Hva er EUDI og hvordan passer Dusk Networks Citadel...

Den 10. februar 2023 publiserte EU et spennende, men utrolig komplisert navngitt dokument, nærmere bestemt The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, eller ARF. Vi vil dykke ned i dette dokumentet og hva det betyr for Europa og for Dusk Network her, og for å holde ting kort, vil vi følge EUs egne foreslåtte forkortelser for dette dokumentet: EUDI og ARF.

Hva er EUDI?

Konseptet med en europeisk digital identitet (EUDI) har brygget på en stund nå. Helt tilbake den 3. juni 2021 kunngjorde EU-kommisjonen sin intensjon om å gå foran i å gjøre dette produktet tilgjengelig for alle europeiske borgere. Nå, nesten to år senere, er EU klar til å gå videre til pilotfasen. Men pilotering hva?

I realiteten er EUDI en form for identifikasjon som kan brukes av alle borgere i ethvert EU-medlemsland, av ethvert selskap som opererer i EU, og akseptert av enhver bedrift eller ethvert myndighetsorgan i EU. I stedet for å erstatte eksisterende identitetsmekanismer (dvs. nasjonale ID-kort), sitter EUDI sammen med dem som et ekstra digitalisert identitetssystem. For eksempel vil en bank i Nederland fortsette å akseptere det nederlandske identitetskortet for nye kontoåpninger, men vil også godta EUDI for ikke-nederlandske innbyggere, noe som betyr at de bare trenger å støtte to former for identitetsverifisering. Dette er et skritt fremover fra bankenes nåværende alternativer for enten å lære å støtte en mengde identitetssertifikater ELLER å begrense tjenester til kun personer med nederlandsk ID.

EUDI vil imidlertid ikke være begrenset bare av tjenestene som et medlemslands identitetskort brukes til, men vil heller utvide seg til enhver interaksjon der attributter om en person må bevises. Brukstilfellene som EU selv identifiserte er vidt og bredt, inkludert:

• Sikker og pålitelig identifikasjon for å få tilgang til nettjenester
• Mobilitet og digitalt førerkort
• Profesjonelle forretningssertifiseringer
• Betale for ting der det forekommer ulike priser, for eksempel bomveier
• Helsejournaler som patentsammendrag eller e-resepter
• Utdanningskompetanse og faglige kvalifikasjoner
• Digital Finance-produkter
• Digital reiselegitimasjon (som pass og visum)

Foreløpig er det forvirrende og utsatt for feil å bevise identitet og legitimasjon i EU. Faktisk er det nødvendig med et stort antall forskjellige sertifiseringer for hva enn det er en innbygger prøver å gjøre, som også varierer i antall og stil fra medlemsland til medlemsland. Tro mot det europeiske oppdraget om å harmonisere alle medlemsland til ett enkelt handels- og reiseområde, ønsker de å løse dette problemet med ett enkelt EUDI for alle.

Hva er ARF?

ARF er et ferskt dokument som markerer starten på EUDI-pilotfasen. Det er i hovedsak en sjekkliste for hvert medlemsland å bli enige om og harmonisere før pilotering kan starte. Dette inkluderer:

• Definere roller og ansvar for hver aktør i EUDI-prosessen.
• Skisserer funksjonelle og ikke-funksjonelle krav til EUDI-lommeboken.
• Identifisere potensielle byggesteiner.

Siden hvert medlemslands implementering av EUDI må være interoperabel med alle de andre, er det avgjørende at alle begynner med å bygge på det samme settet med standarder og bruke konsistent terminologi. Dette er viktig når det kommer til detaljer som å bekrefte gyldigheten av en ID eller et dokument. For eksempel, hvis et sertifikat har en utløpsdato, skal det automatisk bli ugyldig på eller etter den datoen. Men skal utsteder også ha mulighet til å tilbakekalle sertifikatet når som helst før sertifikatet naturlig utløper? Og hvis noe er gyldig "til det er tilbakekalt", trenger det en utløpsdato i tilfelle? ARF setter retningslinjer for hvordan alle disse tingene skal settes opp, hvordan informasjonen skal flyte mellom de involverte partene, og hvem som skal ha tilgang til hva.

Dette er avgjørende, gitt at flere parter er involvert i selv en enkel transaksjon som å utstede en rabattert togbillett til en student. I dette eksemplet inkluderer partene:

• Studenten. 
• Jernbaneoperatøren.
• Universitetet (som bekrefter studentens status).
• Et nasjonalt studentorgan (som kanskje også må verifisere studenten).
• Operatøren av jernbanestasjonen (hvis forskjellig fra operatøren).
• Togbillettnettstedet som solgte billetten.

Som du kan se, kan selv en tilsynelatende enkel transaksjon som å kjøpe en togbillett for en student involvere opptil seks forskjellige parter. Kan du forestille deg hva slags kompleksitet som kan være involvert i å håndtere sofistikerte finansielle instrumenter?

Hvorfor ønsker Dusk Network dette velkommen?

Hos Dusk Network mener vi at ARF-spesifikasjonene er et viktig skritt mot å forbedre personvernet og sikkerheten i EUDI-prosessen: to av hovedprioriteringene våre. Ovennevnte (ganske enkelt) eksempel på en student som kjøper en togbillett fremhever behovet for selektiv avsløring. De vil tillate enkeltpersoner å dele bare den nødvendige informasjonen, og samtidig gjøre usikker praksis som å dele kopier av ID-er eller kreve personopplysninger fullstendig foreldet. Du kan tenke på selektive avsløringer som å vise noen førerkortet ditt, men med fingrene som dekker all informasjon bortsett fra bildet ditt, siden det er alt som virkelig trengs.

Datalekkasjer blir stadig mer vanlig i samfunnet, og vi i Dusk er skremt over at selv de enkleste transaksjonene har et stort potensial for datalekkasje. Den enkleste måten å beskytte brukere og organisasjoner på er enten å lagre data i et sikkert kryptert format eller å ikke bli utsatt for det.

For å løse denne bekymringen, peker ARF-spesifikasjonene til en EUDI som må-ha funksjoner som sertifikatutstedelse og tilbakekalling, kryptering, sikker overføring av identitet og annen personlig informasjon, og en rekke selektive avsløringsalternativer. 

Det høres litt kjent ut, ikke sant?

Hvorfor bruke Citadel for EUDI?

Citadel er Dusks personvernbevarende digitale identitetsløsning som gir mulighet for personvern, compliance, desentralisering og en en-og-gjort tilnærming til KYC. Som sådan ville det være et godt valg for EUDI av flere grunner, men mest for personvern, overholdelse og effektivitet.

Personvern er en sentral bekymring for alle som er involvert i EUDI-prosessen. Citadel er bygget vha null-kunnskapsbevis (ZKPs), som betyr at private data ikke trenger å bli avslørt for å bekrefte at en person har legitim tilgang til en tjeneste, er autorisert til å reise inn i et land eller har en legitim rett til å være et sted. Denne tilnærmingen til personvern og identitet er ny og revolusjonerende og gir mulighet for en løsning som bevarer personvernet samtidig som den gir sikker identitetsverifisering. Sånn sett går det utover EUDIs nåværende ambisjon om å gi ut en digital versjon av det som allerede eksisterer. 

ZKP-er har makt til å bevise at noe er sant uten noen annen avsløring, og i tilfelle av EUDI, vil det føre til at folk får makt til å bevise kvalifisering uten å måtte dele identiteten sin. Enten de går inn i et land, åpner en bankkonto eller til og med får tilgang til en tjeneste, vil Citadel sørge for at dataene deres forblir private i tillegg til å dramatisk redusere sjansen for hackerangrep.

Samsvar er en annen fordel som Citadel tilbyr, spesielt programmerbar samsvar. EU kan programmere regelverket sitt inn i selve Citadel, noe som ikke bare sikrer overholdelse, men det gjør det også enklere å oppdatere regelverket etter hvert som ting endres. 

For eksempel, under Brexit, kunne Citadel som EUDI ha blitt brukt til å oppdatere systemet og endre hva som var og ikke var tillatt, noe som gjorde det enklere å opprettholde samsvar. Antagelig ville britiske statsborgeres EUDI-er blitt gjort ugyldige. 

Endelig er effektivitet en avgjørende fordel med Citadel. I motsetning til tradisjonelle systemer som krever omfattende datalagring og overholdelsesavdelinger, eliminerer Citadel behovet for disse kostnadene. Med Citadel ville det ikke være behov for å opprettholde overflødige kopier av databaser som lagrer de digitale identitetene til omtrent 450 millioner mennesker, sammen med hele juridiske, compliance- og cybersikkerhetsavdelinger. Bare bevis på kvalifisering ville bli overført, mens data ikke ville bli overført. Hvis det ikke er noe å hacke, er det ikke nødvendig med alt dette. 

Avslutningsvis har Citadel potensialet til å gi både EU og dets innbyggere personvernet, programmerbar samsvar og effektivitet som de trenger for å gjøre digitale identiteter til en suksess. Takket være bruken av nullkunnskapskryptering og programmerbar compliance, tilbyr Citadel en ny tilnærming til digital identitet som er både sikker og effektiv og har potensial til å revolusjonere måten vi nærmer oss identitetsverifisering på.