Vad är EUDI och hur passar Dusk Networks Citadel...

Den 10 februari 2023 publicerade Europeiska unionen ett spännande, men otroligt komplicerat namngivet dokument, specifikt The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, eller ARF. Vi kommer att dyka in i det här dokumentet och vad det betyder för Europa och för Dusk Network här, och för att hålla saker kort, kommer vi att följa EU:s egna föreslagna förkortningar för detta dokument: EUDI och ARF.

Vad är EUDI?

Konceptet med en europeisk digital identitet (EUDI) har växt ett tag nu. Hela vägen tillbaka den 3 juni 2021 tillkännagav Europeiska kommissionen sin avsikt att leda vägen för att göra denna produkt tillgänglig för alla europeiska medborgare. Nu, nästan två år senare, är EU redo att börja gå vidare till pilotfasen. Men pilotering vad?

I själva verket är EUDI en form av identifiering som kan användas av alla medborgare i alla EU-medlemsstater, av alla företag som är verksamma i Europeiska Unionen och accepteras av alla företag eller myndigheter i Europeiska Unionen. Istället för att ersätta redan existerande identitetsmekanismer (dvs. nationella ID-kort), sitter EUDI vid sidan av dem som ett extra digitaliserat identitetssystem. Till exempel skulle en bank i Nederländerna fortsätta att acceptera det holländska identitetskortet för att öppna nya konton, men skulle också acceptera EUDI för personer som inte är bosatta i Nederländerna, vilket innebär att de bara skulle behöva stödja två former av identitetsverifiering. Detta är ett steg framåt från bankernas nuvarande alternativ att antingen lära sig att stödja en uppsjö av identitetscertifikat ELLER att begränsa tjänsterna till endast personer med holländska ID.

EUDI skulle dock inte begränsas enbart av de tjänster som ett medlemslands identitetskort används för, utan snarare skulle det också sträcka sig till all interaktion där attribut om en person behöver bevisas. Användningsfallen som EU själv identifierat är vidsträckta, inklusive:

• Säker och pålitlig identifiering för att komma åt onlinetjänster
• Mobilitet och digitalt körkort
• Professionella företagscertifieringar
• Att betala för saker där olika priser förekommer, till exempel betalvägar
• Hälsojournaler som patentsammanfattningar eller e-recept
• Utbildningsbevis och yrkeskvalifikationer
• Digital Finance produkter
• Digitala reseuppgifter (som pass och visum)

För närvarande är det förvirrande att bevisa identitet och referenser i Europeiska unionen och riskerar att göra fel. Faktum är att det behövs ett enormt antal olika certifieringar för vad det än är som en medborgare försöker göra, som också skiljer sig i antal och stil från medlemsstat till medlemsstat. Trogna det europeiska uppdraget att harmonisera alla medlemsländer till ett enda handels- och reseområde vill de lösa detta problem med en enda EUDI för alla.

Vad är ARF?

ARF är ett färskt dokument som markerar början på EUDI:s pilotfas. Det är i huvudsak en checklista för varje medlemsstat att komma överens om och harmonisera innan pilotering kan påbörjas. Detta inkluderar:

• Definiera roller och ansvar för varje spelare i EUDI-processen.
• Beskriver funktionella och icke-funktionella krav för EUDI Wallet.
• Identifiera potentiella byggstenar.

Eftersom varje medlemslands implementering av EUDI måste vara interoperabel med alla andra, är det viktigt att alla börjar med att bygga på samma uppsättning standarder och använda konsekvent terminologi. Detta är viktigt när det kommer till detaljer som att intyga giltigheten av ett ID eller dokument. Till exempel, om ett certifikat har ett utgångsdatum, bör det automatiskt bli ogiltigt på eller efter det datumet. Men ska emittenten också ha möjlighet att återkalla certifikatet när som helst innan certifikatet naturligt går ut? Och om något är giltigt "tills det återkallas", behöver det ett utgångsdatum för säkerhets skull? ARF sätter riktlinjer för hur alla dessa saker ska läggas upp, hur informationen skulle flyta mellan de inblandade parterna och vem som ska ha tillgång till vad.

Detta är avgörande, med tanke på att flera parter är involverade i även en enkel transaktion som att utfärda en rabatterad tågbiljett till en student. I detta exempel inkluderar parterna:

• Studenten. 
• Järnvägsoperatören.
• Universitetet (som verifierar studentens status).
• En nationell studentkår (som också kan behöva verifiera studenten).
• Operatören av järnvägsstationen (om annan än operatören).
• Tågbiljettwebbplatsen som sålde biljetten.

Som du kan se kan även en till synes enkel transaktion som att köpa en tågbiljett för en student involvera upp till sex olika parter. Kan du föreställa dig vilken typ av komplexitet som kan vara involverad i att hantera sofistikerade finansiella instrument?

Varför välkomnar Dusk Network detta?

På Dusk Network tror vi att ARF-specifikationerna är ett viktigt steg mot att förbättra integriteten och säkerheten i EUDI-processen: två av våra huvudprioriteringar. Ovanstående (ganska enkla) exempel på en student som köper en tågbiljett belyser behovet av selektiv information. De skulle tillåta individer att bara dela den nödvändiga informationen, samtidigt som osäkra metoder som att dela kopior av ID:n eller att kräva personlig information blir helt föråldrade. Du kan tänka på selektiva avslöjande som att visa någon ditt körkort, men med fingrarna täcka all information utom ditt foto, eftersom det är allt som verkligen behövs.

Dataläckor blir allt vanligare i samhället och vi på Dusk är oroade över att även de enklaste transaktionerna har en stor potential för dataläckage. Det enklaste sättet att skydda användare och organisationer är att antingen lagra data i ett säkert krypterat format eller att inte exponeras för det.

För att komma till rätta med detta problem pekar ARF-specifikationerna på en EUDI som måste ha funktioner som certifikatutfärdande och återkallande, kryptering, säker överföring av identitet och annan personlig information, och en rad selektiva avslöjandealternativ. 

Det låter lite bekant, eller hur?

Varför använda Citadel för EUDI?

Citadel är Dusks integritetsbevarande digitala identitetslösning som möjliggör integritet, efterlevnad, decentralisering och ett en-och-gjort-förhållningssätt till KYC. Som sådan skulle det vara ett utmärkt val för EUDI av flera skäl, men mest för integritet, efterlevnad och effektivitet.

Sekretess är en viktig fråga för alla som är involverade i EUDI-processen. Citadellet är byggt med hjälp av nollkunskapsbevis (ZKP), vilket innebär att privata uppgifter inte behöver avslöjas för att bekräfta att en person har legitim tillgång till en tjänst, är behörig att resa in i ett land eller har en legitim rätt att vara någonstans. Denna inställning till integritet och identitet är ny och revolutionerande och möjliggör en lösning som bevarar integriteten samtidigt som den tillhandahåller säker identitetsverifiering. I den meningen går det utöver EUDI:s nuvarande ambition att ge ut en digital version av det som redan finns. 

ZKPs har makten att bevisa att något är sant utan någon annan avslöjande och i fallet med EUDI, skulle det leda till att ge människor makten att bevisa valbarhet utan att behöva dela sin identitet. Oavsett om de går in i ett land, öppnar ett bankkonto eller till och med får tillgång till en tjänst, skulle Citadel se till att deras data förblir privat samt dramatiskt minska risken för hackares attacker.

Efterlevnad är en annan fördel som Citadel erbjuder, specifikt programmerbar efterlevnad. EU kan programmera sina regler i själva Citadel, vilket inte bara säkerställer efterlevnad utan det gör det också lättare att uppdatera regelverket när saker och ting förändras. 

Till exempel, under Brexit, kunde Citadel som EUDI ha använts för att uppdatera systemet och ändra vad som var och inte var tillåtet, vilket gjorde det enklare att upprätthålla efterlevnad. Förmodligen skulle brittiska medborgares EUDI:er ha gjorts ogiltiga. 

Slutligen är effektivitet en avgörande fördel med Citadel. Till skillnad från traditionella system som kräver omfattande datalagring och efterlevnadsavdelningar, eliminerar Citadel behovet av dessa kostnader. Med Citadel skulle det inte finnas något behov av att behålla redundanta kopior av databaser som lagrar de digitala identiteterna för cirka 450 miljoner människor, tillsammans med hela juridiska, efterlevnads- och cybersäkerhetsavdelningar. Endast bevis på behörighet skulle överföras, medan data inte skulle överföras. Om det inte finns något att hacka, finns det inget behov av allt detta. 

Sammanfattningsvis har Citadel potentialen att ge både EU och dess medborgare den integritet, programmerbara efterlevnad och effektivitet som de behöver för att göra digitala identiteter till en framgång. Tack vare sin användning av noll-kunskapskryptering och programmerbar efterlevnad erbjuder Citadel ett nytt tillvägagångssätt för digital identitet som är både säker och effektiv och som har potential att revolutionera vårt sätt att närma oss identitetsverifiering.