Mi az EUDI, és hogyan illeszkedik a Dusk Network Citadellája…

10. február 2023-én az Európai Unió közzétett egy izgalmas, de hihetetlenül bonyolult nevű dokumentumot, konkrétan a The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, vagyis ARF címet. Itt fogunk belemerülni ebbe a dokumentumba és abba, hogy mit jelent ez Európa és a Dusk Network számára, és hogy a dolgokat röviden leírjuk, követjük az EU által erre a dokumentumra javasolt rövidítéseket: EUDI és ARF.

Mi az EUDI?

Az európai digitális identitás (EUDI) koncepciója már egy ideje kialakulóban van. Az Európai Bizottság egészen 3. június 2021-án bejelentette, hogy úttörő szerepet kíván vállalni abban, hogy ezt a terméket minden európai polgár számára elérhetővé tegye. Most, majdnem két évvel később, az EU készen áll a kísérleti szakaszba való átlépésre. De mi a pilóta?

Az EUDI tulajdonképpen egy olyan azonosítási forma, amelyet az Európai Unió bármely tagállamának bármely állampolgára használhat, bármely, az Európai Unióban működő vállalat, és amelyet az Európai Unió bármely üzleti vagy kormányzati szerve elfogad. Ahelyett, hogy felváltaná a már meglévő személyazonossági mechanizmusokat (azaz a nemzeti személyazonosító kártyákat), az EUDI kiegészítő digitalizált személyazonossági rendszerként illeszkedik azokhoz. Például egy holland bank továbbra is elfogadná a holland személyi igazolványt új számlanyitáskor, de EUDI-t is elfogadna a nem holland lakosok számára, ami azt jelenti, hogy csak kétféle személyazonosság-ellenőrzést kellene támogatniuk. Ez egy előrelépés a bankok jelenlegi lehetőségeihez képest, hogy megtanulják, hogyan támogassák a rengeteg személyazonossági tanúsítványt, VAGY a szolgáltatást csak a holland személyi igazolvánnyal rendelkező személyekre korlátozzák.

Az EUDI azonban nem csak azokra a szolgáltatásokra korlátozódik, amelyekre a tagállami személyazonosító igazolványt használják, hanem kiterjedne minden olyan interakcióra is, ahol egy személyre vonatkozó tulajdonságokat kell igazolni. Az EU által maga azonosított felhasználási esetek széles körben terjednek, beleértve:

• Biztonságos és megbízható azonosítás az online szolgáltatások eléréséhez
• Mobilitási és digitális jogosítvány
• Szakmai üzleti bizonyítványok
• Fizetni olyan dolgokért, ahol eltérő árak vannak, például fizetős utakért
• Egészségügyi nyilvántartások, például szabadalmi összefoglalók vagy e-receptek
• Iskolai végzettség és szakmai végzettség
• Digital Finance termékek
• Digitális utazási igazolványok (például útlevelek és vízumok)

Jelenleg a személyazonosság és a hitelesítő adatok bizonyítása az Európai Unióban zavaros és tévedésekre hajlamos. Valójában nagyon sok különböző tanúsítványra van szükség ahhoz, amit egy polgár meg akar tenni, amelyek száma és stílusa is tagállamonként eltérő. Az összes tagállam egységes kereskedelmi és utazási térségbe történő harmonizálását célzó európai misszióhoz híven egyetlen, mindenki számára elérhető EUDI-vel kívánják megoldani ezt a problémát.

Mi az ARF?

ARF egy friss dokumentum, amely az EUDI kísérleti szakaszának kezdetét jelzi. Ez lényegében egy ellenőrző lista, amelyben minden tagállamnak meg kell állapodnia és harmonizálnia kell a kísérleti kísérlet megkezdése előtt. Ebbe beletartozik:

• Az EUDI folyamat minden szereplőjének szerepének és felelősségének meghatározása.
• Az EUDI Wallet funkcionális és nem funkcionális követelményeinek felvázolása.
• A lehetséges építőelemek azonosítása.

Mivel az EUDI végrehajtásának minden tagállamban interoperábilisnak kell lennie az összes többi tagállammal, nagyon fontos, hogy mindenki ugyanazon szabványrendszerre építsen és következetes terminológiát használjon. Ez akkor fontos, ha olyan konkrétumokról van szó, mint például egy személyi igazolvány vagy dokumentum érvényességének igazolása. Például, ha egy tanúsítványnak van lejárati dátuma, akkor automatikusan érvénytelenné kell válnia ezen a napon vagy azt követően. De a kibocsátónak lehetősége van arra is, hogy bármikor visszavonja a tanúsítványt, mielőtt a tanúsítvány természetesen lejár? És ha valami „visszavonásig” érvényes, akkor minden esetre kell-e lejárati dátumot adni? Az ARF iránymutatásokat határoz meg arra vonatkozóan, hogy mindezeket hogyan kell beállítani, hogyan folynának az információk az érintett felek között, és kinek mihez kell hozzáférnie.

Ez döntő fontosságú, mivel egy egyszerű tranzakcióban is több fél vesz részt, például egy diáknak szóló kedvezményes vasúti jegy kiadásában. Ebben a példában a felek a következők:

• A diák. 
• A vasút üzemeltetője.
• Az egyetem (amely ellenőrzi a hallgató státuszát).
• Országos diákszervezet (amelynek esetleg igazolnia kell a hallgatót).
• A vasútállomás üzemeltetője (ha eltér az üzemeltetőtől).
• A vonatjegyet árusító webhely.

Amint látja, még egy olyan egyszerűnek tűnő tranzakció is, mint például a vonatjegy vásárlása egy diák számára, akár hat különböző felet is érinthet. El tudja képzelni, milyen bonyolult lehet a kifinomult pénzügyi eszközök kezelése?

Miért üdvözli ezt a Dusk Network?

A Dusk Networknél hiszünk abban, hogy az ARF-specifikációk fontos lépést jelentenek az EUDI folyamatban a magánélet és a biztonság javítása felé: ez a két fő prioritás. A fenti (meglehetősen egyszerű) példa, amikor egy diák vonatjegyet vásárol, rávilágít a szelektív közzététel szükségességére. Lehetővé tennék az egyének számára, hogy csak a szükséges információkat osszák meg, ugyanakkor a nem biztonságos gyakorlatokat, például az igazolványok másolatának megosztását vagy a személyes adatok megkövetelését teljesen elavulttá tennék. Gondolhat olyan szelektív nyilvánosságra hozatalra, mint például, ha valakinek megmutatja a jogosítványát, de úgy, hogy ujjaival takarja el az összes információt, kivéve a fényképét, mivel csak erre van szükség.

Az adatszivárgások egyre gyakoribbak a társadalomban, és mi a Dusk-ban is megriadunk, hogy a legegyszerűbb tranzakciók is nagy adatszivárgási lehetőséget rejtenek magukban. A felhasználók és szervezetek védelmének legegyszerűbb módja az, ha biztonságos, titkosított formátumban tárolja az adatokat, vagy nem éri el őket.

Ennek az aggálynak a megoldása érdekében az ARF specifikációi olyan EUDI-re mutatnak rá, amelynek rendelkeznie kell olyan funkciókkal, mint a tanúsítványkibocsátás és visszavonás, a titkosítás, a személyazonosság és egyéb személyes adatok biztonságos átvitele, valamint számos szelektív közzétételi lehetőség. 

Ez egy kicsit ismerősen hangzik, nem?

Miért használja a Citadelt az EUDI-hoz?

Fellegvár a Dusk adatvédelmet megőrző digitális identitásmegoldása, amely lehetővé teszi a magánélet védelmét, a megfelelőséget, a decentralizációt és a KYC egyszeri megközelítését. Mint ilyen, nagyszerű választás lenne az EUDI számára több okból is, de leginkább az adatvédelem, a megfelelőség és a hatékonyság miatt.

A magánélet védelme mindenki számára kulcsfontosságú, aki részt vesz az EUDI folyamatban. A Citadella felhasználásával épült zéró tudású bizonyítékok (ZKP-k), ami azt jelenti, hogy nem kell felfedni a személyes adatokat annak igazolására, hogy egy személy jogos hozzáféréssel rendelkezik egy szolgáltatáshoz, jogosult-e belépni egy országba, vagy törvényes joga van valahol tartózkodni. A magánélet és a személyazonosság ezen megközelítése új és forradalmi, és olyan megoldást tesz lehetővé, amely megőrzi a magánéletet, miközben továbbra is biztonságos személyazonosság-ellenőrzést biztosít. Ebben az értelemben túlmutat az EUDI azon jelenlegi törekvésén, hogy a már létezők digitális változatát adják ki. 

A ZKP-k minden más nyilvánosságra hozatal nélkül is képesek bizonyítani, hogy valami igaz, és az EUDI esetében ez azt eredményezné, hogy az embereknek joguk van igazolni a jogosultságot anélkül, hogy meg kellene osztaniuk személyazonosságukat. Függetlenül attól, hogy belépnek egy országba, bankszámlát nyitnak, vagy akár egy szolgáltatást is igénybe vesznek, a Citadel gondoskodik arról, hogy adataik privátak maradjanak, valamint drámaian csökkenti a hackerek támadásainak esélyét.

A megfelelőség egy másik előny, amelyet a Citadel kínál, különösen a programozható megfelelőség. Az EU magába a Citadellába programozhatja a szabályozását, ami nem csak a megfelelést biztosítja, hanem megkönnyíti a szabályozás aktualizálását is a dolgok változásával. 

Például a Brexit idején a Citadellát mint EUDI-t fel lehetett volna használni a rendszer frissítésére, valamint a megengedett és a nem megengedett módosítására, így egyszerűbbé vált a megfelelés fenntartása. Feltehetően az Egyesült Királyság állampolgárainak EUDI-jeit érvénytelenné tették volna. 

Végül, a hatékonyság a Citadella döntő előnye. A hagyományos rendszerekkel ellentétben, amelyek kiterjedt adattárolást és megfelelőségi osztályokat igényelnek, a Citadel szükségtelenné teszi ezeket a költségeket. A Citadellával nem lenne szükség a mintegy 450 millió ember digitális identitását tároló adatbázisok redundáns másolatainak fenntartására, a teljes jogi, megfelelőségi és kiberbiztonsági osztályok mellett. Csak a jogosultság igazolását továbbítanák, az adatokat viszont nem. Ha nincs mit feltörni, akkor nincs szükség erre az egészre. 

Összefoglalva, a Citadella képes biztosítani mind az EU, mind a polgárai számára a magánélet védelmét, a programozható megfelelést és a hatékonyságot, amelyre a digitális identitás sikeréhez szükségük van. A nulla tudásalapú kriptográfia használatának és a programozható megfelelőségnek köszönhetően a Citadel a digitális személyazonosság új megközelítését kínálja, amely biztonságos és hatékony, és forradalmasíthatja a személyazonosság-ellenőrzés megközelítését.