Τι είναι το EUDI και πώς ταιριάζει το Dusk Network's Citadel…

Στις 10 Φεβρουαρίου 2023, η Ευρωπαϊκή Ένωση δημοσίευσε ένα συναρπαστικό, αλλά με απίστευτα περίπλοκη ονομασία έγγραφο, συγκεκριμένα The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework ή ARF. Θα εξετάσουμε αυτό το έγγραφο και το τι σημαίνει για την Ευρώπη και το Dusk Network εδώ, και για να κρατήσουμε τα πράγματα σύντομα, θα ακολουθήσουμε τις συντομογραφίες που προτείνει η ίδια η ΕΕ για αυτό το έγγραφο: EUDI και ARF.

Τι είναι το EUDI;

Η έννοια της Ευρωπαϊκής Ψηφιακής Ταυτότητας (EUDI) έχει αναπτυχθεί εδώ και καιρό. Από την αρχή, στις 3 Ιουνίου 2021, η Ευρωπαϊκή Επιτροπή ανακοίνωσε την πρόθεσή της να πρωτοστατήσει στη διάθεση αυτού του προϊόντος σε όλους τους ευρωπαίους πολίτες. Τώρα, σχεδόν δύο χρόνια αργότερα, η ΕΕ είναι έτοιμη να αρχίσει να περνάει στην πιλοτική φάση. Τι πιλοτικά όμως;

Στην πραγματικότητα, το EUDI είναι μια μορφή ταυτοποίησης που μπορεί να χρησιμοποιηθεί από οποιονδήποτε πολίτη οποιουδήποτε κράτους μέλους της Ευρωπαϊκής Ένωσης, από οποιαδήποτε εταιρεία που δραστηριοποιείται στην Ευρωπαϊκή Ένωση και να γίνει αποδεκτή από οποιαδήποτε επιχείρηση ή κρατική υπηρεσία στην Ευρωπαϊκή Ένωση. Αντί να αντικαταστήσει προϋπάρχοντες μηχανισμούς ταυτότητας (δηλαδή εθνικές ταυτότητες), το EUDI βρίσκεται δίπλα σε αυτούς ως βοηθητικό ψηφιοποιημένο σύστημα ταυτότητας. Για παράδειγμα, μια τράπεζα στην Ολλανδία θα συνέχιζε να δέχεται την ολλανδική ταυτότητα για άνοιγμα νέων λογαριασμών, αλλά θα δεχόταν επίσης EUDI για μη Ολλανδούς κατοίκους, πράγμα που σημαίνει ότι θα χρειαζόταν να υποστηρίξει μόνο δύο μορφές επαλήθευσης ταυτότητας. Αυτό είναι ένα βήμα μπροστά από τις τρέχουσες επιλογές των τραπεζών είτε να μάθουν πώς να υποστηρίζουν μια πληθώρα πιστοποιητικών ταυτότητας είτε να περιορίζουν τις υπηρεσίες μόνο σε άτομα με ολλανδική ταυτότητα.

Ωστόσο, το EUDI δεν θα περιορίζεται μόνο από τις υπηρεσίες για τις οποίες χρησιμοποιείται το δελτίο ταυτότητας ενός κράτους μέλους, αλλά θα επεκτείνεται επίσης σε οποιαδήποτε αλληλεπίδραση όπου πρέπει να αποδεικνύονται χαρακτηριστικά σχετικά με ένα άτομο. Οι περιπτώσεις χρήσης που εντόπισε η ίδια η ΕΕ είναι εκτενείς, συμπεριλαμβανομένων:

• Ασφαλής και αξιόπιστη ταυτότητα για πρόσβαση σε διαδικτυακές υπηρεσίες
• Κινητικότητα και ψηφιακή άδεια οδήγησης
• Πιστοποιήσεις επαγγελματικών επιχειρήσεων
• Πληρωμή για πράγματα όπου υπάρχουν διαφορετικές τιμές, όπως δρόμοι με διόδια
• Αρχεία υγείας, όπως περιλήψεις διπλωμάτων ευρεσιτεχνίας ή ηλεκτρονικές συνταγές
• Εκπαιδευτικά προσόντα και επαγγελματικά προσόντα
• Ψηφιακά χρηματοοικονομικά προϊόντα
• Ψηφιακά ταξιδιωτικά διαπιστευτήρια (όπως διαβατήρια και βίζες)

Επί του παρόντος, η απόδειξη ταυτότητας και διαπιστευτηρίων στην Ευρωπαϊκή Ένωση προκαλεί σύγχυση και επιρρεπή σε λάθη. Στην πραγματικότητα, χρειάζεται ένας τεράστιος αριθμός διαφορετικών πιστοποιήσεων για οτιδήποτε προσπαθεί να κάνει ένας πολίτης, οι οποίες επίσης διαφέρουν σε αριθμό και στυλ από κράτος μέλος σε κράτος μέλος. Πιστοί στην ευρωπαϊκή αποστολή να εναρμονίσει όλα τα κράτη μέλη σε έναν ενιαίο εμπορικό και ταξιδιωτικό τομέα, επιθυμούν να λύσουν αυτό το πρόβλημα με ένα ενιαίο EUDI για όλους.

Τι είναι το ARF;

ARF είναι ένα πρόσφατο έγγραφο που σηματοδοτεί την έναρξη της πιλοτικής φάσης EUDI. Είναι ουσιαστικά μια λίστα ελέγχου για κάθε κράτος μέλος που πρέπει να συμφωνήσει και να εναρμονιστεί πριν ξεκινήσει η πιλοτική λειτουργία. Αυτό περιλαμβάνει:

• Καθορισμός ρόλων και ευθυνών κάθε παίκτη στη διαδικασία EUDI.
• Περιγράφει τις λειτουργικές και μη λειτουργικές απαιτήσεις του πορτοφολιού EUDI.
• Προσδιορισμός πιθανών δομικών στοιχείων.

Δεδομένου ότι η εφαρμογή του EUDI από κάθε κράτος μέλος πρέπει να είναι διαλειτουργική με όλα τα άλλα, είναι σημαντικό να ξεκινήσουν όλοι βασιζόμενοι στο ίδιο σύνολο προτύπων και χρησιμοποιώντας συνεπή ορολογία. Αυτό είναι σημαντικό όταν πρόκειται για συγκεκριμένα στοιχεία, όπως η πιστοποίηση της εγκυρότητας μιας ταυτότητας ή ενός εγγράφου. Για παράδειγμα, εάν ένα πιστοποιητικό έχει ημερομηνία λήξης, θα πρέπει αυτόματα να καταστεί άκυρο την ημερομηνία ή μετά από αυτήν. Πρέπει όμως ο εκδότης να έχει επίσης τη δυνατότητα να ανακαλέσει το πιστοποιητικό σε οποιοδήποτε σημείο πριν από τη φυσική λήξη του πιστοποιητικού; Και αν κάτι ισχύει 'μέχρι να ανακληθεί', χρειάζεται ημερομηνία λήξης για παν ενδεχόμενο; Το ARF θέτει κατευθυντήριες γραμμές για το πώς θα πρέπει να ρυθμιστούν όλα αυτά τα πράγματα, πώς θα ρέουν οι πληροφορίες μεταξύ των εμπλεκόμενων μερών και ποιος πρέπει να έχει πρόσβαση σε τι.

Αυτό είναι κρίσιμο, δεδομένου ότι πολλά μέρη εμπλέκονται ακόμη και σε μια απλή συναλλαγή, όπως η έκδοση εκπτωτικού σιδηροδρομικού εισιτηρίου σε έναν φοιτητή. Σε αυτό το παράδειγμα, τα μέρη περιλαμβάνουν:

• Ο μαθητής. 
• Ο σιδηροδρομικός φορέας.
• Το πανεπιστήμιο (το οποίο επαληθεύει την κατάσταση του φοιτητή).
• Ένα εθνικό φοιτητικό σώμα (ο οποίος μπορεί επίσης να πρέπει να επαληθεύσει τον μαθητή).
• Ο χειριστής του σιδηροδρομικού σταθμού (εάν διαφέρει από τον χειριστή).
• Ο ιστότοπος εισιτηρίων τρένου που πούλησε το εισιτήριο.

Όπως μπορείτε να δείτε, ακόμη και μια φαινομενικά απλή συναλλαγή, όπως η αγορά ενός εισιτηρίου τρένου για έναν μαθητή, μπορεί να περιλαμβάνει έως και έξι διαφορετικά μέρη. Μπορείτε να φανταστείτε τι είδους πολυπλοκότητα μπορεί να περιλαμβάνει η αντιμετώπιση εξελιγμένων χρηματοοικονομικών μέσων;

Γιατί το Dusk Network το χαιρετίζει αυτό;

Στο Dusk Network πιστεύουμε ότι οι προδιαγραφές ARF είναι ένα σημαντικό βήμα προς τη βελτίωση του απορρήτου και της ασφάλειας στη διαδικασία EUDI: δύο από τις κύριες προτεραιότητές μας. Το παραπάνω (αρκετά απλό) παράδειγμα μαθητή που αγόρασε εισιτήριο τρένου υπογραμμίζει την ανάγκη για επιλεκτικές αποκαλύψεις. Θα επέτρεπαν στα άτομα να μοιράζονται μόνο τις απαραίτητες πληροφορίες, ενώ ταυτόχρονα καθιστούν μη ασφαλείς πρακτικές όπως η κοινή χρήση αντιγράφων ταυτοτήτων ή η απαίτηση προσωπικών δεδομένων εντελώς παρωχημένες. Μπορείτε να σκεφτείτε επιλεκτικές αποκαλύψεις όπως να δείξετε σε κάποιον την άδεια οδήγησής σας, αλλά με τα δάχτυλά σας να καλύπτουν όλες τις πληροφορίες εκτός από τη φωτογραφία σας, καθώς αυτό είναι το μόνο που χρειάζεται πραγματικά.

Οι διαρροές δεδομένων γίνονται όλο και πιο συχνές στην κοινωνία και εμείς στο Dusk ανησυχούμε ότι ακόμη και οι πιο απλές συναλλαγές έχουν μεγάλες δυνατότητες διαρροής δεδομένων. Ο ευκολότερος τρόπος για την προστασία των χρηστών και των οργανισμών είναι είτε να αποθηκεύσετε δεδομένα σε ασφαλή κρυπτογραφημένη μορφή είτε να μην εκτεθείτε σε αυτά.

Για να αντιμετωπιστεί αυτή η ανησυχία, οι προδιαγραφές ARF υποδεικνύουν ένα EUDI που πρέπει να διαθέτει χαρακτηριστικά όπως έκδοση και ανάκληση πιστοποιητικού, κρυπτογράφηση, ασφαλής μεταφορά ταυτότητας και άλλων προσωπικών πληροφοριών και μια σειρά επιλεκτικών επιλογών αποκάλυψης. 

Ακούγεται λίγο οικείο, έτσι δεν είναι;

Γιατί να χρησιμοποιήσετε το Citadel για EUDI;

Ακρόπολη είναι η λύση ψηφιακής ταυτότητας της Dusk που διατηρεί το απόρρητο και επιτρέπει την προστασία του απορρήτου, τη συμμόρφωση, την αποκέντρωση και μια μοναδική προσέγγιση στο KYC. Ως εκ τούτου, θα ήταν μια εξαιρετική επιλογή για το EUDI για πολλούς λόγους, αλλά κυρίως για το απόρρητο, τη συμμόρφωση και την αποτελεσματικότητα.

Το απόρρητο αποτελεί βασικό μέλημα για όλους όσους συμμετέχουν στη διαδικασία EUDI. Η ακρόπολη είναι χτισμένη χρησιμοποιώντας αποδείξεις μηδενικής γνώσης (ZKPs), πράγμα που σημαίνει ότι τα προσωπικά δεδομένα δεν χρειάζεται να αποκαλυφθούν για να επιβεβαιωθεί ότι ένα άτομο έχει νόμιμη πρόσβαση σε μια υπηρεσία, έχει εξουσιοδότηση να εισέλθει σε μια χώρα ή έχει νόμιμο δικαίωμα να βρίσκεται κάπου. Αυτή η προσέγγιση για το απόρρητο και την ταυτότητα είναι νέα και επαναστατική και επιτρέπει μια λύση που διατηρεί το απόρρητο ενώ εξακολουθεί να παρέχει ασφαλή επαλήθευση ταυτότητας. Υπό αυτή την έννοια, υπερβαίνει την τρέχουσα φιλοδοξία του EUDI να εκδώσει μια ψηφιακή έκδοση αυτού που ήδη υπάρχει. 

Τα ZKP έχουν τη δύναμη να αποδείξουν ότι κάτι είναι αληθινό χωρίς καμία άλλη αποκάλυψη και στην περίπτωση του EUDI, αυτό θα μεταφραζόταν σε παροχή στους ανθρώπους τη δυνατότητα να αποδείξουν την επιλεξιμότητα χωρίς να χρειάζεται να μοιράζονται την ταυτότητά τους. Είτε εισέρχονται σε μια χώρα, ανοίγουν τραπεζικό λογαριασμό ή ακόμη και έχουν πρόσβαση σε μια υπηρεσία, η Citadel θα διασφαλίσει ότι τα δεδομένα τους παραμένουν ιδιωτικά, καθώς και θα μειώσει δραματικά κάθε πιθανότητα επιθέσεων από χάκερ.

Η συμμόρφωση είναι ένα άλλο πλεονέκτημα που προσφέρει η Citadel, ειδικά η προγραμματιζόμενη συμμόρφωση. Η ΕΕ μπορεί να προγραμματίσει τους κανονισμούς της στο ίδιο το Citadel, το οποίο όχι μόνο διασφαλίζει τη συμμόρφωση, αλλά διευκολύνει επίσης την ενημέρωση των κανονισμών καθώς τα πράγματα αλλάζουν. 

Για παράδειγμα, κατά τη διάρκεια του Brexit, το Citadel ως EUDI θα μπορούσε να είχε χρησιμοποιηθεί για την ενημέρωση του συστήματος και την αλλαγή του τι επιτρεπόταν και τι δεν επιτρεπόταν, καθιστώντας απλούστερη τη διατήρηση της συμμόρφωσης. Προφανώς, τα EUDI των πολιτών του Ηνωμένου Βασιλείου θα είχαν καταστήσει άκυρα. 

Τέλος, η αποτελεσματικότητα είναι ένα κρίσιμο πλεονέκτημα της Citadel. Σε αντίθεση με τα παραδοσιακά συστήματα που απαιτούν εκτεταμένα τμήματα αποθήκευσης δεδομένων και συμμόρφωσης, το Citadel εξαλείφει την ανάγκη για αυτά τα κόστη. Με το Citadel, δεν θα υπήρχε ανάγκη διατήρησης περιττών αντιγράφων βάσεων δεδομένων που αποθηκεύουν τις ψηφιακές ταυτότητες περίπου 450 εκατομμυρίων ανθρώπων, μαζί με ολόκληρα τμήματα νομικής, συμμόρφωσης και ασφάλειας στον κυβερνοχώρο. Θα διαβιβάζονταν μόνο αποδείξεις καταλληλότητας, ενώ τα δεδομένα όχι. Εάν δεν υπάρχει τίποτα για να χακάρετε, δεν υπάρχει ανάγκη για όλα αυτά τα έξοδα. 

Συμπερασματικά, το Citadel έχει τη δυνατότητα να παρέχει τόσο στην ΕΕ όσο και στους πολίτες της το απόρρητο, την προγραμματιζόμενη συμμόρφωση και την αποτελεσματικότητα που χρειάζονται για να κάνουν τις ψηφιακές ταυτότητες επιτυχημένες. Χάρη στη χρήση κρυπτογραφίας μηδενικής γνώσης και προγραμματιζόμενης συμμόρφωσης, η Citadel προσφέρει μια νέα προσέγγιση στην ψηφιακή ταυτότητα που είναι ασφαλής και αποτελεσματική και έχει τη δυνατότητα να φέρει επανάσταση στον τρόπο με τον οποίο προσεγγίζουμε την επαλήθευση ταυτότητας.