Що таке EUDI і як Citadel від Dusk Network підходить…

10 лютого 2023 року Європейський Союз опублікував захоплюючий, але неймовірно складний документ під назвою «Загальний інструментарій Союзу для скоординованого підходу до європейської системи цифрової ідентифікації: архітектура та еталонна структура гаманця європейської цифрової ідентифікації» (ARF). Ми зануримося в цей документ і розглянемо, що він означає для Європи та для Dusk Network, і, щоб бути короткими, дотримуватимемося абревіатур, запропонованих ЄС для цього документа: EUDI та ARF.

Що таке EUDI?

Концепція європейської цифрової ідентифікації (EUDI) назрівала вже деякий час. Ще 3 червня 2021 року Європейська комісія оголосила про свій намір зробити цей продукт доступним для всіх європейських громадян. Тепер, майже через два роки, ЄС готовий почати перехід до пілотної фази. Але пілотувати що?

По суті, EUDI — це форма ідентифікації, яка може використовуватися будь-яким громадянином будь-якої країни-члена Європейського Союзу, будь-якою компанією, що працює в Європейському Союзі, і прийнята будь-яким бізнесом або урядовою установою в Європейському Союзі. Замість того, щоб замінити існуючі механізми ідентифікації (тобто національні ідентифікаційні картки), EUDI стоїть поряд із ними як допоміжна оцифрована система ідентифікації. Наприклад, банк у Нідерландах продовжить приймати голландське посвідчення особи для відкриття нових рахунків, але також прийматиме EUDI для нерезидентів Нідерландів, тобто їм потрібно буде підтримувати лише дві форми підтвердження особи. Це крок вперед у порівнянні з поточними можливостями банків: або навчитися підтримувати безліч сертифікатів особи, АБО надати послуги лише людям з голландськими ідентифікаторами.

EUDI, однак, не обмежуватиметься лише послугами, для яких використовується посвідчення особи країни-члена, а скоріше поширюватиметься на будь-яку взаємодію, де потрібно підтвердити атрибути особи. Випадки використання, які сам ЄС визначив, дуже широкі, зокрема:

• Безпечна та надійна ідентифікація для доступу до онлайн-сервісів
• Мобільність і цифрові водійські права
• Професійні бізнес-сертифікати
• Оплата за речі, де існують різні ціни, наприклад платні дороги
• Записи про здоров’я, як-от резюме патентів або електронні рецепти
• Документи про освіту та професійну кваліфікацію
• Цифрові фінансові продукти
• Цифрові облікові дані для подорожей (наприклад, паспорти та візи)

Наразі підтвердження особи та облікових даних у Європейському Союзі є заплутаним і схильним до помилок. Насправді, необхідна величезна кількість різних сертифікатів для того, що б не намагався зробити громадянин, які також відрізняються за кількістю та стилем від країни-члена до країни-члена. Вірні європейській місії гармонізувати всі країни-члени в єдину зону торгівлі та подорожей, вони хочуть вирішити цю проблему за допомогою єдиного EUDI для всіх.

Що таке ARF?

АРФ є нещодавнім документом, який знаменує початок пілотної фази EUDI. По суті, це контрольний список для кожної країни-члена, який необхідно погодити та узгодити перед початком пілотування. Це включає:

• Визначення ролей та обов'язків кожного учасника процесу EUDI.
• Опис функціональних і нефункціональних вимог гаманця EUDI.
• Визначення потенційних будівельних блоків.

Оскільки імплементація EUDI кожною державою-членом має бути сумісною з усіма іншими, дуже важливо, щоб усі починали з того самого набору стандартів і використовували узгоджену термінологію. Це важливо, коли йдеться про такі особливості, як підтвердження дійсності посвідчення особи чи документа. Наприклад, якщо сертифікат має термін дії, він повинен автоматично стати недійсним після цієї дати. Але чи повинен емітент також мати можливість відкликати сертифікат у будь-який момент до природного закінчення терміну дії сертифіката? І якщо щось дійсне «до скасування», чи потрібен термін придатності про всяк випадок? ARF встановлює вказівки щодо того, як усі ці речі мають бути налаштовані, як інформація буде проходити між залученими сторонами та хто має мати до чого доступ.

Це надзвичайно важливо, враховуючи, що навіть у такій простій операції, як видача пільгового залізничного квитка студенту, задіяно кілька сторін. У цьому прикладі сторони включають:

• Студент. 
• Оператор залізниці.
• Університет (який підтверджує статус студента).
• Національна студентська рада (яка також може перевірити студента).
• Оператор залізничної станції (якщо відрізняється від оператора).
• Веб-сайт із продажу квитків на потяг.

Як бачите, навіть у такій, здавалося б, простій операції, як купівля квитка на поїзд для студента, може бути задіяно до шести різних сторін. Чи можете ви уявити, яку складність може мати робота зі складними фінансовими інструментами?

Чому Dusk Network вітає це?

Ми в Dusk Network вважаємо, що специфікації ARF є важливим кроком до покращення конфіденційності та безпеки в процесі EUDI: два з наших головних пріоритетів. Наведений вище (досить простий) приклад студента, який купує квиток на поїзд, підкреслює необхідність вибіркового розкриття інформації. Вони дозволять окремим особам ділитися лише необхідною інформацією, водночас роблячи небезпечні практики, такі як обмін копіями посвідчень особи або вимагання персональних даних, повністю застарілими. Ви можете подумати про вибіркове розголошення, наприклад, показати комусь своє водійське посвідчення, але пальцями закривати всю інформацію, крім вашої фотографії, оскільки це все, що насправді потрібно.

Витоки даних стають все більш поширеними в суспільстві, і ми в Dusk боїмося, що навіть найпростіші транзакції містять великий потенціал для витоку даних. Найпростіший спосіб захистити користувачів і організації — зберігати дані в безпечному зашифрованому форматі або не розкривати їх.

Щоб вирішити це занепокоєння, специфікації ARF вказують на EUDI, який повинен мати такі функції, як видача та відкликання сертифікатів, шифрування, безпечна передача ідентифікаційної та іншої особистої інформації, а також ряд варіантів вибіркового розкриття. 

Це звучить трохи знайомо, чи не так?

Навіщо використовувати Citadel для EUDI?

Цитадель це рішення Dusk для збереження конфіденційності цифрової ідентифікації, яке забезпечує конфіденційність, відповідність вимогам, децентралізацію та єдиний підхід до KYC. Таким чином, це було б чудовим вибором для EUDI з багатьох причин, але здебільшого для конфіденційності, відповідності та ефективності.

Конфіденційність є ключовою проблемою для всіх, хто бере участь у процесі EUDI. Цитадель побудована з використанням докази з нульовим знанням (ZKPs), що означає, що особисті дані не потрібно розкривати, щоб підтвердити, що особа має законний доступ до послуги, їй дозволено в’їзд до країни або законне право десь перебувати. Цей підхід до конфіденційності та ідентифікації є новим і революційним і дозволяє створити рішення, яке зберігає конфіденційність, водночас забезпечуючи безпечну перевірку особи. У цьому сенсі це виходить за рамки поточних амбіцій EUDI щодо випуску цифрової версії того, що вже існує. 

ZKP мають повноваження доводити, що щось правдиве, без будь-якого іншого розголошення, а у випадку EUDI це означає надання людям повноважень доводити відповідність вимогам, не повідомляючи свою особу. Незалежно від того, в'їжджають вони в країну, відкривають банківський рахунок або навіть отримують доступ до служби, Citadel забезпечить збереження конфіденційності їхніх даних, а також значно зменшить будь-які шанси хакерських атак.

Відповідність є ще однією перевагою, яку пропонує Citadel, зокрема програмована відповідність. ЄС може запрограмувати свої правила в самій Citadel, що не тільки забезпечує відповідність, але й полегшує оновлення правил у міру змін. 

Наприклад, під час Brexit Citadel як EUDI можна було використати для оновлення системи та зміни того, що було дозволено, а що заборонено, що спростило підтримку відповідності. Імовірно, EUDI громадян Великобританії були б визнані недійсними. 

Нарешті, ефективність є важливою перевагою Citadel. На відміну від традиційних систем, які вимагають великого зберігання даних і відділів відповідності, Citadel усуває потребу в цих витратах. З Citadel не буде необхідності підтримувати зайві копії баз даних, що зберігають цифрові ідентифікаційні дані приблизно 450 мільйонів людей, поряд із цілими юридичними відділами, відділами відповідності та кібербезпеки. Буде передано лише підтвердження відповідності вимогам, а дані – ні. Якщо нема чого зламати, немає потреби у всіх цих накладних витратах. 

Підсумовуючи, Citadel має потенціал, щоб забезпечити як ЄС, так і його громадян конфіденційність, програмовану відповідність та ефективність, необхідні для успіху цифрових ідентифікацій. Завдяки використанню криптографії з нульовим знанням і програмованій відповідності Citadel пропонує новий підхід до цифрової ідентифікації, який є безпечним і ефективним і може революціонізувати наш підхід до перевірки особи.