数字绿色证书:分散且可互操作的基础架构

数字绿色证书:分散且可互操作的基础架构

在过去的几个月中,全世界一直在进行讨论:鉴于当前的全球疫情,限制人们再次出行的最佳方法是什么?支持凭证的最佳技术解决方案是什么?

尽管有些政府仍在等待立场,另一些政府正在分析或测试市场必须提供的最佳解决方案,但欧盟委员会(European Union Commission)在最新发布的创建数字绿色证书的提案中设定了一些要求,以推动这一市场。目的是在COVID-19疫情期间促进欧盟内公民的安全,自由流动。一旦部署,数字绿色证书将使欧盟内部的旅行者能够出示凭证,验证他或她是否接种了新冠肺炎疫苗,检测结果为阴性或正在从COVID-19中恢复。该证书将使旅行者避免其他适用的检疫限制,并可以在欧盟成员国之间自由移动。

自2020年初出现COVID-19病毒以来,IOTA基金会一直在忙于创作解决方案,让人们能够以一种可信、安全和无缝的方式证明自己检疫结果呈阴性。

尤其是,IOTA基金会一直在与Zebra Technologies合作,以加快证书创建和验证的开放、安全和可互操作基础设施的部署和可用性。

我们得出的方法是:

  • 安全:由于IOTA分类帐的不变性,发行人和持有人的身份及其验证状态不能被篡改。
  • 尊重隐私并符合GDPR:疫苗接种数据保存在证书持有者的设备中,只有在验证时才能访问。
  • 互操作性:证书以数字形式颁发,作为标准的W3C可验证证书,并遵循Linux Foundation Public Health Working Group的建议
  • 开放:任何授权的颁发者都可以从分类账中写入(任何验证者都可以读取)证书验证信息,仅用于验证目的,并且直接使用,而不需要第三方集成。
  • 包容性:由于IOTA分类帐的免费和开放访问性质,每个人都可以免费创建自我身份识别(SSI)。

这个想法很简单,它基于IOTA Ledger及其去中心化身份协议的不变性和可扩展性。数字绿色证书:分散且可互操作的基础架构

这个怎么运行:

  • 证书发行者(管理或测试疫苗的中心)和持有者(正在接种疫苗的公民)都有自己的主权身份(在分类账中登记的唯一假名密钥)。发行人的身份由中央机构(例如政府机构)一次性验证。
  • 持有者的身份在接受新冠肺炎检测、接种疫苗或康复证书时通过充分的“了解您的客户”(KYC)验证来验证-例如指派一名专门的疫苗管理人员检查身份证。一旦身份被验证,持有者就可以收集包含他们的疫苗接种、检测或康复信息的数字证书。证书存储在本地,可以下载到持有者的智能手机上,加载到唯一识别的实体卡上,或者打印在纸上。数字和实体证书都将有条形码或二维码,稍后可以由证书验证者(如边境代理)扫描。
  • 连同法律要求最低的信息收集(在我们的实施中,我们已经考虑了欧盟 eHealth Network的建议),证书包含持有人的身份(其经过验证的匿名公钥),发行人的身份和发行人的数字签名(使用其生成的私钥)。存储在卡和手机上的证书甚至可以用持有者的私钥进行加密,以增加安全性。
  • 然后,验证者(即边境代理)可以扫描卡或电话上的条形码或二维码,以检索和查看所需的信息,包括持有者和发行者身份以及证书签名。它使用IOTA分类帐来验证签名是真实的,并且内容包含已经过验证的发行者。

虽然我们考虑的证书信息数据模型可以根据欧盟的最终需求进行调整,但基于以上内容,我们的基础设施满足以下基本技术要求:

“数字绿色证书”框架应确保这些证书能够以可互操作的格式发放,并在持有者在其他成员国出示时得到可靠的验证,从而促进在欧盟内部人员的自由流动(同上)。

由于其以用户为中心的本质,我们概述的框架有助于确保:

根据本次访问的个人数据将不被保留(引用)。

实际上,没有数据被集中存储在分类帐中,也没有数据传输,而只是在本地显示和核实。

我们与Zebra一起证明,我们已经证明,那些无法使用手机的人可以使用带有条形码或二维码的实体卡,从而使所有人都可以使用数字绿色证书计划。这很重要,因为欧盟平均有20%的人没有智能手机,也无法以数字方式存储(因此无法出示)护照。在欠发达国家,这一数字上升到70%。

对于那些担心纸质证书丢失或损坏的人来说,这也是一个很好的解决方案,因为这种模式允许更换卡和数字备份版本。此外,生物识别卡,如带照片的身份证可以简化并加快了自动安全验证过程,当旅客数量开始再次上升时,这将是重要的。

我们的解决方案是完全分散的,便于欧盟成员国之间的整合和互操作性。但是,为了简化和加快初始解决方案的部署,欧盟建议改编和重新使用欧洲联盟网关服务。此类网关已被部署,为假名的方式在跨境旅行期间共享跟踪信息。

在此阶段,我们建议的方法与此建议完全兼容(请参见上图中用绿色虚线表示的集成网关的补充工作流)。我们认为,注册到网关的过程可用于简化整个欧盟成员国内发行人身份的验证过程,然后再将其注册到分类账中。将建议的分类帐基础设施集成为公钥基础设施以及验证证书完整性的方法还提供了一种更冗余、更可靠的补充机制,以防最初采用网关模型时出现任何可扩展性问题。证书验证密钥始终可供验证者使用,从而提高了跨国家(欧盟以外)的互操作性。

未来,我们预计,像我们提议的那样完全分散的基础设施将简化整合、降低成本,并提供足够水平的安全和责任,特别是如果最终将其与不断发展的欧洲区块链服务基础架构集成在一起的话( EBSI)。

我们还相信,分散身份将增强互操作性,这就是为什么我们支持Good Health Pass Collaborative成员及其与Trust over IP小组关于互操作性的联合倡议。

IOTA基金会及其合作伙伴认为,自我主权下放的身份和可验证的凭证是解决当前紧急情况的基石。我们还相信,这项创新将使欧洲能够灵活地应对未来的紧急情况,以更好地满足公民的需求。

我们正在从几个行业合作伙伴那里获得支持,并且我们正在与一流的安全研究小组以及像Object Management Group这样的标准化机构合作,以开发一种分散式身份框架,以降低目前与传统的集中式身份系统相关的风险,例如不受控制的数据披露,可链接性和可追溯性。

在我们继续构建此基础架构的同时,我们希望获得私营和公共部门组织的进一步支持。

我们期待着人们有机会不受太多限制地享受生活的一天,我们正在努力使再次旅行或参加有组织的活动成为可能。


原文:点击进入

如果你喜欢这篇文章或者我之前发表的文章,我很高兴能得到一点捐助;-):

IOTA:OZFXAVABNPAPFGJ9RVZQGGJZDXHZJA9REUTQSCQIKCGUILGLTAVDUC9KYDZKHOEXC9DYJTXYXLQ9EBJUYWWABVEJGC

专栏作者:IOTA-方可

个人简介:我共发表了 169 篇文章,总计被阅读了245,264 次,共获得了 1,842 个赞。

作者邮箱 作者主页 Ta的文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注