KANSAINVÄLINEN AJOVIRANOMAINEN
Kirjaudu sisään
Hae
  1. Kotisivu
    2.  / 
  2. Blogi
    3.  / 
  3. Miksi lohkoketju on valinnainen tulevaisuuden kansainväliselle ajoluvalle (IDP)
Suggested languages
EN englanti AF afrikaans AM amhara AR arabia AZ Azerbaidžani BE valkovenäjä BG bulgaria BN bengali BS bosnia CS tšekki DA tanska DE saksa EL kreikka ES espanja ET virol FA persia
FI suomi
FIL Filipino FR ranska GA irlanti HE heprea HI hindi HR kroatia HU unkari ID indonesia IT italia JA japani KA georgian KK kazakstan KM khmeri KO korea KY kirgisia LO lao LT liettua LV latvia MK makedonia MN mongolia MS malaiji MY burma NE nepali NL hollanti NO norja PA punjabi PL puola PS pashto PT portugali RO romania RU venäjä SI sinhala SK slovakia SL slovenia SQ albania SR serbia SW swahili TA tamili TG tadžiki TH thai TK turkmenistan TR turkki UK ukraina UR urdu VI vietnam ZH kiina

Blog languages
CA katalaani HY armenia IS islanti JV jaava MT malta SV ruotsi UZ uzbekki
Miksi lohkoketju on valinnainen tulevaisuuden kansainväliselle ajoluvalle (IDP)

Miksi lohkoketju on valinnainen tulevaisuuden kansainväliselle ajoluvalle (IDP)

Tulevaisuuden kansainvälinen ajolupa (IDP) tarvitsee läpinäkyvyyttä, luottamusankkureita ja julkista vastuullisuutta. Mitä se ei oletuksena tarvitse — on kuljettajien itsensä sijoittaminen hajautettuun kirjanpitoon.

Jokainen vakava keskustelu digitaalisesta, rajat ylittävästä IDP:stä houkuttelee lopulta saman ehdotuksen: “Laitetaan se vain lohkoketjuun.” Vetovoima on ymmärrettävä. Lohkoketjut tarjoavat väärennössuojan, jaetun näkyvyyden ja vain lisättävän historian. Nämä ovat todellisia ominaisuuksia. Mutta rajat ylittävän kuljettajaidentiteetin yhteydessä niitä sovelletaan hyvin usein väärään kerrokseen.

Tässä artikkelissa selitetään miksi, käydään läpi mitä standardit tosiasiassa sanovat ja esitetään parempi arkkitehtuurimalli.

Mitä standardit tosiasiassa sanovat lohkoketjusta

W3C:n Verifiable Credentials -tietomalli on selkeä siinä, että todennettava tietorekisteri voi ottaa monia muotoja, mukaan lukien:

  • Luotetut tietokannat
  • Hajautetut tietokannat
  • Valtiollisen identiteetin tietokannat
  • Hajautetut kirjanpidot

DID Core on yhtä selkeä: monet DID-menetelmät käyttävät hajautettua kirjanpitoteknologiaa, mutta eivät kaikki. Toisin sanoen standardit hylkäävät jo ajatuksen, että lohkoketju olisi pakollinen perusta digitaalisille tunnisteasiakirjoille.

Se on oikea lähtökohta tulevaisuuden IDP:lle. Hyödyllinen kysymys ei ole “lohkoketju vai ei lohkoketjua?” Vaan:

Mikä kerros todella tarvitsee läpinäkyvyyttä, ja minkä kerroksen ei ehdottomasti pidä oletuksena muuttua julkiseksi infrastruktuuriksi?

Lohkoketju on ominaisuuksien kokoelma, ei vaatimus

Ensimmäinen virhe on kohdella “lohkoketjua” yhtenä vaatimuksena. Se ei ole sitä. Se on kokoelma mahdollisia ominaisuuksia, mukaan lukien:

  • Jaettu julkaisu
  • Vain lisättävä historia
  • Hajautettu toiminta
  • Kuitin tuottaminen
  • Vastustuskyky yksipuolisille muutoksille

Osa näistä on hyödyllisiä tulevaisuuden IDP:lle. Osa on merkityksettömiä. Ja osa on aktiivisesti vaarallisia, kun niitä sovelletaan tunnisteasiakirjojen henkilöihin. W3C:n rekisterimalli sallii tarkoituksellisesti useita toteutuksia, koska erilaiset ekosysteemit tarvitsevat erilaisia kompromisseja.

Kolme ongelmaa, joita ei pidä yhdistää

Toinen virhe on kolmen eri ongelman supistaminen yhteen järjestelmään. Tulevaisuuden IDP:ssä näiden on pysyttävä erillään:

  1. Missä oikeudellinen totuus sijaitsee. Ajo-oikeus kuuluu virallisiin kansallisiin ajokorttitietueisiin.
  2. Miten luottamusmateriaalia jaetaan. Myöntäjien avaimet ja vahvistajien sertifikaatit kuuluvat hallittuihin luottamusrekistereihin.
  3. Miten ekosysteemi tarkastaa muutokset. Tämä kuuluu läpinäkyvyyskerrokselle.

Todelliset ekosysteemit toimivat jo tällä tavoin. AAMVA:n Digital Trust Service jakaa myöntäjien julkiset avaimet ladattavana listana ennen kuin vahvistaja koskaan vuorovaikuttaa mDL:n kanssa. EU:n mobiiliajokorttiohjeessa määrätään, että jäsenvaltiot ilmoittavat komissiolle valtuutetuista mDL-myöntäjistä, ja komissio julkaisee näiden viranomaisten vahvistuslistan. Tämä on luottamuksen jakamista ilman lohkoketjua.

Mitä Certificate Transparency opettaa meille

Julkisen internetin tehokkain läpinäkyvyysmalli ei ole kuluttajalohkoketju. Se on Certificate Transparency (CT).

RFC 9162 kuvaa CT:tä protokollana TLS-palvelinvarmenteiden julkiselle kirjaamiselle, jotta kuka tahansa voi:

  • Tarkastaa varmentajan toimintaa
  • Havaita ongelmalliset tai väärin myönnetyt varmenteet
  • Tarkastaa lokeja itsessään

CT:n keskeinen suunnitteluoppi: läpinäkyvyys on arvokkain silloin, kun se kirjaa myöntäjän toimintaa ja luottamusmateriaalia — ei loppukäyttäjän toimintaa.

Sovellettuna tulevaisuuden IDP:hen tämä tarkoittaa sellaisten asioiden kirjaamista kuin:

  • Myöntäjäavainten myöntäminen ja vaihtaminen
  • Luottamusankkureiden julkaiseminen
  • Vahvistajien luokkien rekisteröinti
  • Muutokset käytäntöihin
  • Vaatimustenmukaisuuslausumat
  • Tietoturvan kannalta olennaiset tapahtumat

Mitä se ei tarkoita, on julkisen tai osittain julkisen kirjanpidon luominen haltijoista, tunnisteasiakirjojen tunnisteista tai esitystapahtumista. Se ei ole läpinäkyvyyttä. Se on liiallista tiedonkeruuta.

SCITT: Miksi läpinäkyvyys ei ole sama kuin totuus

IETF:n SCITT-arkkitehtuuriluonnos laajentaa tätä ajattelua. SCITT määrittelee läpinäkyvyyspalvelun, joka ylläpitää todennettavaa tietorakennetta ja myöntää kryptografisia kuitteja, jotka todistavat allekirjoitettujen lausumien sisällyttämisen. Läpinäkyvyyspalvelun identiteetti tallennetaan luottavien osapuolien tuntemaan julkiseen avaimen, ja luottamusankkurit sekä rekisteröintikäytännöt tehdään itsessään läpinäkyviksi.

Tämä on tehokas malli IDP-infrastruktuurille, koska se tekee läpinäkyvyydestä tarkastettavan palvelun luottamusmateriaalin ja käytäntöjen ympärille — ei henkilökohtaisten matkatietojen ympärille.

SCITT on myös selkeä läpinäkyvyyden rajoista:

  • Rekisteröity lausuma todistaa vain, että myöntäjä tuotti ja rekisteröi sen — ei, että lausuma on oikea määräajaksi.
  • Myöhempi allekirjoitettu lausuma voi korvata aiemman.
  • Läpinäkyvyys ei estä epärehellisiä tai vaarantuneita myöntäjiä; se pitää heidät vastuullisina.

Kuljettajaidentiteetin osalta tämä ero on erittäin tärkeä: läpinäkyvyysloki on todiste ja tarkastushistoria, ei jonkun ajo-oikeuden autoritatiivinen oikeudellinen tila.

SCITT toteaa myös, että läpinäkyvyyspalvelu voi suojata vain lisättävää sekvenssiään luotetun laitteiston, konsensusprotokollien ja kryptografisten todisteiden yhdistelmällä. Edes läpinäkyvyyskerros ei vaadi yhtä tiettyä lohkoketjurakennetta. Konsensus on yksi vaihtoehto, ei ainoa.

Oikea arkkitehtuurinen erottelu tulevaisuuden IDP:lle

Tulevaisuuden IDP:n tulisi erottaa huolenaiheet neljään erilliseen kerrokseen:

  1. Autoritatiiviset tietueet siitä, kenellä on ajo-oikeus (kansalliset ajokorttviranomaiset)
  2. Luottamusrekisterit myöntäjien ja vahvistajien avaimille
  3. Tilainfrastruktuuri ajantasaisuudelle ja peruuttamiselle
  4. Valinnainen läpinäkyvyyskerros käytäntöjen, luottamusankkureiden, kuittien ja vaatimustenmukaisuuslausumien julkiselle tarkastukselle
Läpinäkyvyys infrastruktuurille, ei ihmisille

Kun nämä kerrokset erotetaan toisistaan, lohkoketjukysymys tarkentuu huomattavasti. Se ei ole enää “pitäisikö tulevaisuuden IDP:n olla lohkoketjussa?” Vaan:

Mikä kerros, jos mikään, todella hyötyy vain lisättävästä julkisesta tarkastuksesta?

Viisi syytä, miksi ketjussa oleva kuljettajaidentiteetti on väärä oletusarvo

1. Se luo pysyviä seurantasignaaleja

EUDI:n tietosuojatyö selittää, että todistuksen esitykset voivat sisältää yksilöllisiä arvoja, kuten:

  • Suolat
  • Tiivistearvot
  • Peruutustunnisteet
  • Laitekohtaiset julkiset avaimet
  • Allekirjoitukset
  • Aikaleimät

Koska nämä arvot ovat kiinteitä samassa todistuksessa, ne antavat luottaville osapuolille mahdollisuuden yhdistää eri tapahtumat ja rakentaa käyttäytymisprofiilin käyttäjästä. EUDI varoittaa nimenomaisesti, että tämä loukkaa kohtuullista odotusta siitä, että erillistä lompakkotoimintaa ei yhdistetä.

Jos julkaiset pysyviä haltijatunnisteita, pysyviä tunnisteasiakirjojen tunnisteita, uudelleenkäytettäviä tiivisteitä tai yksilöllisesti jäljitettäviä peruutustapahtumia julkisessa kirjanpidossa, et ratkaise seurantaongelmaa — teet siitä pysyvän.

2. Se paljastaa peruuttamis- ja ajantasaisuustapahtumat

W3C:n Bitstring Status List -suositus kuvaa ongelman selkeästi: jos tunnisteasiakirjan ja sen tilan julkaisuosoitteen välillä on yksi-yhteen-vastaavuus, julkaisija voi yhdistää haltijan, vahvistajan ja tarkistuksen ajankohdan. Spesifikaatio käyttää esimerkinä ajokorttia havainnollistamaan, miksi myöntäjän seuranta henkilön astuessa toimipaikkaan loukkaa yleistä tietosuojaoletusta.

Parempi oletusarvo, jonka Bitstring Status List ehdottaa:

  • Suuret, pakattavat tilalistat, joissa monet tunnisteasiakirjat jakavat yhden tiluresurssin
  • Oletuslistapituus 131 072 merkintää
  • Luottavat osapuolet lataavat uudet versiot erikseen ilman tunnistautumista
  • Satunnaistetut indeksit ja ryhmätason tietosuojatakuut

Tämä on päinvastainen lähestymistapa yksilöllisille, ketjussa oleville peruutusjäljille.

3. Se sekoittaa tunnisteasiakirjan tilan oikeudelliseen ajotilaan

Digitaalinen tunnisteasiakirja voidaan peruuttaa, koska sen allekirjoitusmekanismi on vaarantunut — vaikka todellinen ajo-oikeus säilyisikin voimassa. Julkinen kirjanpito tunnisteasiakirjatapahtumista ei ole puhdas korvike kansallisen ajotietueen autoritatiiviselle tilalle.

SCITT vahvistaa tämän: rekisteröity lausuma voidaan myöhemmin korvata uudella, ja luottavat osapuolet päättävät mihin luottavat käytäntöjen ja historian perusteella. Loki ei ole pysyvä totuus. Se on todiste siitä, kuka sanoi mitä, milloin ja minkä käytännön nojalla. Kansallinen ajolupaviranomainen pysyy oikeudellisen totuuden juurena.

4. Se kohdistuu väärään hallinto-ongelmaan

Rajat ylittävä kuljettajaidentiteetti ei ole ensisijaisesti konsensus-ongelma. Se on hallinto-ongelma:

  • Kenellä on oikeus myöntää?
  • Mitkä julkiset avaimet ovat voimassa?
  • Mitkä vahvistajat ovat valtuutettuja?
  • Mitkä tietopyynnöt vastaavat ilmoitettua tarkoitusta?
  • Mikä käytäntöversio oli voimassa kyseisenä ajankohtana?

Todelliset ekosysteemit vastaavat näihin kysymyksiin jo hallitun luottamusinfrastruktuurin kautta, ei hajautetun konsensuksen kautta:

  • AAMVA:n Digital Trust Service julkaisee myöntävien viranomaisten julkiset avaimet ladattavana listana.
  • EU:n mobiiliajokorttiohje määrää, että komissio julkaisee listan valtuutetuista mDL-myöntäjistä.
  • ETSI:n lompakko-luottava-osapuoli -sertifikaattityö tarjoaa koneluettavan vahvistajan todentamisen käyttötarkoituksineen ja rekisteröityine pyyntöattribuutteineen.

Tämä on nimenomaista julkista luottamushallintoa — ei hajautettua hallintoa.

5. Se ei ratkaise tienvarsitodellisuutta

Monet lohkoketjuehdotukset olettavat hiljaisesti, että reaaliaikainen verkkoyhteys on etu. Ajoneuvon tunnisteasiakirjoissa — erityisesti tien varrella tai matkustamisen aikana — näin ei usein ole.

AAMVA:n toteutusohjeessa määritellään, että:

  • Laitepalautus toimii ilman ulkoista yhteyttä sekä haltijalle että lukijalle tapahtuma-aikana.
  • ISO/IEC 18013-5 edellyttää laitepalautuksen tukemista.
  • Vahvistajan pääsy myöntäjän julkisiin avaimiin ei tarvitse tapahtua tapahtuma-aikana. Avaimet voidaan ladata etukäteen.

Jos vahvistaja voi jo tarkistaa paikallisesti käyttämällä välimuistissa olevaa luottamusmateriaalia, reaaliaikainen lohkoketjuriippuvuus ei ole välttämätön. Se on parhaimmillaankin toteutusvalinta joissakin taustatoiminnan tarkastustehtävissä.

Mitä tulevaisuuden IDP:ssä tulisi tehdä läpinäkyväksi

Tulevaisuuden IDP tarvitsee ehdottomasti läpinäkyvyyttä — oikeassa paikassa.

Tee nämä oletuksena läpinäkyviksi:

  • Myöntäjäavaimet ja avainvaihtotapahtumat
  • Luottamusankkurit ja valtuutettujen myöntäjien listat
  • Vahvistajien käyttösertifikaatit ja rekisteröityjen tarkoitusten metatiedot
  • Käytäntöversiot ja rekisteröintisäännöt
  • Vaatimustenmukaisuuslausumat ja tietoturvaan liittyvät ohjelmistojulkaisuvaatimukset
  • Tarkastettavat kuitit, jotka todistavat näiden lausumien rekisteröinnin

Älä tee näitä oletuksena julkisiksi:

  • Haltijatunnisteet julkisessa kirjanpidossa
  • Pysyvät tunnisteasiakirjojen tunnisteet, joita käytetään uudelleen eri vahvistajilla
  • Esityskohtaiset tapahtumat
  • Raakatason peruutusmerkinnät, jotka eristävät yhden henkilön
  • Täydelliset allekirjoitetut lausumat, jotka sisältävät henkilötietoja, kun tiivisteet tai metatiedot riittäisivät

SCITT varoittaa nimenomaisesti myöntäjiä tarkistamaan yksityisten, luottamuksellisten tai henkilökohtaisesti tunnistettavien tietojen sisällyttäminen ennen lausumien toimittamista läpinäkyvyyspalveluun. Se toteaa myös, että läpinäkyvyyspalvelut voivat säilyttää vain kryptografisia metatietoja, kuten tiivisteitä — ei täydellisiä allekirjoitettuja lausumia.

Parempi malli: Läpinäkyvyys ekosysteemin ympärille, ei henkilön kautta

Puhdas arkkitehtuuri tulevaisuuden IDP:lle näyttää tältä:

  • Autoritatiivinen kansallinen rekisteri — pysyy ajo-oikeuden oikeudellisena totuuden lähteenä.
  • Tunnisteasiakirjakerros — toimittaa koneellisesti todennettavat ajovaltakirjat haltijan lompakkoon.
  • Luottamusrekisterikerros — jakaa myöntäjäavaimet, vahvistajien sertifikaatit ja valtuutettujen myöntäjien listat.
  • Tilakerros — käyttää lyhytikäisiä todistuksia tai tietosuojaa säilyttäviä tilalistoja, jotka päivitetään erikseen.
  • Läpinäkyvyyskerros — voi käyttää tai olla käyttämättä konsensusmenettelyä sisäisesti, ja kirjaa luottamusankkurit, avainmuutokset, käytäntöpäivitykset, kuitit ja ekosysteemilausumat, jotka hyötyvät vain lisättävästä julkisesta tarkastuksesta.

Tämä arkkitehtuuri kaappaa hyödyllisimmät osat lohkoketjuajattelusta — vain lisättävä tarkastettavuus, julkinen valvonta, väärennössuoja, kuitit — ilman, että kuljettajasta tulee järjestelmän julkinen kohde. Se vastaa myös sitä, mitä standardit jo kuvaavat: rekisterit voivat ottaa erilaisia muotoja, DID:t eivät vaadi hajautettuja kirjanpitoja, luottamusrekisterit ovat jo olemassa ja tietosuojaa säilyttävät tilamenetelmät ovat jo standardoituja.

Ydinargumentti

Tulevaisuuden IDP:n tulisi omaksua lohkoketjun paras idea — julkinen vastuullisuus infrastruktuurille — omaksumatta sen pahinta oletusarvoa ihmisille: pysyvä, maailmanlaajuisesti näkyvä seuranta.

Käytännössä tämä tarkoittaa:

  • Läpinäkyvyys myöntäjille, ei haltijoiden paljastaminen
  • Tarkastettavat luottamusankkurit, ei julkiset matkatietueet
  • Kuitit käytännöille ja rekisteröinneille, ei pysyvät aikajanat tunnisteasiakirjojen käytöstä
  • Vain lisättävä todiste ekosysteemin hallinnalle, ei ketjussa oleva kuljettajaidentiteetti oletusarvona

Tämä ei ole argumentti lohkoketjua vastaan. Se on argumentti lohkoketjun soveltamista vastaan väärään kerrokseen.

Tulevaisuuden IDP saattaa hyvin käyttää konsensuspohjaisia läpinäkyvyyspalveluja jossakin ekosysteemin osassa. Mutta jos suunnittelu alkaa sijoittamalla kuljettaja, tunnisteasiakirja tai esityspolku kirjanpitoon, on jo valittu väärä oletusarvo.

Hae
Kirjoita sähköpostiosoitteesi alla olevaan kenttään ja napsauta "Tilaa"
Peruuttaa
huhtikuu 01, 2019 Auton värin ja onnettomuusriskin välinen yhteys Auton värin ja onnettomuusriskin välinen yhteys tammikuu 22, 2018 Kesämatkat: "kuuma tie" Kesämatkat: "kuuma tie" marraskuu 05, 2025 Sähköauto Chevrolet Bolt on palannut uudistettuna Sähköauto Chevrolet Bolt on palannut uudistettuna
Tilaa ja saat täydelliset ohjeet kansainvälisen ajokortin hankkimisesta ja käytöstä sekä neuvoja kuljettajille ulkomailla