کیف هویت دیجیتال اتحادیه اروپا
کیف هویت دیجیتال اتحادیه اروپا عنوان طرح ابتکاری جدیدی است که از جانب کمیسیون اروپا برای ایجاد رویه واحد در مورد هویت دیجیتال در اروپا ارائه شده است. مقررات eIDAS اولین قانون هویت دیجیتال است که مبنایی برای شناسایی الکترونیکی فرامرزی، احراز هویت و صدور اعتبارنامه در سراسر اتحادیه اروپا را فراهم کرد. بااینوجود، همهگیری Covid-19 نیاز به راهحلهایی چابکتر را برای دسترسی به خدمات عمومی افزایش داد. قرنطینه COVID-19 برای بسیاری از سازمانها به معنای معرفی یا توسعه بیشتر فرآیندهای مجازی بود و باعث انفجار همکاری آنلاین و تراکنشهای الکترونیکی مانند تجارت الکترونیک، امضای قراردادهای الکترونیکی یا همکاری آنلاین شد.
کمیسیون اتحادیه اروپا در 3 ژوئن 2021 پیشنهادی را برای بهبود چارچوب eIDAS ارائه نمود و در آن از کشورهای عضو درخواست کرد تا مجموعهای از استانداردها و مشخصات فنی مشترک را در جهت توسعه جعبه ابزار چارچوب فنی و معماری و مرجع (Architecture and Reference Framework-ARF) معرفی کنند. بر این اساس، اتحادیه اروپا تصمیم گرفت ابتدا بر روی توصیف دقیقتر مفهوم کیف هویت، عملکردها و جنبههای امنیتی آن بین اکتبر و دسامبر 2021 تمرکز کند.
این طرح کلی به چارچوب کامل معماری و مرجع هویت دیجیتال اروپایی تبدیل شد و به نام کیف هویت (European Digital Identity- EUDI) در 22 فوریه 2022 تصویب گردید؛ هدف اصلی EUDI این است که حداقل 80 درصد از شهروندان امکان استفاده از هویت دیجیتال برای دسترسی به خدمات عمومی کلیدی تا سال 2030 را داشته باشند. چارچوب هویت دیجیتال اروپایی بهروز شده به شهروندان این امکان را میدهد که بدون نیاز به ارائهدهندگان تجاری به صورت آنلاین شناسایی و احراز هویت شوند.
هویت دیجیتال اروپایی میتواند برای اثبات هویت افراد هنگام افتتاح حساب بانکی، ارائه اظهارنامه مالیاتی، اثبات سن، کرایه ماشین یا ورود به هتل استفاده شود. همچنین ابزارهایی مانند امضای الکترونیکی، مهر زمانی الکترونیکی و خدمات تحویل ثبت شده الکترونیکی نیز میتوانند در این چارچوب جدید استفاده شوند. eIDAS 2.0 یک عامل کلیدی برای تراکنشهای بین مرزی امن است. مقررات جدید شناسایی الکترونیکی و خدمات اعتماد برای معاملات الکترونیکی در بازار داخلی، نقطه عطفی در جهت ایجاد یک محیط نظارتی قابل پیشبینی است. این مقررات به شهروندان و مقامات دولتی کمک میکند تا تعاملات الکترونیکی را به صورت امن و یکپارچه انجام دهند [1].
تاریخچه هویت دیجیتال اتحادیه اروپا
مقررات مربوط به شناسایی الکترونیکی و خدمات اعتماد اروپا (Electronic Identification and Trust Services -eIDAS) در سال 2014 به تصویب رسید و در سال 2016 برای منطقه اقتصادی اروپا لازمالاجرا شد. این مقررات، چارچوب قانونی را برای هماهنگ کردن هویت دیجیتال و خدمات اعتماد برای مشاغل، مصرفکنندگان و دولتها به طور یکپارچه در زمینه ملی و بینالمللی اعمال کرد. مقررات eIDAS به سنگ بنای ایجاد اعتماد به هویتهای دیجیتال برای اشخاص حقیقی و حقوقی در بخش عمومی و خصوصی تبدیل شد. این مقررات در ابتدا به عنوان جعبه ابزاری برای ارائه خدمات و هویتهای قابل اعتماد و همچنین به رسمیت شناختن متقابل و پذیرش قانونی در سراسر اتحادیه اروپا در نظر گرفته شده بود.
با شروع همهگیری COVID-19 و قرنطینه ناشی از آن بسیاری از سازمانها نیاز به یافتن راهحلی برای اطمینان از تداوم ارائه خدمات خود به مشتریان و شرکای تجاری داشتند. از آنجایی که امکان فعالیت حضوری در بسیاری از خدمات میسر نبود؛ لذا تمایل گستردهای به مجازیسازی فرآیندها و هویتهای قابل اعتماد ایجاد شد و نیاز به افزایش اعتماد به هویت دیجیتال برای همکاری آنلاین و عملیات تجاری برانگیخته شد. همهگیری جهانی بر اهمیت فرآیندهای شناسایی دقیق (از راه دور) و هویتهای دیجیتال قابل اعتماد تأکید کرد.
طرح هویت دیجیتال eIDAS به دلیل افزایش حجم فعالیتهای مجازی دیگر چندان موفق نبود. معماری فنی بسیار پیچیده، استفاده محدود از بخش خصوصی، رابط کاربری دشوار و مجموعه دادههای کوچک و غیرقابل انعطاف، همگی مانع از پذیرش گسترده چارچوب سابق شدند. همچنین وجود نگرانیهایی در مورد حفظ حریم خصوصی، محدودیتهای ذاتی آن برای بخش عمومی، پیچیدگی برای ارائهدهندگان خصوصی و عدم انعطافپذیری آن برای پشتیبانی از جمله مشکلات چارچوب قدیمی بوده است. چارچوب قدیمی eIDAS ویژگیهای الکترونیکی مانند گواهیهای پزشکی یا صلاحیتهای حرفهای را پوشش نمیداد. همچنین اطمینان از شناسایی حقوقی چنین اعتبارنامهها به شکل الکترونیکی در چارچوب سابق دشوار بود.
بازنگری eIDAS
کمیسیون اتحادیه اروپا در سال 2020 فرآیند بازنگری برای مقررات eIDAS را آغاز کرد. این تجدید نظر با هدف همسوسازی و هماهنگ کردن اجرای مقررات در همه کشورهای عضو اتحادیه اروپا برای بخش عمومی و خصوصی است و به شهروندان این امکان را میداد تا کنترل بیشتری بر روی اطلاعات خود داشته باشند و به اصطلاح هویت افراد خودمختار شود.
توسعه خدمات دیجیتال زمانی آسانتر میشود که بتوان کاربرد واقعی آنها را در زندگی روزمره به شهروندان نشان داد. کمیسیون اروپا در سال 2021 بهروزرسانی چارچوب هویت دیجیتال سراسری اروپایی خود را پیشنهاد کرد که به هر اروپایی امکان میدهد که در هر مکان از اتحادیه اروپا به رسمیت شناخته شوند. هسته اصلی این ابتکار جدید کیف هویت دیجیتال است. این کیف به شکل برنامههای تلفن همراه یا سرویسهای ابری است که اعتبارنامههای دیجیتال را دریافت و ذخیره میکنند. این اعتبارنامهها به صورت خصوصی و ایمن برای بسیاری از موارد در بخش دولتی و غیردولتی استفاده شوند. این چارچوب به نام eIDAS 2.0 بیانگر تکامل مقررات اتحادیه اروپا است.
چارچوب مرجع و معماری جدید هویت دیجیتال اتحادیه اروپا
کمیسیون اتحادیه اروپا چارچوبی را برای هویت دیجیتال اروپایی پیشنهاد کرد که برای همه شهروندان اتحادیه اروپا، ساکنان و مشاغل در اتحادیه اروپا در دسترس خواهد بود. شهروندان میتوانند هویت خود را اثبات کنند و اسناد الکترونیکی خود را از کیف هویت دیجیتال اروپایی خود به اشتراک بگذارند. همچنین پلتفرمهای بزرگ بنا به درخواست کاربر ملزم به پذیرش استفاده از کیف هویت دیجیتال اروپایی خواهند بود [2].
کشورهای عضو طبق مقررات جدید، کیف هویت دیجیتال اتحادیه اروپا را به شهروندان و مشاغل ارائه میدهند. این کشورها میتوانند هویت دیجیتال ملی اتباع خود را با سایر ویژگیهای شخصی (مانند اعتبارنامه رانندگی، دیپلم، حساب بانکی) مرتبط کنند. کیف هویت ممکن است توسط مقامات دولتی یا نهادهای خصوصی ارائه شود. این چارچوب جدید همه اروپاییها را قادر میسازد تا به طیف گستردهای از خدمات آنلاین (بدون نیاز به اشتراکگذاری غیرضروری دادههای شخصی) دسترسی داشته باشند.
چارچوب جدید مزایای متعددی را برای شهروندان اتحادیه اروپا به همراه خواهد داشت. مهمترین امتیازات چارچوب هویت دیجیتال اروپایی عبارتاند از:
- هر شهروند (مقیم) اتحادیه اروپا میتواند از مزایای هویت دیجیتال اروپایی بهرهمند شود؛
- کیف هویت دیجیتال اتحادیه اروپا به عنوان راهی برای شناسایی کاربران یا اثبات ویژگیهای شخصی خاص به منظور دسترسی به خدمات دیجیتال عمومی و خصوصی در سراسر اتحادیه اروپا قابل استفاده است؛
- کیف هویت دیجیتال اروپایی به مردم امکان میدهد تا انتخاب کنند که کدام جنبه از هویت، دادهها و گواهی خود را با اشخاص ثالث به اشتراک بگذارند و این به اشتراکگذاری را پیگیری کنند.
در حال حاضر، تنها 14 درصد از ارائهدهندگان خدمات کلیدی در تمام اتحادیه اروپا، احراز هویت فرامرزی را با یک سیستم هویت الکترونیکی مجاز میدانند. کمیسیون اتحادیه اروپا پیشبینی کرده است همه شهروندان تا سال 2030 به تمام خدمات عمومی کلیدی به صورت آنلاین دسترسی داشته باشند. همچنین همه افراد باید به سوابق پزشکی الکترونیکی خود دسترسی داشته و 80 درصد شهروندان باید از راهحل eIDAS 2.0 استفاده کنند [3].
eIDAS 2.0 اتحادیه اروپا توانسته است پایههای درست و چارچوب قانونی روشنی را برای مردم، شرکتها و ادارات دولتی ایجاد کند تا دسترسی امن به خدمات داشته باشند که به معنای راحتی بیشتر برای هرگونه فعالیت آنلاین است.
کیف هویت دیجیتال اروپایی به همه اروپاییها اجازه میدهد تعاملات آنلاین خود را کنترل کنند. این کیف ترکیبی از چندین محصول و خدمت قابل اعتماد است که به کاربران امکان میدهد به طور ایمن اطلاعات خود را درخواست کنند، به دست آورند و ذخیره کنند. همچنین به کاربران امکان دسترسی به خدمات آنلاین، به اشتراکگذاری دادهها و امضاء یا مهر الکترونیکی اسناد را میدهد.
بازیگران اکوسیستم
معماری اکوسیستم کیف هویت EUDI مطابق شکل زیر است که نقشهای مختلف بازیگران و جریان فرآیندها را مشخص میکند. نقشهای بالقوه اکوسیستم کیف هویت EUDI عبارتاند از:
- کاربران نهایی کیف هویت EUDI؛
- صادرکننده کیف هویت EUDI؛
- ارائهدهندگان اطلاعات شناسایی افراد؛
- ارائهدهندگان ثبت منابع مورد اعتماد؛
- ارائهدهندگان گواهی الکترونیکی واجد شرایط ویژگیها (Qualified Electronic Attestation of Attributes – QEAA)؛
- (Electronic Attestation of Attributes – EAA)؛
- گواهی واجد شرایط و غیر واجد شرایط برای ارائهدهندگان امضا یا مهر الکترونیکی؛
- ارائهدهندگان سایر خدمات اعتماد؛
- منبع معتبر؛
- نهادهای متکی؛
- سازمان ارزیابی انطباق (Conformity Assessment Bodies – CAB)؛
- نهاد نظارتی؛
- سازندگان دستگاه و ارائهدهندگان زیرسیستمهای مرتبط؛
- گواهی ارائهدهندگان ویژگی.
الزامات عملکردی
کیف هویت EUDI بر اساس چارچوب جدید اتحادیه اروپا باید عملکردهای زیر را به کاربران این اتحادیه ارائه دهد:
- انجام شناسایی الکترونیکی، ذخیره و مدیریت گواهی الکترونیکی واجد شرایط ویژگیها (QEAA) و تائید الکترونیکی ویژگیها (EAA) به صورت محلی یا از راه دور؛
- ارائه یا دسترسی به توابع رمزنگاری؛
- احراز هویت متقابل بین کیف هویت EUDI و نهادهای خارجی؛
- انتخاب، ترکیب و اشتراکگذاری با نهادهای متکی PID، QEAA و EAA؛
- رابط کاربری پشتیبانی از آگاهی کاربر و مکانیسم مجوز صریح؛
- امضای دادهها با استفاده از امضاء یا مهر الکترونیکی واجد شرایط (QES)؛
- ارائه رابط به طرفهای خارجی.
شکل بالا نمای کلی از عملکردهای کیف هویت EUDI به عنوان عناصر سازنده آن را ارائه میدهد. برخی از عملکردها ممکن است توسط خود EUDI Wallet یا توسط یک زیرسیستم آن یا توسط یک نهاد خارجی از طریق یک رابط ارائه شود. همچنین رابط QES ممکن است فرآیند امضای محلی یا راه دور را پوشش دهد.
الزامات غیرکاربردی کیف هویت EUDI
الزامات غیرکاربردی کیف هویت دیجیتال اتحادیه اروپا به دنبال پیشنهاد قانون این اتحادیه مشخص شده است. کیف هویت EUDI باید الزامات مندرج در مقررات eIDAS را (در رابطه با سطح اطمینان بالا) به ویژه در مورد الزامات اثبات هویت و تائید و شناسایی الکترونیکی را برآورده کند. کیف هویت EUDI باید در سراسر اتحادیه اروپا قابل اجرا باشد و دارای رابطهای خارجی باشد که توسط استانداردهای فنی مشترک مشخص شده است. همچنین برخی موارد استفاده ممکن است به قابلیت همکاری بینالمللی بیشتری نیاز داشته باشد.
بیشتر بخوانید: امنیت تعریف شده با هویت
کیف هویت EUDI باید کنترل کامل کاربر را بر روی دادههای آنها با یکپارچهسازی امنیت و حریم خصوصی تضمین کند؛ بنابراین، عملکردهای اصلی کیف هویت EUDI مانند شناسایی، احراز هویت، امضا، مهر و اشتراک ویژگیها نباید بدون رضایت کاربر انجام شود.
کیف هویت EUDI باید رابط کاربری و تجربه کاربری آسانی داشته باشد و دسترسی، قابلیت استفاده و گنجاندن را مورد توجه قرار دهد. کیف هویت EUDI باید آگاهی کاربر را امکانپذیر کند و به ویژه به کاربر این امکان را دهد که بداند کیف هویت EUDI او در چه زمانی و چگونه استفاده شده است، از ماهیت تمام عملیات انجام شده با کیف هویت EUDI خود مطلع شود و این عناصر را در قالب یک رزومه ارائه کند. در این زمینه، کاربر همچنین باید از نقض کنترل مطلع شود.
کیف هویت EUDI به کاربر امکان میدهد فقط اطلاعاتی را که قصد اشتراکگذاری دارد به اشتراک بگذارد. کیف هویت باید سطح مناسبی از حریم خصوصی را تضمین کند، سیاستهای زیر در مورد غیرقابل ردیابی بودن فعالیتهای کاربر برای اشخاص ثالث اجرا میشود:
- زمینه قانونی قابل اجرا برای ارائهدهندگان هویت و ارائهدهندگان گواهی؛
- نیاز به نگهداری شواهد برای حل اختلاف؛
- این حق برای کاربر که از استفاده از کیف هویت EUDI خود مطلع شود.
به منظور جلب اعتماد کاربران کیف هویت EUDI و نهادهای متکی، مطابقت اجزای حیاتی اجرای کیف هویت EUDI (شامل عملکردهای اصلی کیف هویت EUDI و اجرای پروتکلهای رابط) باید توسط صادرکننده کیف هویت EUDI تضمین و تائید شود. اعتبارنامه EUDI Wallet. امنیت اجزای حیاتی یکپارچه شده در کیف هویت EUDI را تائید میکند. بهعلاوه، نهاد متکی نمیتواند بین دو کیف هویت تائید شده EUDI تمایز قائل شود تا حریم خصوصی کاربر هنگام انجام احراز هویت مستعار حفظ شود. ارائهدهندگان خدمات اعتماد نباید هیچگونه اطلاعاتی در مورد استفاده از گواهیهای ارائه شده دریافت کنند.
صادرکننده کیف هویت EUDI نباید اطلاعاتی در مورد استفاده از کیف هویت EUDI (که برای ارائه خدمات کیف هویت EUDI ضروری نیست) جمعآوری کند. علاوه بر این، صادرکننده Wallet نباید PID و سایر دادههای شخصی ذخیره شده یا مربوط به استفاده از کیف هویت EUDI را با دادههای شخصی سایر خدمات ارائه شده توسط این صادرکننده یا خدمات شخص ثالث (که برای ارائه ضروری نیستند) ترکیب کند مگر اینکه کاربر صریحاً آن را درخواست کرده باشد. دادههای شخصی مربوط به ارائه کیف هویت دیجیتال اروپایی باید از نظر فیزیکی و منطقی جدا از سایر دادهها، نگهداری شود.
احراز هویت متقابل در زمان استفاده از کیف هویت
احراز هویت متقابل زمانی صورت میگیرد که دو طرف یک کانال ارتباطی، هویت یکدیگر را تائید میکنند. احراز هویت متقابل همچنین به عنوان احراز هویت دو طرفه شناخته میشود زیرا فرآیند احراز هویت در هر دو جهت انجام میشود. به عنوان مثال هنگامی که شخصی از کیف هویت برای گرفتن تاکسی استفاده میکند؛ معمولاً پلاک یا توضیحات وسیله نقلیه را بررسی میکند تا مطمئن شود که سوار ماشین درستی شده است. به محض سوار شدن، راننده از مسافر نام او را میپرسد تا تائید کند که فرد مناسب را سوار میکند. مسافر و راننده هر کدام بررسی میکنند که با شخص مورد نظر در حال تعامل هستند و هر دو میتوانند تائید کنند که با همان شخصی هستند که توسط سازمان تائید شده است.
بیشتر بخوانید: استانداردهای مدیریت هویت و دسترسی
کیف هویت دیجیتال اتحادیه اروپا، احراز هویت متقابل هر دو طرف را در یک کانال ارتباطی دیجیتال تائید میکند که معمولاً با پروتکل امنیت لایه TLS مرتبط است. سه روش اصلی برای احراز هویت متقابل در کیف هویت وجود دارد:
- این روش بر رمزگذاری کلید عمومی متکی است. رمزگذاری کلید عمومی به جای یک کلید از دو کلید عمومی و خصوصی استفاده میکند. دادههای رمزگذاری شده کلید عمومی با کلید خصوصی رمزگشایی میشوند و دادههای رمزگذاری شده کلید خصوصی با کلید عمومی رمزگشایی میشوند. در احراز هویت متقابل کلید عمومی، هر دو طرف ارتباط یک کلید عمومی را ارائه میکنند و هر دو باید ثابت کنند که کلید خصوصی را در اختیار دارند؛
- این رویکرد مشابه احراز هویت کلید عمومی است با این تفاوت که به جای فقط یک کلید عمومی، هر دو طرف یک گواهی کلید عمومی دارند. این گواهی حاوی اطلاعات اضافی است که به تائید هویت طرفین کمک میکند؛
- این روش احراز هویت متقابل از یک گواهی در سمت سرور استفاده میکند. سرور یک گواهی به مشتری ارائه میدهد که گواهی را تائید کند. در سمت کلاینت، کلاینت ترکیب نام کاربری و رمز عبور خود را به سرور ارسال میکند که اعتبارنامهها را تائید میکند.
احراز هویت متقابل بسیاری از ضعفهای امنیتی را از بین میبرد و انجام برخی از انواع حملات را بسیار دشوارتر میکند، زمان و قدرت محاسباتی بیشتری را به تبادل اطلاعات اضافه مینماید. این روش نیامند تنظیمات قبلی است زیرا هر دو طرف ارتباط به مجموعهای از اعتبارنامهها، یک جفت کلید عمومی- خصوصی یا یک گواهی کلید عمومی (بسته به نوع احراز هویت در حال استفاده) نیاز دارند [5].
آمار استفاده از کیف هویت EUDI
کمیسیون اتحادیه اروپا تخمین میزند که کیف هویتی جدید اتحادیه اروپا میتواند تا 9.6 میلیارد یورو درآمدزایی داشته باشد و طی پنج سال پس از اجرای آن 27000 شغل ایجاد کند. علاوه بر آن، کمیسیون تأثیر مثبت رویکرد جدید بر شرایط زیستمحیطی را پیشبینی میکند، زیرا ممکن است استفاده از کیف هویت دیجیتال به کاهش آلودگیهای محیطی منجر شود [4].
کاهش هزینه تخمینی سالانه مرتبط با روشهای شناسایی در هنگام استفاده از eIDAS عبارت است از:
کاهش هزینه تخمینی سالانه مرتبط با روشهای شناسایی در هنگام استفاده از eIDAS عبارت است از:
- کاهش هزینههای عملیاتی مرتبط با رویههای شناسایی (روشهای ورود، رویههای KYC و غیره)
- خدمات مالی (کلی): 0.68 میلیارد یورو – 1.36 میلیارد یورو؛
- سلامت الکترونیک: 1.26 میلیارد یورو – 2.51 میلیارد یورو؛
- هوانوردی: 30 تا 60 میلیون یورو؛
- تجارت الکترونیک: 0.24 میلیارد یورو – 0.47 میلیارد یورو.
- کاهش هزینهها یا خسارات مربوط به جرائم سایبری (سرقت دادهها، کلاهبرداری آنلاین و روشهای پیشگیری از کلاهبرداری آنلاین) با کیف هویت دیجیتال اتحادیه اروپا
- خدمات مالی (کلی): 0.85 میلیارد یورو – 1.4 میلیارد یورو؛
- سلامت الکترونیک: 0.3 میلیارد یورو – 0.6 میلیارد یورو؛
- هوانوردی: 3.5 میلیون یورو – 7 میلیون یورو؛
- تجارت الکترونیک: 0.13 میلیارد یورو – 0.26 میلیارد یورو.
نویسندگان: محمدصالح میثمی، تورج اکبری
مراجع
[1] Mar Negreiro, “Updating the European digital identity framework,” BRIEFING, جلد 1, شماره digital identity, pp. 1-9, 2022.
[2] William Echikson, “EUROPE’S DIGITAL IDENTIFICATION OPPORTUNITY,” CEPS, جلد 1, شماره digital identity, pp. 1-37, 2021.
[3] Kasper Drazewski , “MAKING EUROPEAN DIGITAL IDENTITY AS SAFE AS IT IS NEEDED,” BEUC , جلد 1, شماره digital identity , pp. 1-13, 2022.
[4] Daniela Pöhn, Michael Grabatin and Wolfgang Hommel, “eID and Self-Sovereign Identity Usage: An Overview,” MDPI, جلد 1, شماره digital identity, pp. 1-36, 2021.
[5] “REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL,” COM, جلد 1, شماره Digital Identity, pp. 1-73, 2021.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.