Mis on EUDI ja kuidas Dusk Networki tsitadell sobib…

10. veebruaril 2023 avaldas Euroopa Liit põneva, kuid uskumatult keerulise nimega dokumendi, täpsemalt The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework ehk ARF. Sukeldume sellesse dokumenti ja sellesse, mida see Euroopa ja Dusk Networki jaoks tähendab siin, ning lühidalt hoidmiseks järgime selle dokumendi jaoks ELi enda soovitatud lühendeid: EUDI ja ARF.

Mis on EUDI?

Euroopa digitaalse identiteedi (EUDI) kontseptsioon on juba mõnda aega küpsenud. 3. juunil 2021 teatas Euroopa Komisjon oma kavatsusest olla teejuhiks selle toote kättesaadavaks tegemisel kõigile Euroopa kodanikele. Nüüd, peaaegu kaks aastat hiljem, on EL valmis alustama katsefaasi. Aga mida piloteerida?

Tegelikult on EUDI identifitseerimisvorm, mida saavad kasutada iga Euroopa Liidu liikmesriigi kodanikud, kõik Euroopa Liidus tegutsevad ettevõtted ja mida aktsepteerivad kõik Euroopa Liidu äri- või valitsusasutused. Selle asemel, et asendada olemasolevaid identiteedimehhanisme (st riiklikke ID-kaarte), on EUDI nende kõrval digiteeritud identiteedi abisüsteem. Näiteks Hollandi pank aktsepteeriks jätkuvalt Hollandi isikutunnistust uute kontode avamisel, kuid aktsepteeriks ka EUDI-d mitte-Hollandi residentide puhul, mis tähendab, et nad peavad toetama ainult kahte identiteedikontrolli vormi. See on samm edasi võrreldes pankade praeguste võimalustega õppida, kuidas toetada paljusid isikutunnistusi VÕI piirata teenuseid ainult Hollandi ID-ga inimestele.

EUDI ei piirduks aga ainult teenustega, milleks liikmesriigi isikutunnistust kasutatakse, vaid laieneks ka igasugusele suhtlusele, mille puhul on vaja tõendada isikut puudutavaid omadusi. EL ise tuvastas paljusid kasutusjuhtumeid, sealhulgas:

• Turvaline ja usaldusväärne tuvastamine võrguteenustele juurdepääsuks
• Liikumis- ja digitaalne juhiluba
• Professionaalsed ärisertifikaadid
• Maksmine asjade eest, kus on erinevad hinnad, näiteks tasulised teed
• Tervisekaardid, nagu patendikokkuvõtted või e-retseptid
• Haridustunnistus ja kutsekvalifikatsioon
• Digital Finance tooted
• Digitaalsed reisitunnistused (nt passid ja viisad)

Praegu on identiteedi ja volituste tõendamine Euroopa Liidus segane ja vigu sageli tekitav. Tegelikult on selleks, mida kodanik üritab teha, tohutul hulgal erinevaid sertifikaate, mille arv ja stiil on liikmesriigiti erinev. Usaldades Euroopa missioonile ühtlustada kõik liikmesriigid ühtseks kaubandus- ja reisipiirkonnaks, soovivad nad selle probleemi lahendada üheainsa EUDI-ga kõigile.

Mis on ARF?

ARF on hiljutine dokument, mis tähistab EUDI pilootfaasi algust. See on sisuliselt kontrollnimekiri, mille iga liikmesriik peab enne katsetamise alustamist kokku leppima ja ühtlustama. See sisaldab:

• Iga EUDI protsessis osaleja rollide ja kohustuste määratlemine.
• EUDI rahakoti funktsionaalsete ja mittefunktsionaalsete nõuete ülevaade.
• Võimalike ehitusplokkide tuvastamine.

Kuna igas liikmesriigis peab EUDI rakendamine olema koostalitlusvõimeline kõigi teiste liikmesriikidega, on ülioluline, et kõik alustaksid samadele standarditele tuginedes ja järjepidevat terminoloogiat. See on oluline selliste üksikasjade puhul nagu isikut tõendava dokumendi või dokumendi kehtivuse tõendamine. Näiteks kui sertifikaadil on aegumiskuupäev, peaks see sellel kuupäeval või pärast seda automaatselt kehtetuks muutuma. Kuid kas väljaandjal peaks olema ka võimalus sertifikaat igal ajal tühistada, enne kui sertifikaat loomulikult aegub? Ja kui miski kehtib 'kuni tühistamiseni', siis kas see vajab igaks juhuks aegumiskuupäeva? ARF määrab juhised selle kohta, kuidas kõik need asjad peaksid olema üles seatud, kuidas teave osapoolte vahel liiguks ja kellel peaks olema juurdepääs.

See on ülioluline, arvestades, et isegi lihtsas tehingus, nagu näiteks õpilasele soodushinnaga rongipileti väljastamine, on seotud mitu osapoolt. Selles näites hõlmavad osapooled:

• Õpilane. 
• Raudtee operaator.
• Ülikool (mis kontrollib üliõpilase staatust).
• Riiklik üliõpilaskond (kes peab võib-olla ka õpilast kinnitama).
• Raudteejaama operaator (kui see erineb operaatorist).
• Rongipiletite veebisait, mis pileti müüs.

Nagu näete, võib isegi pealtnäha lihtne tehing nagu õpilasele rongipileti ostmine hõlmata kuni kuut erinevat osapoolt. Kas kujutate ette, millist keerukust võib keeruliste finantsinstrumentidega käsitlemine kaasa tuua?

Miks Dusk Network seda tervitab?

Dusk Networkis usume, et ARF-i spetsifikatsioonid on oluline samm privaatsuse ja turvalisuse parandamise suunas EUDI protsessis: kaks meie peamist prioriteeti. Ülaltoodud (üsna lihtne) näide õpilase kohta, kes ostab rongipileti, toob esile valikulise avalikustamise vajaduse. Need võimaldaksid üksikisikutel jagada ainult vajalikku teavet, muutes samal ajal ebaturvalised tavad, nagu isikutunnistuste koopiate jagamine või isikuandmete täieliku vananemise nõudmine. Võite mõelda valikulisele avalikustamisele, näiteks oma juhiloa näitamisele, kuid sõrmedega varjates kogu teabe peale teie foto, sest see on kõik, mida tegelikult vaja on.

Andmelekked on ühiskonnas muutumas üha tavalisemaks ja meie Duskis oleme mures, et isegi kõige lihtsamatel tehingutel on suur potentsiaal andmete lekkeks. Lihtsaim viis kasutajate ja organisatsioonide kaitsmiseks on salvestada andmed turvalises krüptitud vormingus või mitte saada nendega kokkupuudet.

Selle probleemi lahendamiseks osutavad ARF-i spetsifikatsioonid EUDI-le, millel peavad olema sellised funktsioonid nagu sertifikaadi väljastamine ja tühistamine, krüpteerimine, identiteedi ja muu isikuandmete turvaline edastamine ning valik valikulise avalikustamise valikuid. 

See kõlab veidi tuttavalt, kas pole?

Miks kasutada Citadelit EUDI jaoks?

Kants on Duski privaatsust säilitav digitaalse identiteedi lahendus, mis võimaldab privaatsust, vastavust, detsentraliseerimist ja ühemõttelist lähenemist KYC-le. Sellisena oleks see suurepärane valik EUDI jaoks mitmel põhjusel, kuid peamiselt privaatsuse, vastavuse ja tõhususe huvides.

Privaatsus on kõigi EUDI protsessis osalevate inimeste peamine murekoht. Tsitadell on ehitatud kasutades nullteadmiste tõendid (ZKP-d), mis tähendab, et isikuandmeid ei pea avaldama selleks, et kinnitada, et isikul on õigustatud juurdepääs teenusele, tal on õigus riiki siseneda või seaduslik õigus kuskil viibida. Selline lähenemine privaatsusele ja identiteedile on uus ja revolutsiooniline ning võimaldab lahendust, mis säilitab privaatsuse, tagades samas turvalise identiteedikontrolli. Selles mõttes ületab see EUDI praeguse ambitsiooni anda välja digitaalne versioon juba olemasolevast. 

ZKP-del on õigus tõestada, et miski on tõsi ilma igasuguse muu avalikustamiseta ja EUDI puhul tähendab see, et see annab inimestele õiguse tõendada sobivust ilma, et nad peaksid oma identiteeti jagama. Olenemata sellest, kas nad sisenevad mõnda riiki, avavad pangakonto või pääsevad isegi teenusele, tagab Citadel nende andmete privaatsuse ning vähendab järsult häkkerite rünnakute võimalust.

Vastavus on veel üks eelis, mida Citadel pakub, eriti programmeeritav vastavus. EL saab programmeerida oma eeskirjad Citadellisse, mis mitte ainult ei taga vastavust, vaid muudab ka eeskirjade ajakohastamise asjade muutudes lihtsamaks. 

Näiteks Brexiti ajal oleks võinud tsitadelli kui EUDI-d kasutada süsteemi värskendamiseks ning lubatud ja mittelubatud muutmiseks, muutes nõuete järgimise lihtsamaks. Arvatavasti oleks Ühendkuningriigi kodanike EUDI-d kehtetuks muutunud. 

Lõpuks on tõhusus Citadeli oluline eelis. Erinevalt traditsioonilistest süsteemidest, mis nõuavad ulatuslikke andmesalvestus- ja vastavusosakondi, välistab Citadel nende kulude vajaduse. Citadeliga ei oleks vaja säilitada üleliigseid koopiaid andmebaasidest, mis salvestavad ligikaudu 450 miljoni inimese digitaalset identiteeti, lisaks terveid õigus-, vastavus- ja küberjulgeolekuosakondi. Edastataks ainult abikõlblikkust tõendav dokument, andmeid aga mitte. Kui pole midagi häkkida, pole kogu seda üldkulusid vaja. 

Kokkuvõtteks võib öelda, et Citadell on potentsiaal pakkuda nii ELile kui ka selle kodanikele privaatsust, programmeeritavat vastavust ja tõhusust, mida nad vajavad digitaalse identiteedi õnnestumiseks. Tänu nullteadmiste krüptograafia kasutamisele ja programmeeritavale vastavusele pakub Citadel uut lähenemist digitaalsele identiteedile, mis on ühtaegu turvaline ja tõhus ning võib muuta identiteedi kontrollimise lähenemisviisi.