ennen pilotoinnin aloittamista. Tämä sisältää:

• Jokaisen EUDI-prosessin toimijan roolit ja vastuut määritetään.
• EUDI-lompakon toiminnalliset ja ei-toiminnalliset vaatimukset.
• Mahdollisten rakennuspalikoiden tunnistaminen.

Koska jokaisen jäsenvaltion EUDI:n täytäntöönpanon on oltava yhteentoimivaa kaikkien muiden kanssa, on tärkeää, että kaikki aloittavat rakentamalla samojen standardien pohjalta ja käyttämällä johdonmukaista terminologiaa. Tämä on tärkeää, kun on kyse yksityiskohdista, kuten henkilötodistuksen tai asiakirjan voimassaolon varmentamisesta. Jos sertifikaatilla on esimerkiksi viimeinen voimassaolopäivä, sen pitäisi automaattisesti raukeaa kyseisenä päivänä tai sen jälkeen. Mutta pitäisikö myöntäjällä olla myös mahdollisuus peruuttaa varmenne milloin tahansa ennen kuin varmenne luonnollisesti vanhenee? Ja jos jokin on voimassa 'kunnes se peruutetaan', tarvitseeko sille viimeistä voimassaolopäivää varmuuden vuoksi? ARF määrittelee suuntaviivat, miten kaikki nämä asiat tulisi järjestää, miten tieto kulkisi osapuolten välillä ja kenen pitäisi päästä käsiksi mihinkin.

Tämä on ratkaisevan tärkeää, koska useat osapuolet ovat mukana jopa yksinkertaisessa tapahtumassa, kuten alennusjunalipun myöntäminen opiskelijalle. Tässä esimerkissä osapuolia ovat:

• Opiskelija. 
• Rautatieliikenteen harjoittaja.
• Yliopisto (joka vahvistaa opiskelijan aseman).
• Kansallinen ylioppilaskunta (jonka on ehkä myös vahvistettava opiskelija).
• Rautatieaseman pitäjä (jos eri kuin liikenteenharjoittaja).
• Junalippujen verkkosivusto, joka myi lipun.

Kuten näet, jopa näennäisesti yksinkertainen tapahtuma, kuten junalippu opiskelijalle, voi sisältää jopa kuusi eri osapuolta. Voitteko kuvitella, millaista monimutkaisuutta kehittyneiden rahoitusinstrumenttien käsittelyssä voi olla?

Miksi Dusk Network suhtautuu tähän myönteisesti?

Dusk Networkissa uskomme, että ARF-määritykset ovat tärkeä askel kohti yksityisyyden ja turvallisuuden parantamista EUDI-prosessissa: kaksi tärkeintä prioriteettiamme. Yllä oleva (melko yksinkertainen) esimerkki junalippua ostavasta opiskelijasta korostaa valikoivan paljastamisen tarvetta. Ne antaisivat yksilöille mahdollisuuden jakaa vain tarpeellisia tietoja ja samalla tehdä vaarallisista käytännöistä, kuten henkilöllisyystodistusten kopioiden jakamisesta tai henkilötietojen vaatimisesta täysin vanhentuneita. Voit ajatella valikoivaa paljastamista, kuten ajokorttisi näyttämistä, mutta sormillasi peittämällä kaikki tiedot paitsi valokuvasi, koska se on kaikki mitä todella tarvitaan.

Tietovuodot ovat yleistymässä yhteiskunnassa, ja me Duskissa olemme huolissamme siitä, että yksinkertaisimmissakin transaktioissa on suuri mahdollisuus tietovuotoon. Helpoin tapa suojata käyttäjiä ja organisaatioita on joko tallentaa tiedot turvallisessa salatussa muodossa tai olla altistamatta niille.

Tämän ongelman ratkaisemiseksi ARF-määritykset viittaavat EUDI:hen, jossa on oltava ominaisuuksia, kuten varmenteen myöntäminen ja peruuttaminen, salaus, identiteetin ja muiden henkilötietojen turvallinen siirto sekä valikoima valikoivaa paljastamisvaihtoehtoa. 

Se kuulostaa vähän tutulta, eikö?

Miksi käyttää Citadelia EUDI:lle?

Linnoitus on Duskin yksityisyyttä suojeleva digitaalinen identiteettiratkaisu, joka mahdollistaa yksityisyyden, vaatimustenmukaisuuden, hajautuksen ja yhden ja tehdyn lähestymistavan KYC:hen. Sellaisenaan se olisi loistava valinta EUDI:lle useista syistä, mutta enimmäkseen yksityisyyden, vaatimustenmukaisuuden ja tehokkuuden vuoksi.

Yksityisyys on keskeinen huolenaihe kaikille EUDI-prosessiin osallistuville. Citadel on rakennettu käyttäen nollatietotodisteet (ZKP:t), mikä tarkoittaa, että henkilökohtaisia ​​tietoja ei tarvitse paljastaa sen varmistamiseksi, että henkilöllä on laillinen pääsy palveluun, oikeus tulla maahan tai laillinen oikeus olla jossain. Tämä lähestymistapa yksityisyyteen ja henkilöllisyyteen on uusi ja vallankumouksellinen ja mahdollistaa ratkaisun, joka säilyttää yksityisyyden ja tarjoaa silti turvallisen henkilöllisyyden todentamisen. Siinä mielessä se ylittää EUDI:n nykyisen tavoitteen julkaista digitaalinen versio jo olemassa olevasta. 

ZKP:lla on valta todistaa, että jokin on totta ilman muuta paljastamista, ja EUDI:n tapauksessa tämä tarkoittaisi, että ihmisillä on valta todistaa kelpoisuus ilman, että heidän tarvitsee jakaa henkilöllisyyttään. Tulipa he maahan, avaavat pankkitilin tai jopa käyttävät palvelua, Citadel varmistaa, että heidän tietonsa pysyvät yksityisinä ja vähentäisi dramaattisesti hakkereiden hyökkäysten mahdollisuutta.

Yhteensopivuus on toinen Citadelin tarjoama etu, erityisesti ohjelmoitava yhteensopivuus. EU voi ohjelmoida määräyksensä itse Citadeliin, mikä ei ainoastaan ​​takaa niiden noudattamista, vaan myös helpottaa säännösten päivittämistä asioiden muuttuessa. 

Esimerkiksi Brexitin aikana Citadelia EUDI:na olisi voitu käyttää päivittämään järjestelmää ja muuttamaan sitä, mikä oli sallittua ja mikä ei ollut sallittua, mikä helpottaa vaatimustenmukaisuuden ylläpitämistä. Oletettavasti Yhdistyneen kuningaskunnan kansalaisten EUDI-todistukset olisi tehty mitättömäksi. 

Lopuksi tehokkuus on Citadelin ratkaiseva etu. Toisin kuin perinteiset järjestelmät, jotka vaativat laajan tiedontallennus- ja vaatimustenmukaisuusosastot, Citadel eliminoi näiden kustannusten tarpeen. Citadelin avulla ei tarvitsisi ylläpitää ylimääräisiä kopioita tietokannoista, jotka tallentavat noin 450 miljoonan ihmisen digitaalisen identiteetin, sekä kokonaisia ​​laki-, vaatimustenmukaisuus- ja kyberturvallisuusosastoja. Vain kelpoisuustodistus välitettäisiin, mutta tietoja ei. Jos ei ole mitään hakkeroitavaa, ei kaikkea tätä yleiskustannuksia tarvita. 

Yhteenvetona voidaan todeta, että Citadelilla on potentiaalia tarjota sekä EU:lle että sen kansalaisille yksityisyyttä, ohjelmoitavaa yhteensopivuutta ja tehokkuutta, joita he tarvitsevat digitaalisen identiteetin onnistumiseksi. Nolla-tietosalauksen ja ohjelmoitavan yhteensopivuuden ansiosta Citadel tarjoaa uuden lähestymistavan digitaaliseen henkilöllisyyteen, joka on sekä turvallinen että tehokas ja jolla on potentiaalia mullistaa tapamme lähestyä henkilöllisyyden todentamista.