Hvad er EUDI, og hvordan passer Dusk Networks Citadel...

Den 10. februar 2023 udgav Den Europæiske Union et spændende, men utroligt kompliceret navngivet dokument, specifikt The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, eller ARF. Vi vil dykke ned i dette dokument og hvad det betyder for Europa og for Dusk Network her, og for at holde tingene kort, vil vi følge EU's egne foreslåede forkortelser for dette dokument: EUDI og ARF.

Hvad er EUDI?

Konceptet med en europæisk digital identitet (EUDI) har været under opsejling i et stykke tid nu. Helt tilbage den 3. juni 2021 annoncerede Europa-Kommissionen sin hensigt om at gå forrest i at gøre dette produkt tilgængeligt for alle europæiske borgere. Nu, næsten to år senere, er EU klar til at gå videre til pilotfasen. Men pilotering hvad?

I realiteten er EUDI en form for identifikation, der kan bruges af enhver borger i ethvert EU-medlemsland, af enhver virksomhed, der opererer i EU, og accepteret af enhver virksomhed eller statslig instans i EU. I stedet for at erstatte allerede eksisterende identitetsmekanismer (dvs. nationale id-kort), sidder EUDI sammen med dem som et digitaliseret hjælpesystem. For eksempel vil en bank i Holland fortsætte med at acceptere det hollandske identitetskort til nye kontoåbninger, men vil også acceptere EUDI for ikke-hollandske bosiddende, hvilket betyder, at de kun behøver at understøtte to former for identitetsbekræftelse. Dette er et skridt fremad fra bankernes nuværende muligheder for enten at lære at understøtte et væld af identitetscertifikater ELLER at begrænse tjenester til kun personer med hollandske ID'er.

EUDI vil dog ikke kun være begrænset af de tjenester, som et medlemslands identitetskort bruges til, men snarere også udvide til enhver interaktion, hvor egenskaber om en person skal bevises. De use cases, som EU selv identificerede, spænder vidt, herunder:

• Sikker og pålidelig identifikation for at få adgang til onlinetjenester
• Mobilitet og digitalt kørekort
• Professionelle virksomhedscertificeringer
• Betale for ting, hvor der forekommer forskellige priser, såsom betalingsveje
• Sundhedsjournaler såsom patentresuméer eller e-recepter
• Uddannelsesmæssige kvalifikationer og faglige kvalifikationer
• Digital Finance produkter
• Digitale rejselegitimationer (såsom pas og visa)

I øjeblikket er bevisførelse af identitet og legitimationsoplysninger i EU forvirrende og tilbøjelig til fejl. Faktisk er der brug for et enormt antal forskellige certificeringer for hvad end det er, som en borger forsøger at gøre, som også varierer i antal og stil fra medlemsstat til medlemsstat. Tro mod den europæiske mission om at harmonisere alle medlemslande til et enkelt handels- og rejseområde ønsker de at løse dette problem med én enkelt EUDI for alle.

Hvad er ARF?

ARF er et nyligt dokument, der markerer begyndelsen på EUDI-pilotfasen. Det er i bund og grund en tjekliste for hvert medlemsland at blive enige om og harmonisere, før pilotering kan påbegyndes. Dette omfatter:

• Definition af roller og ansvar for hver aktør i EUDI-processen.
• Skitserer funktionelle og ikke-funktionelle krav til EUDI Wallet.
• Identifikation af potentielle byggesten.

Da hvert medlemslands implementering af EUDI skal være interoperabel med alle de andre, er det afgørende, at alle starter med at bygge på det samme sæt standarder og bruge konsekvent terminologi. Dette er vigtigt, når det kommer til detaljer som at bekræfte gyldigheden af ​​et ID eller dokument. For eksempel, hvis et certifikat har en udløbsdato, skulle det automatisk blive ugyldigt på eller efter denne dato. Men skal udstederen også have mulighed for at tilbagekalde certifikatet på et hvilket som helst tidspunkt, før certifikatet naturligt udløber? Og hvis noget er gyldigt 'indtil det er tilbagekaldt', behøver det så en udløbsdato for en sikkerheds skyld? ARF sætter retningslinjer for, hvordan alle disse ting skal sættes op, hvordan informationen vil flyde mellem de involverede parter, og hvem der skal have adgang til hvad.

Dette er afgørende, i betragtning af at flere parter er involveret i selv en simpel transaktion som at udstede en rabattogbillet til en studerende. I dette eksempel inkluderer parterne:

• Eleven. 
• Jernbaneoperatøren.
• Universitetet (som verificerer den studerendes status).
• En national elevorganisation (som muligvis også skal verificere eleven).
• Jernbanestationens operatør (hvis forskellig fra operatøren).
• Togbillethjemmesiden, der solgte billetten.

Som du kan se, kan selv en tilsyneladende simpel transaktion som at købe en togbillet til en studerende involvere op til seks forskellige parter. Kan du forestille dig, hvilken slags kompleksitet der kan være involveret i at håndtere sofistikerede finansielle instrumenter?

Hvorfor hilser Dusk Network dette velkommen?

Hos Dusk Network mener vi, at ARF-specifikationerne er et vigtigt skridt i retning af at forbedre privatlivets fred og sikkerhed i EUDI-processen: to af vores hovedprioriteter. Ovenstående (temmelig enkle) eksempel på, at en studerende køber en togbillet, fremhæver behovet for selektive oplysninger. De ville tillade enkeltpersoner kun at dele de nødvendige oplysninger, samtidig med at usikker praksis som deling af kopier af id'er eller at kræve personlige data fuldstændigt forældede. Du kan tænke på selektive afsløringer som at vise nogen dit kørekort, men med fingrene, der dækker alle oplysninger undtagen dit billede, da det er alt, der virkelig er brug for.

Datalækage bliver mere og mere almindeligt i samfundet, og vi hos Dusk er alarmerede over, at selv de simpleste transaktioner rummer et stort potentiale for datalækage. Den nemmeste måde at beskytte brugere og organisationer på er enten at gemme data i et sikkert krypteret format eller ikke at blive udsat for det.

For at imødegå denne bekymring peger ARF-specifikationerne på en EUDI, der skal have funktioner såsom udstedelse og tilbagekaldelse af certifikater, kryptering, sikker overførsel af identitet og andre personlige oplysninger og en række selektive videregivelsesmuligheder. 

Det lyder lidt bekendt, gør det ikke?

Hvorfor bruge Citadel til EUDI?

Citadel er Dusks privatlivsbevarende digitale identitetsløsning, der giver mulighed for privatliv, compliance, decentralisering og en en-og-gjort tilgang til KYC. Som sådan ville det være et godt valg for EUDI af flere årsager, men mest af hensyn til privatliv, overholdelse og effektivitet.

Privatlivets fred er en vigtig bekymring for alle involverede i EUDI-processen. Citadel er bygget vha Zero-knowledge proofs (ZKP'er), hvilket betyder, at private data ikke behøver at blive afsløret for at bekræfte, at en person har legitim adgang til en tjeneste, har tilladelse til at rejse ind i et land eller har en legitim ret til at være et sted. Denne tilgang til privatliv og identitet er ny og revolutionerende og giver mulighed for en løsning, der bevarer privatlivets fred, mens den stadig giver sikker identitetsbekræftelse. I den forstand går det ud over EUDI's nuværende ambition om at udstede en digital version af det, der allerede eksisterer. 

ZKP'er har beføjelse til at bevise, at noget er sandt uden nogen anden afsløring, og i tilfældet med EUDI, ville det udmønte sig i at give folk magten til at bevise berettigelse uden at skulle dele deres identitet. Uanset om de kommer ind i et land, åbner en bankkonto eller endda får adgang til en tjeneste, vil Citadel sikre, at deres data forbliver private samt dramatisk reducere enhver chance for hackers angreb.

Overholdelse er en anden fordel, som Citadel tilbyder, specifikt programmerbar overholdelse. EU kan programmere sine regler ind i selve Citadel, hvilket ikke kun sikrer overholdelse, men det gør det også nemmere at opdatere reglerne, efterhånden som tingene ændrer sig. 

For eksempel under Brexit kunne Citadel som EUDI have været brugt til at opdatere systemet og ændre, hvad der var og ikke var tilladt, hvilket gjorde det nemmere at opretholde overholdelse. Formentlig ville britiske statsborgeres EUDI'er være blevet gjort ugyldige. 

Endelig er effektivitet en afgørende fordel ved Citadel. I modsætning til traditionelle systemer, der kræver omfattende datalagring og compliance-afdelinger, eliminerer Citadel behovet for disse omkostninger. Med Citadel ville der ikke være behov for at vedligeholde overflødige kopier af databaser, der lagrer de digitale identiteter for cirka 450 millioner mennesker, sammen med hele juridiske, compliance- og cybersikkerhedsafdelinger. Kun bevis for berettigelse ville blive fremsendt, mens data ikke ville blive fremsendt. Hvis der ikke er noget at hacke, er der ikke behov for alt dette overhead. 

Afslutningsvis har Citadel potentialet til at give både EU og dets borgere det privatliv, programmerbare overholdelse og effektivitet, som de har brug for for at gøre digitale identiteter til en succes. Takket være dets brug af nul-videns kryptografi og programmerbar compliance tilbyder Citadel en ny tilgang til digital identitet, der er både sikker og effektiv og har potentialet til at revolutionere den måde, vi nærmer os identitetsverifikation på.