W dniu 22 lutego 2022 roku został opublikowany przez Grupę ekspertów eIDAS działającą przy Komisji Europejskiej dokument prezentujący zarys architektury i ram dla architektury Europejskiej Tożsamości Cyfrowej. W kolejnych artykułach przedstawimy główne informacje zawarte w architekturze.
Głównym celem proponowanego w projekcie rozporządzenia eIDAS 2 – Europejskiego Portfela Cyfrowej Tożsamości jest promowanie i zapewnienie dostępności Zaufanych Tożsamości Cyfrowych dla wszystkich Europejczyków. W języku angielskim portfel jest nazywany European Digital Identity Wallet – w skrócie EPCT Wallet. W wielu opracowaniach polskich pojawia się także jak Portfel EPCT, natomiast na potrzeby niniejszego artykułu będziemy stosować skrót EPCT. Rozwiązanie portfela ma umożliwić jego użytkownikom kontrolę nad własnymi transakcjami z systemami online w internecie. Europejski portfel można postrzegać jako połączenie kilku produktów i usług zaufania, które umożliwia użytkownikom bezpieczne pobieranie i przechowywanie informacji umożliwiających dostęp do usług online, udostępnianie danych osobowych oraz elektroniczne podpisywanie/pieczętowanie dokumentów.
Przypadki użycia
W dokumencie zarysu architektury przedstawiono pierwsze przypadki użycia, które będą stanowić podstawę rozwoju Europejskiego Portfela Cyfrowej Tożsamości. Przypadki te mają być obsłużone przez wszystkie krajowe portfele w celu skutecznego i bezproblemowego zapewnienia jego funkcjonalności we wszystkich państwach członkowskich. Grupa ekspertów eIDAS pracowała nad pierwszymi przypadkami użycia , które obejmują:
→ Bezpieczną i zaufaną identyfikację w celu uzyskania dostępu do usług online
Bezpieczne uwierzytelnianie będzie funkcją Portfela EPCT, a strony ufające (w szczególności portale i usługi online) będą miały możliwość identyfikacji użytkowników za pomocą zdefiniowanego zestawu danych identyfikacyjnych. Ten dostęp w szczególności ma umożliwiać na poziomie paneuropejskim dostęp do publicznych i prywatnych usług online. Jest to podstawowy przypadek użycia dla portfela, który także będzie zaadoptowany i dostępny dla podmiotów prywatnych – stron ufających akceptujących w swoich usługach Portfele EPCT. Co więcej dla wielu podmiotów prywatnych jeżeli są zobowiązane do stosowania silnego uwierzytelniania użytkownika w celu identyfikacji online – akceptacja portfela będzie funkcją wymaganą prawnie (tj. banki, telekomy, podmioty udostępniające media).
→ Mobilność i cyfrowe prawo jazdy
Portfel Cyfrowej Tożsamości może umożliwiać w pełni cyfrowe europejskie prawo jazdy weryfikowane zarówno w środowisku online, jak i offline. Ten przypadek może się łączyć się z szeregiem dalszych poświadczeń oferowanych przez usługodawców publicznych lub prywatnych obejmujących wymogi prawne (np. Świadectwo zdolności zawodowej) lub wymogi i normy biznesowe (np. dotyczące opłat drogowych) w obszarze transportu drogowego.
→ Zdrowie
Łatwy dostęp do danych dotyczących zdrowia ma kluczowe znaczenie zarówno w kontekście krajowym, jak i transgranicznym. W oparciu o doświadczenia z unijnego certyfikatu cyfrowego COVID portfel umożliwiłby dostęp do kartoteki pacjenta oraz e-recept itp.
→ Wykształcenie / Dyplom
Informacje o kwalifikacjach są ważnym elementem procesów zatrudniania, organizacji kształcenia i szkolenia oraz innych procesów instytucji akademickich. Cyfrowy dyplom stanowiący poświadczenie uzyskanego stopnia naukowego może być udostępniany transgranicznie w weryfikowalnym, zaufanym i nadającym się do weryfikacji formacie innej instytucji edukacyjnej lub potencjalnemu pracodawcy. Portfel Cyfrowej Tożsamości może być repozytorium poświadczeń wiedzy i kompetencji jako elektroniczne poświadczenia atrybutów i środek do wymiany ich przez absolwenta lub studenta.
→ Finanse cyfrowe
Portfel Cyfrowej Tożsamości może ułatwić potwierdzanie i autoryzację płatności z wysokim stopniem bezpieczeństwa i umożliwić łączenie transakcji online z płatnościami. Zgodnie ze strategią Komisji w zakresie płatności detalicznych przypadek użycia zostałby opracowany w ścisłej koordynacji z grupami doradczymi państw członkowskich ds. płatności detalicznych i sektora finansowego.
Ekosystem Tożsamości Cyfrowej
Grupa ekspertów w zarysie przedstawiła proponowaną wstępną architekturę przyszłego ekosystemu Europejskiego Portfela Cyfrowej Tożsamości. Przedstawiona architektura stanowi podstawę do dyskusji, która ma być aktualizowana i uzupełniana w trakcie dalszego procesu uzgadaniania treści rozporządzenia eIDAS 2 i grupy tworzącej narzędzia dla Portfela EPCT. Wersja robocza architektury określa różne role i odpowiednie przepływy procesów. Potencjalne role w ramach ekosystemu Tożsamości Cyfrowej przedstawiono na poniższym rysunku.
- Użytkownicy końcowi Europejskich Portfeli Cyfrowej Tożsamości
- Emitenci Portfela EPCT
- Dostawcy danych identyfikacyjnych osobę
- Dostawcy rejestrów – zaufanych źródeł
- Kwalifikowani dostawcy elektronicznych poświadczeń atrybutów (QEAA)
- Niekwalifikowani dostawcy elektronicznych poświadczeń atrybutów (EAA)
- Dostawcy kwalifikowanych i niekwalifikowanych certyfikaty dla podpisu elektronicznego/ pieczęci elektronicznej
- Dostawcy innych usług zaufania
- Autentyczne źródła
- Strony ufające
- Jednostki oceniające zgodność (CAB)
- Organy nadzorcze
- Producenci urządzeń i powiązani dostawcy podsystemów
- Katalog atrybutów i schematów dla poświadczeń atrybutów
1. Użytkownicy końcowi Europejskich Portfeli Cyfrowej Tożsamości
Użytkownicy końcowi Portfeli EPCT są definiowani jako osoby fizyczne lub prawne korzystające z Portfela EPCT w celu otrzymywania, przechowywania i udostępniania zaświadczeń (PID, QEAA lub EAA) oraz szczególnych atrybutów dotyczących użytkownika, w tym w celu potwierdzenia jego tożsamości. Portfel EPCT umożliwi użytkownikom końcowym składanie kwalifikowanych podpisów elektronicznych i pieczęci elektronicznych (QES).
Korzystanie z portfela EPCT przez obywateli nie będzie obowiązkowe, natomiast państwa członkowskie będą zobowiązane do oferowania swoim obywatelom rozwiązanie portfela EPCT.
2. Emitenci Portfela EPCT
Wydawcy portfeli EPCT to państwa członkowskie lub organizacje upoważnione lub uznane przez państwa członkowskie, które udostępniają portfel EPCT użytkownikom końcowym. Określenie warunków upoważnienia lub rozpoznawania należeć będzie do każdego państwa członkowskiego. W Polsce zapewne naturalnym portfelem będzie mObywatel, uzupełniony o funkcje wymagane rozporządzeniem eIDAS2.
Portfel EPCT można postrzegać jako połączenie kilku produktów i usług zaufania przewidzianych eIDAS2, które jako całość dają użytkownikowi wyłączną kontrolę nad wykorzystaniem jego danych identyfikacyjnych (ang. Personal Identification Data – PID), kwalifikowanych lub niekwalifikowanych elektronicznych poświadczeń atrybutów (EAA lub QEAA) oraz wszelkich innych danych osobowych w portfelu EPCT. Z technicznego punktu widzenia może to również oznaczać wyłączną kontrolę użytkownika nad wrażliwym materiałem kryptograficznym (np. kluczami prywatnymi) związanymi z wykorzystaniem tych danych, w tym identyfikacją elektroniczną, podpisem / pieczęcią.
Emitenci portfeli EPCT będą odpowiedzialni za zapewnienie zgodności z wymogami dotyczącymi portfeli EPCT, w szczególności z odpowiednimi definicjami, funkcjonalnymi i niefunkcjonalnymi, a także wymogami bezpieczeństwa – tj. certyfikacja bezpieczeństwa dla portfela.
3. Dostawcy danych identyfikacyjnych osobę
Dostawcy danych identyfikujących osobę (PID) będą weryfikować tożsamość użytkownika Portfela EPCT, utrzymywać interfejs w celu bezpiecznego dostarczania PID do Portfela EPCT (w zharmonizowanym wspólnym formacie) i będą udostępniać informacje stronom ufającym w celu weryfikacji aktualności PID. Stosowane zabezpieczenia mają uniemożliwić uzyskanie jakichkolwiek informacji na temat wykorzystania PID – co ma chronić prywatność użytkownika. Warunki udostępniania tych danych będą określane przez każde państwo członkowskie oddzielnie.
Dostawcami PID mogą być np. te same organizacje, które dziś wydają oficjalne dokumenty tożsamości i środki identyfikacji elektronicznej, wydawcy portfeli EPCT itp. Emitenci portfela EPCT mogą, ale nie muszą, być tymi samymi organizacjami, co dostawcy PID.
4. Dostawcy rejestrów – zaufanych źródeł
Ekosystemie Cyfrowej Tożsamości będzie wymagał weryfikacji zaufanych dostawców usług i innych uczestników ekosystemu, w szczególności mogą to być:
- Emitenci portfeli EPCT
- Dostawcy danych identyfikacyjnych osób (PID)
- Kwalifikowani dostawcy elektronicznych poświadczeń atrybutów (QEAA) Kwalifikowany certyfikat dla dostawców podpisu elektronicznego/pieczęci elektronicznej
- Strony ufające
- Niekwalifikowani dostawcy elektronicznych poświadczeń atrybutów (EAA)
- Dostawcy niekwalifikowanych certyfikatów dla podpisu elektronicznego/ pieczęci elektronicznej
- Dostawcy innych usług zaufania
- Katalog atrybutów i schematów poświadczeń atrybutów
Katalog tych ról może być rozszerzany, a zatem muszą być zdefiniowane i wyraźnie wskazane zależności i sposób ich rozpoznawania.
Zaufane rejestry muszą świadczyć usługi rejestracji dla odpowiednich podmiotów, prowadzić odpowiedni rejestr i umożliwiać stronom trzecim dostęp do informacji z rejestru. Warunki rejestracji podmiotów byłyby ustalane przez każdego rejestrującego, chyba że określono to np. w zasadach sektorowych.
Na przykład kwalifikowany status QTSP i kwalifikowana usługa zaufania (w tym świadczenie QEAA) są rejestrowane na zaufanych listach przez państwa członkowskie. Informacje o innych rolach mogą być dostarczane w innych formach zaufanych rejestrów.
5. Kwalifikowani dostawcy elektronicznych poświadczeń atrybutów (QEAA)
Kwalifikowane elektroniczne poświadczenie atrybutów QEAA będzie świadczone przez kwalifikowanych dostawców usług zaufania (QTSP). Obecnie funkcjonujące ramy zaufania dla QTSP będą miały zastosowanie również do QEAA. Dostawcy QEAA będą utrzymaywać interfejs do żądania i otrzymywania QEAA, w tym interfejs wzajemnego uwierzytelniania z portfelami EPCT i potencjalnie interfejs do autentycznych źródeł w celu weryfikacji atrybutów. Dostawcy QEAA byliby zobowiązani do dostarczenia informacji lub lokalizacji usług, które mogą być wykorzystane do zapytania o ważność QEAA, bez możliwości otrzymania jakichkolwiek informacji na temat korzystania z tej funkcji.
6. Niekwalifikowani dostawcy elektronicznych poświadczeń atrybutów (EAA)
Niekwalifikowane EAA mogą być świadczone przez dowolnych niekwalifikowanych dostawców usług zaufania. Podmioty te są nadzorowane w ramach eIDAS, ale można założyć, że dodatkowe ramy prawne regulować będzie głównie zasady dostarczania, stosowania i uznawania EAA. Takie ramy mogą obejmować takie obszary polityki, jak prawa jazdy, kompetencje edukacyjne, płatności cyfrowe, chociaż mogą one również opierać się także na kwalifikowanym elektronicznym poświadczeniu atrybutów QEAA.
Aby poświadczenia atrybutów EAA mogły być używane, dostawcy usług terminalowych muszą zaoferować użytkownikom sposób żądania i uzyskania potwierdzenia EAA, co oznacza, techniczną zgodność ze znormalizowanym interfejsem portfela EPCT.
7. Dostawcy kwalifikowanych i niekwalifikowanych certyfikaty dla podpisu elektronicznego/ pieczęci elektronicznej
Zgodnie z projektem eIDAS2 portfel EPCT umożliwi użytkownikowi podpisywanie dokumentów za pomocą kwalifikowanego podpisu elektronicznego lub w przypadku podmiotów prawnych za pomocą kwalifikowanej pieczęci elektronicznej. Zgodnie z przepisami złożenie kwalifikowanego podpisu wymaga użycia kwalifikowanego urządzenia do składania podpisu elektronicznego. eIDAS Expert Group zdefiniowała kilka alternatywnych sposobów osiągnięcia tego celu:
- Portfel EPCT zawiera kwalifikowane urządzenie do składania podpisów/pieczęci (QSCD),
- Portfel EPCT umożliwia wykorzystanie lokalnie przyłączonego urządzenia QSCD, lub
- Portfel EPCT umożliwia uwierzytelnienie do zdalnego QSCD zarządzanego przez kwalifikowanego dostawcę usług zaufania (QTSP).
Prace normalizacyjne mają umożliwić realizację wszystkich 3 sposobów. Warto wskazać, że Portfel EPCT może również umożliwiać użytkownikowi podpisywanie za pomocą niekwalifikowanych podpisów lub pieczęci.
8. Dostawcy innych usług zaufania
Dostawcy innych kwalifikowanych lub niekwalifikowanych usług zaufania, takich jak znaczniki czasu, mogą wchodzić w interakcje z Portfelem EPCT. Specyfika tej roli lub ról w ekosystemie portfela EPCT będzie przedmiotem dalszej dyskusji Expert Group.
9. Zaufane (autentyczne) źródła
Źródłami autentycznymi będą publiczne lub prywatne repozytoria, a także systemy uznane lub wymagane przez prawo do uznania przez strony ufające. Autentyczne źródła zawierają atrybuty dotyczące osoby fizycznej lub prawnej. Autentycznymi źródłami objętymi zakresem załącznika VI do projektu eIDAS2 są źródła atrybutów dotyczących: adresu, wieku, płci, stanu cywilnego, składu rodziny, narodowości, tytułów i licencji dotyczących kwalifikacji edukacyjnych i szkoleniowych, tytułów i licencji dotyczących kwalifikacji zawodowych, zezwoleń i licencji publicznych, danych finansowych i danych przedsiębiorstwa. Autentyczne źródła objęte zakresem załącznika VI byłyby zobowiązane do zapewnienia dostawcom kwalifikowanej usługi potwierdzania atrybutów QEAA interfejsów w celu weryfikacji autentyczności powyższych atrybutów, bezpośrednio lub za pośrednictwem wyznaczonych pośredników uznanych na poziomie krajowym. W tym przypadku autentyczne źródła mogą wymagać utrzymania interfejsu do uwierzytelnienia użytkownika dla dostępu dostawców QEAA do danych danej osoby. Warunki świadczenia usługi zaufanego źródła będą określane przez państwa członkowskie.
10. Strony ufające
Strony ufające, czyli dostawcy usług w internecie – osoby fizyczne lub prawne, które polegają na identyfikacji elektronicznej lub usłudze zaufania. W kontekście Portfeli EPCT strona ufająca realizując usługę online lub offline żąda niezbędnych atrybutów zawartych w zbiorze danych PID, QEAA i EAA od użytkownika Portfela EPCT. Strona ufająca polega na odpowiedzi przekazanej przez Portfel EPCT, z zastrzeżeniem jej akceptacji przez posiadacza Portfela i w granicach obowiązujących przepisów i zasad. Powodem polegania na portfelu EPCT może być wymóg prawny, umowa lub własna decyzja. Aby polegać na portfelu EPCT, strony ufające będą musiały zarejestrować się w państwie członkowskim, w którym mają siedzibę.
Strony ufające będą musiały utrzymywać interfejs z portfelem EPCT, aby żądać poświadczeń i realizować funkcję wzajemnego uwierzytelnienia – tj. strona ufającą się uwierzytelnia wobec portfela, a portfel wobec strony ufającej. Strony ufające po otrzymaniu danych z portfela samodzielnie będą przeprowadzały procedurę weryfikacji otrzymanych poświadczeń.
Strony ufające i prowadzone przez nich usługi online mogą wchodzić w interakcje z portfelami EPCT za pośrednictwem serwerów proxy, bram lub węzłów, takich jak na przykład krajowy węzeł identyfikacji elektronicznej lub usługi dostawcy usług uwierzytelniania w sektorze prywatnym.
11. Jednostki oceniające zgodność (CAB)
Portfele EPCT będą musiały być certyfikowane przez akredytowane organy publiczne lub prywatne wyznaczone przez państwa członkowskie. Dostawcy kwalifikowanych usług zaufania, tak jak obecjnie QTSP muszą być regularnie kontrolowane przez jednostki oceniające zgodność (CAB). Jednostki oceniające zgodność są akredytowane przez państwa członkowskie jako odpowiedzialne za przeprowadzanie ocen, na których państwa członkowskie będą musiały polegać przed wydaniem portfela EPCT lub przyznaniem statusu kwalifikowanego dostawcy usług zaufania. Standardy i schematy stosowane przez jednostki oceniające zgodność do wypełniania ich zadań zostaną doprecyzowane w dalszych pracach eIDAS Expert Group i jednostek normalizacyjnych.
12. Organy nadzoru
Organy nadzoru są notyfikowane Komisji przez państwa członkowskie, które nadzorują kwalifikowanych dostawców usług zaufania i w razie potrzeby podejmują działania w odniesieniu do niekwalifikowanych dostawców usług zaufania. Organy nadzorcze, w zależności od odpowiedniego stanowiska, mogą być zmuszone do przydzielenia dodatkowych zasobów w celu wypełnienia swoich obowiązków i zaprojektowania odpowiednich procesów, takich jak sprawozdawczość lub przeprowadzanie ocen ryzyka.
13. Producenci urządzeń i powiązani dostawcy podsystemów
Portfele EPCT będą miały wiele interfejsów z urządzeniami, na których są oparte, które mogą służyć następującym celom:
- Lokalna pamięć masowa
- Dostęp do Internetu online
- Czujniki takie jak kamera smartfona, czujniki podczerwieni, mikrofony itp.
- Kanały komunikacji offline, takie jak Bluetooth Low Energy (BLE), WIFI Aware, Near Field Communication (NFC)
- Emitery, takie jak ekrany, latarki, głośniki itp.
W celu bezpiecznego przechowywania materiałów kryptograficznych można łączyć określone urządzenia lub usługi dostępne zdalnie (przykładowo zdalny QSCD). Innymi podmiotami powiązanymi mogą być dostawcy usług, tacy jak dostawcy usług w chmurze, dostawcy sklepów z aplikacjami itp.
14. Katalog atrybutów i schematów dla poświadczeń atrybutów
Dostawcy kwalifikowanych QEAA i niekwalifikowanych EAA poświadczeń atrybutów mogą publikować odpowiednie informacje o poświadczeniach atrybutów, które dostarczają w katalogu lub katalogach. Potencjalnie umożliwiłoby to innym podmiotom, takim jak strony ufające, jednoznaczną interpretację atrybutów i schematów, które są dostarczane, oraz sposobu ich walidacji/weryfikacji. Dodatkowo katalogi wesprą procesy rozróżniania rodzajów kwalifikowanych elektronicznych poświadczeń atrybutów.
Data publikacji: 23.02.2022