Європейська цифрова ідентичність: архітектура EUDI та її порівняння з PKIX
Анотація
Стаття аналізує архітектуру Європейської цифрової ідентичності (EUDI), її децентралізовану модель із використанням контролю доступу на основі атрибутів, а також основні функціональні ролі системи. Окрема увага приділена порівнянню EUDI з традиційною інфраструктурою відкритих ключів (PKIX) і розгляду переваг EUDI у контексті конфіденційності, децентралізації та управління атрибутами.
Вступ
Розвиток цифрових ідентичностей у Європейському Союзі базується на принципах безпеки, децентралізації та захисту даних громадян. Європейська цифрова ідентичність (EUDI) є одним із ключових елементів цієї стратегії, яка дозволяє громадянам та організаціям безпечно та прозоро обмінюватися ідентифікаційними зашифрованими чуттєвими персональними даними громадян. В основі EUDI лежить децентралізована модель із розширеним контролем атрибутів, де у якості транспорту постає HTTP, а у якості серіалізації JSON.
Архітектура EUDI
Компоненти системи
1) eIDAS Node (CA): Державний сертифікаційний центр, який забезпечує ідентифікацію та довірчі послуги через протоколи SAML, PKIX і JSON.
2) Кваліфікований надавач електронних довірчих послуг КНЕДП АЦСК (QTSP, X.509, CA).
3) Гаманець, EUDI Wallet, Holder: Мобільний додаток (iOS/Android), що підтримує PKIX, mDOC і OpenID4VC.
4) Довірчий надавач послуг (TSP): Видає верифіковані облікові дані у форматі OpenID4VC, mDOC та SAML.
5) Постачальник послуг перевірки EUDI (VSP): Здійснює перевірку верифікованих презентацій (VP, mDOC).
6) Постачальник персональних ідентифікаційних даних (PID): Реалізований через ДП "Дія" з використанням MSO mDOC.
7) Постачальники схем QEAA: Забезпечують атестацію атрибутів (кваліфіковану та некваліфіковану) через MSO mDOC.
8) Постачальник кваліфікованих електронних підписів (QSP): Видає кваліфіковані сертифікати (QC).
Ця архітектура забезпечує безпечний обмін даними через ролі Власника (Holder), Видавця (Issuer) і Перевіряючого (Verifier).
Регламенти взаємодії Власника, Надавача і Первіряючого
Екосистема OpenID4VC, яка є основою EUDI, забезпечує опосередковану взаємодію між Видавцем та Перевіряючим через Власника.
1) Надавач формує набір атрибутів, які включаються до електронних документів у форматі mDOC.
2) Перевіряючий виконує перевірку статусу та верифікує достовірність даних, представлених Власником.
3) Власник виступає посередником, контролюючи передачу атрибутів і їх валідацію і забезпечуючи конфіденційність користувача.
Ця модель мінімізує залежність від прямого зв’язку між Надавачем і Перевіряючим, забезпечуючи при цьому високий рівень довіри та дотримання принципів децентралізації.
Порівняння EUDI і PKIX
Модель EUDI має спільні риси з традиційною PKIX, включаючи використання підписаних наборів атрибутів (наприклад, сертифікатів X.509). Проте EUDI має низку суттєвих відмінностей:
1) Децентралізація: EUDI замість єдиного кореневого сертифікаційного
центру (в Україні це ЦЗО https://czo.gov.ua)
використовує розподілену модель, де всі сторони видавці сертифікатів криптографічно пов’язані.
2) Контроль атрибутів: EUDI запроваджує тонке управління атрибутами (твердженнями),
подібно до моделі ABAC, що забезпечує гнучкість і безпеку.
3) Конфіденційність: У EUDI відсутні механізми, які можуть порушити
конфіденційність, такі як CRL або OCSP, замінені криптографічними
доказами, що додаються до облікових даних.
Конфіденційність та безпека
Сучасні виклики конфіденційності вирішуються завдяки децентралізованій архітектурі EUDI.
CRL і OCSP у традиційних системах PKIX можуть розкривати активність користувачів під час запитів до CA. У OpenID4VC таких запитів уникнуто завдяки використанню криптографічних доказів, які дозволяють перевірку облікових даних без залучення зовнішніх сервісів у реальному часі.
Висновки
EUDI є інноваційною моделлю цифрової ідентичності, що поєднує переваги децентралізації, безпеки та гнучкого управління атрибутами. Її архітектура сприяє захисту даних громадян, мінімізує залежність від централізованих установ і забезпечує високу прозорість та надійність у взаємодії між сторонами.
[1]. Potential UC1-UC6 2025-2026
[2]. QEAA Put Simply: Importance of Qualified Electronic Attestation of Attributes for the EUID Wallet
[3]. European Digital Identity Wallet Architecture and Reference Framework
[4]. European Comission EUDI Github Organization
[5]. Evolution of identity management
[6]. Distributed-Ledger-based Authentication with Decentralized Identifiers and Verifiable Credentials
[7]. Me, myself and (SS)I: Why everybody must have a Self-Sovereign Identity in 5 years. BCG and walt.id
[8]. ETSI TR 119 476 V1.2.1 (2024-07) Electronic Signatures and Trust Infrastructures
[9]. Daniel Leisegang. EUDI Wallet: A wallet full of loopholes. Critic by civil rights activists. netzpolitik.org
Open Source EUDI/OpenID4VC compatible products:
[1]. WALT.ID (EUDI)
[2]. AUTHLETE.COM (EUDI)
[3]. IGRANT.IO (EUDI)
[4]. SPRUCEKIT.DEV (OpenID4VC)
[5]. LISSI.ID (EUDI)
[6]. BORUTA (OpenID4VC)
[7]. SYNRC.COM (EUDI)
[8]. DIGG.SE (EUDI)