A digitális termékútlevél csak akkor ér valamit, ha megbízható. A prEN 18246 (Digital product passport — data authentication, reliability and integrity) az a készülő európai szabvány, amely épp ezt rögzíti: hogyan garantálható, hogy a DPP-adat hiteles, sértetlen és ellenőrizhető.
Mi a prEN 18246?
A prEN 18246 a CEN/CENELEC JTC 24 DPP-szabványcsalád egyik tagja (a „pr" előtag draftot jelöl). Az ESDC (Electronically Signed Data Conductors) koncepciót vezeti be: olyan elektronikusan aláírt adatcsatornákat, amelyek garantálják a DPP-adat hitelességét a teljes életciklusban.
A három alapelv
A szabvány lényege három, egymást erősítő elv:
1. Sértetlenség (integritás)
Az adatot a kibocsátás után nem lehet észrevétlenül módosítani. Kriptográfiai aláírás biztosítja, hogy bármilyen utólagos változtatás érvénytelenné teszi az aláírást — a manipuláció azonnal kiderül.
2. Azonosíthatóság / letagadhatatlanság
Bizonyítható, ki bocsátotta ki az adatot. A kibocsátó kulcsa azonosítható és ellenőrizhető — a kibocsátó nem tagadhatja le utólag, hogy ő adta ki.
3. Ellenőrizhetőség
Bárki (hatóság, tanúsító, fogyasztó-eszköz) ellenőrizheti az aláírást és a hitelességet — jellemzően egy egyszerű zöld/piros pipa formájában.
Hogyan valósul meg a gyakorlatban?
A prEN 18246 elveit a W3C Verifiable Credentials + Data Integrity aláírás közvetlenül megvalósítja:
- a beágyazott aláírás → sértetlenség,
- a kibocsátó DID/kulcs azonosítása → azonosíthatóság,
- a verifier-ellenőrzés → ellenőrizhetőség.
A kulcs hitelessége egy trust list (eIDAS Bizalmi Lista vagy did:web) alapján igazolható — ez köti össze a technikai aláírást a jogi bizalommal (eIDAS).
Miért fontos a tanúsítónak?
Egy auditor vagy piacfelügyeleti hatóság nem hisz egy PDF-nek. A prEN 18246-konform DPP esetében viszont:
- a hálózati forgalomban látja, hogy a kulcs ellenőrzött,
- a verifier bizonyítja a sértetlenséget,
- az audit gyorsabb és megbízhatóbb.
prEN 18246 vs. eIDAS
A kettő kiegészíti egymást: az eIDAS adja a jogi keretet (minősített aláírás/bélyegző joghatása), a prEN 18246 pedig a DPP-specifikus technikai elvárást (hogyan kell az adatcsatornát aláírni és ellenőrizni). Egy érett platform mindkettőre felkészül.
Gyakori kérdések
A prEN 18246 már kötelező?
Jelenleg szabványtervezet (draft); véglegesedés után válhat hivatkozott szabvánnyá. Az elvei már ma is alkalmazhatók.
Kell hozzá speciális hardver?
Nem feltétlenül; a Data Integrity aláírás szoftveresen is megvalósítható, minősített szinten QTSP-vel.
Hogyan demonstrálható?
Egy verifier-nézettel, amely zöld/piros pipát és a kulcs ellenőrzését mutatja.
Az integritás bizonyítható. A ReadyPass W3C VC + Data Integrity aláírással illusztrálja a prEN 18246 három elvét — sértetlenség, azonosíthatóság, ellenőrizhetőség.
Források: prEN 18246 (draft); eIDAS 910/2014; W3C VC 2.0 + Data Integrity; CEN/CENELEC JTC 24.
