Wat is EUDI en hoe past de Citadel van Dusk Network...

Op 10 februari 2023 publiceerde de Europese Unie een opwindend, maar ongelooflijk gecompliceerd document, met name The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, of ARF. We zullen ingaan op dit document en wat het betekent voor Europa en voor Dusk Network hier, en om het kort te houden, zullen we de door de EU zelf voorgestelde afkortingen voor dit document volgen: EUDI en ARF.

Wat is EUDI?

Het concept van een Europese digitale identiteit (EUDI) broeide al een tijdje. Al op 3 juni 2021 heeft de Europese Commissie haar voornemen aangekondigd om het voortouw te nemen om dit product beschikbaar te maken voor alle Europese burgers. Nu, bijna twee jaar later, is de EU klaar om over te gaan naar de proeffase. Maar wat besturen?

EUDI is in feite een vorm van identificatie die kan worden gebruikt door elke burger van elke lidstaat van de Europese Unie, door elk bedrijf dat actief is in de Europese Unie en dat wordt geaccepteerd door elk bedrijf of overheidsinstantie in de Europese Unie. In plaats van reeds bestaande identiteitsmechanismen (dwz nationale identiteitskaarten) te vervangen, wordt EUDI ernaast geplaatst als een aanvullend gedigitaliseerd identiteitssysteem. Een bank in Nederland zou bijvoorbeeld de Nederlandse identiteitskaart blijven accepteren voor nieuwe rekeningopeningen, maar zou ook EUDI accepteren voor niet-Nederlandse ingezetenen, wat betekent dat ze slechts twee vormen van identiteitsverificatie hoeven te ondersteunen. Dit is een stap vooruit ten opzichte van de huidige opties van banken om te leren hoe ze een overvloed aan identiteitscertificaten kunnen ondersteunen OF om de dienstverlening te beperken tot alleen mensen met een Nederlandse identiteitskaart.

EUDI zou echter niet alleen worden beperkt door de diensten waarvoor de identiteitskaart van een lidstaat wordt gebruikt, maar zou zich ook uitstrekken tot elke interactie waarbij attributen over een persoon moeten worden bewezen. De use cases die de EU zelf heeft geïdentificeerd, zijn wijd en zijd, waaronder:

• Veilige en vertrouwde identificatie om toegang te krijgen tot online services
• Mobiliteit en digitaal rijbewijs
• Professionele zakelijke certificeringen
• Betalen voor dingen waar verschillende prijzen voor gelden, zoals tolwegen
• Gezondheidsdossiers zoals samenvattingen van octrooien of e-recepten
• Onderwijsreferenties en beroepskwalificaties
• Digitale financiële producten
• Digitale reisgegevens (zoals paspoorten en visa)

Momenteel is het bewijzen van identiteit en geloofsbrieven in de Europese Unie verwarrend en foutgevoelig. In feite zijn er een groot aantal verschillende certificeringen nodig voor wat het ook is dat een burger probeert te doen, die ook in aantal en stijl verschillen van lidstaat tot lidstaat. Trouw aan de Europese missie om alle lidstaten te harmoniseren tot één handels- en reisgebied, willen ze dit probleem oplossen met één EUDI voor iedereen.

Wat is ARF?

ARF is een recent document dat het begin markeert van de EUDI-proeffase. Het is in wezen een checklist die elke lidstaat moet afspreken en harmoniseren voordat de pilots kunnen beginnen. Dit bevat:

• Het definiëren van rollen en verantwoordelijkheden van elke speler in het EUDI-proces.
• Overzicht van functionele en niet-functionele vereisten van de EUDI-portemonnee.
• Potentiële bouwstenen identificeren.

Aangezien de implementatie van EUDI in elke lidstaat interoperabel moet zijn met alle andere, is het van cruciaal belang dat iedereen begint met het voortbouwen op dezelfde reeks normen en het gebruik van consistente terminologie. Dit is belangrijk als het gaat om details zoals het certificeren van de geldigheid van een identiteitsbewijs of document. Als een certificaat bijvoorbeeld een vervaldatum heeft, zou het op of na die datum automatisch ongeldig moeten worden. Maar moet de uitgever ook de mogelijkheid hebben om het certificaat op elk moment in te trekken voordat het certificaat op natuurlijke wijze verloopt? En als iets geldig is 'totdat het wordt herroepen', moet het dan voor de zekerheid een vervaldatum hebben? Het ARF stelt richtlijnen op hoe al deze zaken moeten worden ingericht, hoe de informatie tussen de betrokken partijen moet stromen en wie waar toegang toe moet hebben.

Dit is cruciaal, aangezien er meerdere partijen betrokken zijn bij zelfs een simpele transactie als het uitreiken van een treinkaartje met korting aan een student. In dit voorbeeld zijn de partijen:

• De student. 
• De spoorwegexploitant.
• De universiteit (die de status van de student verifieert).
• Een nationale studentenorganisatie (die de student mogelijk ook moet verifiëren).
• De exploitant van het treinstation (indien anders dan de exploitant).
• De website voor treinkaartjes die het kaartje heeft verkocht.

Zoals je kunt zien, kunnen zelfs bij een ogenschijnlijk eenvoudige transactie, zoals het kopen van een treinkaartje voor een student, wel zes verschillende partijen betrokken zijn. Kun je je voorstellen wat voor soort complexiteit er kan komen kijken bij het omgaan met geavanceerde financiële instrumenten?

Waarom verwelkomt Dusk Network dit?

Bij Dusk Network zijn we van mening dat de ARF-specificaties een belangrijke stap zijn in de richting van meer privacy en veiligheid in het EUDI-proces: twee van onze belangrijkste prioriteiten. Het bovenstaande (vrij eenvoudige) voorbeeld van een student die een treinkaartje koopt, benadrukt de noodzaak van selectieve openbaarmakingen. Ze zouden individuen in staat stellen alleen de noodzakelijke informatie te delen, terwijl tegelijkertijd onveilige praktijken zoals het delen van kopieën van identiteitsbewijzen of het eisen van persoonlijke gegevens volledig achterhaald zouden zijn. U kunt denken aan selectieve onthullingen, zoals iemand uw rijbewijs laten zien, maar met uw vingers alle informatie bedekken behalve uw foto, want dat is alles wat echt nodig is.

Datalekken komen steeds vaker voor in de samenleving, en wij bij Dusk zijn gealarmeerd dat zelfs de eenvoudigste transacties een groot potentieel voor datalekken met zich meebrengen. De gemakkelijkste manier om gebruikers en organisaties te beschermen, is door gegevens op te slaan in een veilig gecodeerd formaat of door er geen blootstelling aan te krijgen.

Om deze zorg weg te nemen, wijzen de ARF-specificaties op een EUDI die functies moet hebben zoals certificaatuitgifte en intrekking, codering, veilige overdracht van identiteit en andere persoonlijke informatie, en een reeks selectieve openbaarmakingsopties. 

Dat klinkt een beetje bekend, nietwaar?

Waarom Citadel gebruiken voor EUDI?

Citadel is de privacybewarende digitale identiteitsoplossing van Dusk die privacy, compliance, decentralisatie en een eenmalige benadering van KYC mogelijk maakt. Als zodanig zou het om meerdere redenen een uitstekende keuze zijn voor EUDI, maar vooral voor privacy, naleving en efficiëntie.

Privacy is een belangrijk aandachtspunt voor iedereen die betrokken is bij het EUDI-proces. Citadel is gebouwd met behulp van zero-knowledge proofs (ZKP's), wat betekent dat privégegevens niet openbaar hoeven te worden gemaakt om te bevestigen dat een persoon legitieme toegang heeft tot een dienst, gemachtigd is om een ​​land binnen te komen of een legitiem recht heeft om ergens te zijn. Deze benadering van privacy en identiteit is nieuw en revolutionair en maakt een oplossing mogelijk die de privacy behoudt en tegelijkertijd veilige identiteitsverificatie biedt. In die zin gaat het verder dan de huidige ambitie van EUDI om een ​​digitale versie uit te brengen van wat al bestaat. 

ZKP's hebben de macht om te bewijzen dat iets waar is zonder enige andere openbaarmaking en in het geval van de EUDI zou dat betekenen dat mensen de bevoegdheid krijgen om te bewijzen dat ze in aanmerking komen zonder hun identiteit te hoeven delen. Of ze nu een land binnenkomen, een bankrekening openen of zelfs toegang krijgen tot een dienst, Citadel zorgt ervoor dat hun gegevens privé blijven en verkleint de kans op aanvallen van hackers drastisch.

Compliance is een ander voordeel dat Citadel biedt, met name programmeerbare compliance. De EU kan haar regelgeving in Citadel zelf programmeren, wat niet alleen zorgt voor naleving, maar het ook gemakkelijker maakt om de regelgeving bij te werken als er dingen veranderen. 

Tijdens de Brexit had Citadel als EUDI bijvoorbeeld kunnen worden gebruikt om het systeem bij te werken en te wijzigen wat wel en niet was toegestaan, waardoor het eenvoudiger werd om aan de regels te blijven voldoen. Vermoedelijk zouden de EUDI's van Britse burgers ongeldig zijn gemaakt. 

Ten slotte is efficiëntie een cruciaal voordeel van Citadel. In tegenstelling tot traditionele systemen die uitgebreide gegevensopslag en compliance-afdelingen vereisen, elimineert Citadel deze kosten. Met Citadel zou het niet nodig zijn om redundante kopieën van databases bij te houden waarin de digitale identiteiten van ongeveer 450 miljoen mensen zijn opgeslagen, naast volledige juridische, compliance- en cyberbeveiligingsafdelingen. Alleen het bewijs van geschiktheid zou worden verzonden, de gegevens niet. Als er niets te hacken valt, is al die overhead niet nodig. 

Kortom, Citadel heeft het potentieel om zowel de EU als haar burgers de privacy, programmeerbare compliance en efficiëntie te bieden die ze nodig hebben om digitale identiteiten tot een succes te maken. Dankzij het gebruik van zero-knowledge cryptografie en programmeerbare compliance, biedt Citadel een nieuwe benadering van digitale identiteit die zowel veilig als efficiënt is en het potentieel heeft om een ​​revolutie teweeg te brengen in de manier waarop we identiteitsverificatie benaderen.