Co je EUDI a jak se hodí Citadela Dusk Network…

Dne 10. února 2023 zveřejnila Evropská unie vzrušující, ale neuvěřitelně komplikovaně pojmenovaný dokument, konkrétně The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, neboli ARF. Zde se ponoříme do tohoto dokumentu a do toho, co to znamená pro Evropu a pro Dusk Network, a abychom byli struční, budeme se řídit zkratkami navrženými EU pro tento dokument: EUDI a ARF.

Co je EUDI?

Koncept evropské digitální identity (EUDI) se připravuje již nějakou dobu. Dne 3. června 2021 Evropská komise oznámila svůj záměr stát průkopníkem v zpřístupnění tohoto produktu všem evropským občanům. Nyní, téměř o dva roky později, je EU připravena zahájit pilotní fázi. Ale co pilotovat?

EUDI je ve skutečnosti forma identifikace, kterou může použít kterýkoli občan kteréhokoli členského státu Evropské unie, jakákoli společnost působící v Evropské unii a kterou může přijmout jakýkoli podnik nebo vládní agentura v Evropské unii. Spíše než nahrazování již existujících mechanismů identity (tj. národní průkazy totožnosti), EUDI je vedle nich jako pomocný digitalizovaný systém identity. Například banka v Nizozemsku by i nadále akceptovala nizozemský průkaz totožnosti pro nové otevření účtu, ale také by akceptovala EUDI pro osoby, které nejsou nizozemskými rezidenty, což znamená, že by potřebovali podporovat pouze dvě formy ověření totožnosti. Toto je krok kupředu oproti současným možnostem bank naučit se buď podporovat nepřeberné množství certifikátů totožnosti, NEBO omezit služby pouze na lidi s nizozemskými ID.

EUDI by však nebylo omezeno pouze službami, ke kterým se používá občanský průkaz členského státu, ale rozšířilo by se také na jakoukoli interakci, kde je třeba prokázat vlastnosti osoby. Případy použití, které sama EU identifikovala, jsou velmi široké, včetně:

• Bezpečná a důvěryhodná identifikace pro přístup k online službám
• Mobilita a digitální řidičský průkaz
• Profesionální obchodní certifikace
• Placení za věci, kde se vyskytují různé ceny, jako jsou zpoplatněné silnice
• Zdravotní záznamy, jako jsou souhrny patentů nebo elektronické recepty
• Doklady o vzdělání a odborná kvalifikace
• Digitální finanční produkty
• Digitální cestovní doklady (jako jsou pasy a víza)

V současné době je prokazování totožnosti a pověření v Evropské unii matoucí a náchylné k chybám. Ve skutečnosti je pro cokoli, co se občan snaží udělat, zapotřebí obrovské množství různých certifikací, které se také liší počtem a stylem v jednotlivých členských státech. Věrni evropskému poslání harmonizovat všechny členské státy do jediné obchodní a cestovní oblasti si přejí tento problém vyřešit pomocí jediného EUDI pro všechny.

Co je ARF?

ARF je nedávný dokument, který znamená začátek pilotní fáze EUDI. Je to v podstatě kontrolní seznam, na kterém se musí každý členský stát dohodnout a harmonizovat před zahájením pilotáže. To zahrnuje:

• Definování rolí a odpovědností každého hráče v procesu EUDI.
• Nastínění funkčních a nefunkčních požadavků peněženky EUDI.
• Identifikace potenciálních stavebních kamenů.

Vzhledem k tomu, že implementace EUDI v každém členském státě musí být interoperabilní se všemi ostatními, je důležité, aby každý začal tím, že bude stavět na stejném souboru standardů a používat konzistentní terminologii. To je důležité, pokud jde o specifika, jako je certifikace platnosti ID nebo dokumentu. Pokud má například certifikát datum vypršení platnosti, měl by se automaticky stát neplatným k tomuto datu nebo později. Ale měl by mít vydavatel také možnost zrušit certifikát kdykoli předtím, než certifikát přirozeně vyprší? A pokud něco platí „do odvolání“, potřebuje to pro každý případ datum vypršení platnosti? ARF stanoví směrnice, jak by měly být všechny tyto věci nastaveny, jak by informace mezi zúčastněnými stranami proudily a kdo by měl mít k čemu přístup.

To je zásadní vzhledem k tomu, že i do jednoduché transakce, jako je vydání slevové jízdenky na vlak studentovi, je zapojeno více stran. V tomto příkladu strany zahrnují:

• Student. 
• Provozovatel železnice.
• Univerzita (která ověřuje status studenta).
• Národní studentský orgán (který může také muset studenta ověřit).
• Provozovatel železniční stanice (pokud se liší od provozovatele).
• Webová stránka lístků na vlak, která lístek prodala.

Jak vidíte, i zdánlivě jednoduchá transakce, jako je nákup jízdenky na vlak pro studenta, může zahrnovat až šest různých stran. Dokážete si představit, jakou složitost může zahrnovat jednání se sofistikovanými finančními nástroji?

Proč to Dusk Network vítá?

V Dusk Network věříme, že specifikace ARF jsou důležitým krokem ke zlepšení soukromí a bezpečnosti v procesu EUDI: dvě z našich hlavních priorit. Výše uvedený (poměrně jednoduchý) příklad studenta, který si kupuje jízdenku na vlak, zdůrazňuje potřebu selektivního zveřejňování. Umožnily by jednotlivcům sdílet pouze nezbytné informace a zároveň by byly nebezpečné praktiky, jako je sdílení kopií průkazů totožnosti nebo vyžadování osobních údajů, zcela zastaralé. Můžete si představit selektivní zveřejnění, jako je ukázat někomu svůj řidičský průkaz, ale s prsty pokrývajícími všechny informace kromě vaší fotografie, protože to je vše, co je skutečně potřeba.

Úniky dat jsou ve společnosti stále častější a my v Dusk jsme znepokojeni tím, že i ty nejjednodušší transakce mají velký potenciál pro únik dat. Nejjednodušší způsob, jak ochránit uživatele a organizace, je buď ukládat data v zabezpečeném šifrovaném formátu, nebo se k nim nedostávat.

Aby se tento problém vyřešil, specifikace ARF poukazují na EUDI, které musí mít funkce, jako je vydávání a zneplatnění certifikátu, šifrování, bezpečný přenos identity a dalších osobních informací a řadu možností selektivního zpřístupnění. 

To zní trochu povědomě, že?

Proč používat Citadel pro EUDI?

Citadela je řešení digitální identity Dusk pro ochranu soukromí, které umožňuje soukromí, dodržování předpisů, decentralizaci a jednorázový přístup ke KYC. Jako takový by to byla skvělá volba pro EUDI z mnoha důvodů, ale většinou z důvodu ochrany soukromí, souladu a účinnosti.

Soukromí je klíčovým zájmem každého, kdo se účastní procesu EUDI. Citadela je postavena pomocí důkazy s nulovými znalostmi (ZKP), což znamená, že soukromá data nemusí být odhalena, aby bylo možné potvrdit, že osoba má legitimní přístup ke službě, je oprávněna vstoupit do země nebo má legitimní právo někde být. Tento přístup k soukromí a identitě je nový a revoluční a umožňuje řešení, které zachovává soukromí a zároveň poskytuje bezpečné ověření identity. V tomto smyslu jde nad rámec současné ambice EUDI vydávat digitální verzi toho, co již existuje. 

ZKP mají pravomoc prokázat, že je něco pravdivé bez jakéhokoli dalšího zveřejnění, a v případě EUDI by to znamenalo dát lidem pravomoc prokázat způsobilost, aniž by museli sdílet svou identitu. Ať už vstoupí do země, otevřou si bankovní účet nebo dokonce přistoupí ke službě, Citadel zajistí, že jejich data zůstanou soukromá, a zároveň dramaticky sníží jakoukoli šanci na útoky hackerů.

Shoda je další výhodou, kterou Citadel nabízí, konkrétně programovatelná shoda. EU může naprogramovat svá nařízení do samotné Citadely, což nejen zajišťuje soulad, ale také usnadňuje aktualizaci předpisů, když se věci mění. 

Například během Brexitu mohla být Citadela jako EUDI použita k aktualizaci systému a změně toho, co bylo a nebylo povoleno, což by usnadnilo dodržování souladu. EUDI občanů Spojeného království by pravděpodobně byly zrušeny. 

Konečně, efektivita je zásadní výhodou Citadely. Na rozdíl od tradičních systémů, které vyžadují rozsáhlé úložiště dat a oddělení shody, Citadel eliminuje potřebu těchto nákladů. S Citadelou by nebylo potřeba udržovat nadbytečné kopie databází uchovávajících digitální identity přibližně 450 milionů lidí, spolu s celými právními odděleními, odděleními pro dodržování předpisů a kybernetickou bezpečností. Byl by předán pouze doklad o způsobilosti, zatímco údaje nikoli. Pokud není co hackovat, není potřeba celá tato režie. 

Závěrem lze říci, že Citadel má potenciál poskytnout EU i jejím občanům soukromí, programovatelnou shodu a efektivitu, které potřebují k tomu, aby byly digitální identity úspěšné. Díky použití kryptografie s nulovými znalostmi a programovatelné shody nabízí Citadel nový přístup k digitální identitě, který je bezpečný i efektivní a má potenciál změnit způsob, jakým přistupujeme k ověřování identity.