Qu'est-ce que l'EUDI et comment la Citadelle de Dusk Network s'intègre-t-elle…

Le 10 février 2023, l'Union européenne a publié un document passionnant, mais au nom incroyablement compliqué, en particulier The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework: The European Digital Identity Wallet Architecture and Reference Framework, ou ARF. Nous allons plonger dans ce document et ce qu'il signifie pour l'Europe et pour Dusk Network ici, et pour rester bref, nous suivrons les propres abréviations suggérées par l'UE pour ce document : EUDI et ARF.

Qu'est-ce qu'EUDI ?

Le concept d'une identité numérique européenne (EUDI) couve depuis un certain temps déjà. Dès le 3 juin 2021, la Commission européenne a annoncé son intention de montrer la voie en rendant ce produit accessible à tous les citoyens européens. Aujourd'hui, près de deux ans plus tard, l'UE est prête à passer à la phase pilote. Mais piloter quoi ?

En effet, l'EUDI est une forme d'identification qui peut être utilisée par tout citoyen de tout État membre de l'Union européenne, par toute entreprise opérant dans l'Union européenne et acceptée par toute entreprise ou agence gouvernementale de l'Union européenne. Plutôt que de remplacer les mécanismes d'identité préexistants (c'est-à-dire les cartes d'identité nationales), l'EUDI s'ajoute à ceux-ci en tant que système d'identité numérisé auxiliaire. Par exemple, une banque aux Pays-Bas continuerait d'accepter la carte d'identité néerlandaise pour l'ouverture de nouveaux comptes, mais accepterait également l'EUDI pour les résidents non néerlandais, ce qui signifie qu'elle n'aurait besoin de prendre en charge que deux formes de vérification d'identité. Il s'agit d'un pas en avant par rapport aux options actuelles des banques pour apprendre à prendre en charge une pléthore de certificats d'identité OU pour restreindre les services aux seules personnes disposant d'une carte d'identité néerlandaise.

L'EUDI ne serait toutefois pas limitée aux seuls services pour lesquels la carte d'identité d'un État membre est utilisée, mais s'étendrait également à toute interaction où les attributs d'une personne doivent être prouvés. Les cas d'utilisation que l'UE elle-même a identifiés sont très variés, notamment :

• Identification sécurisée et fiable pour accéder aux services en ligne
• Mobilité et permis de conduire numérique
• Certifications professionnelles en entreprise
• Payer pour des choses où les prix sont différents, comme les routes à péage
• Dossiers de santé tels que les résumés de brevets ou les ordonnances électroniques
• Diplômes d'études et qualifications professionnelles
• Produits de finance numérique
• Identifiants de voyage numériques (tels que passeports et visas)

Actuellement, prouver l'identité et les références dans l'Union européenne est déroutant et sujet aux erreurs. En fait, un grand nombre de certifications différentes sont nécessaires pour tout ce qu'un citoyen essaie de faire, qui diffèrent également en nombre et en style d'un État membre à l'autre. Fidèles à la mission européenne d'harmoniser tous les États membres en un seul espace de commerce et de voyage, ils souhaitent résoudre ce problème avec une seule EUDI pour tous.

Qu'est-ce que l'ARF ?

ARF est un document récent qui marque le début de la phase pilote EUDI. Il s'agit essentiellement d'une liste de contrôle que chaque État membre doit convenir et harmoniser avant que le pilotage ne puisse commencer. Ceci comprend:

• Définir les rôles et les responsabilités de chaque acteur du processus EUDI.
• Décrire les exigences fonctionnelles et non fonctionnelles du portefeuille EUDI.
• Identifier les blocs de construction potentiels.

Étant donné que la mise en œuvre de l'EUDI par chaque État membre doit être interopérable avec toutes les autres, il est essentiel que tout le monde commence par s'appuyer sur le même ensemble de normes et en utilisant une terminologie cohérente. Ceci est important lorsqu'il s'agit de détails tels que la certification de la validité d'une pièce d'identité ou d'un document. Par exemple, si un certificat a une date d'expiration, il devrait automatiquement devenir invalide à compter de cette date. Mais l'émetteur devrait-il également avoir la possibilité de révoquer le certificat à tout moment avant l'expiration naturelle du certificat ? Et si quelque chose est valide « jusqu'à ce qu'il soit révoqué », a-t-il besoin d'une date d'expiration au cas où ? L'ARF établit des lignes directrices sur la façon dont toutes ces choses doivent être mises en place, comment l'information circulerait entre les parties concernées et qui devrait avoir accès à quoi.

Ceci est crucial, étant donné que plusieurs parties sont impliquées dans une transaction même simple comme l'émission d'un billet de train à prix réduit à un étudiant. Dans cet exemple, les parties comprennent :

• L'étudiant. 
• L'opérateur ferroviaire.
• L'université (qui vérifie le statut de l'étudiant).
• Un corps étudiant national (qui peut également avoir à vérifier l'étudiant).
• L'exploitant de la gare (si différent de l'exploitant).
• Le site Web du billet de train qui a vendu le billet.

Comme vous pouvez le voir, même une transaction apparemment simple comme l'achat d'un billet de train pour un étudiant peut impliquer jusqu'à six parties différentes. Pouvez-vous imaginer quel genre de complexité pourrait être impliquée dans le traitement d'instruments financiers sophistiqués ?

Pourquoi Dusk Network accueille-t-il cela ?

Chez Dusk Network, nous pensons que les spécifications ARF sont une étape importante vers l'amélioration de la confidentialité et de la sécurité dans le processus EUDI : deux de nos principales priorités. L'exemple ci-dessus (assez simple) d'un étudiant achetant un billet de train met en évidence la nécessité de divulgations sélectives. Ils permettraient aux individus de ne partager que les informations nécessaires, tout en rendant simultanément obsolètes des pratiques dangereuses telles que le partage de copies d'identité ou l'exigence de données personnelles. Vous pouvez penser à des divulgations sélectives comme montrer à quelqu'un votre permis de conduire, mais avec vos doigts couvrant toutes les informations sauf votre photo, puisque c'est tout ce qui est vraiment nécessaire.

Les fuites de données sont de plus en plus courantes dans la société, et chez Dusk, nous sommes alarmés par le fait que même les transactions les plus simples comportent un grand potentiel de fuite de données. Le moyen le plus simple de protéger les utilisateurs et les organisations est de stocker les données dans un format crypté sécurisé ou de ne pas y être exposé.

Pour répondre à cette préoccupation, les spécifications ARF indiquent une EUDI qui doit avoir des fonctionnalités telles que l'émission et la révocation de certificats, le cryptage, le transfert sécurisé d'identité et d'autres informations personnelles, et une gamme d'options de divulgation sélective. 

Cela semble un peu familier, n'est-ce pas ?

Pourquoi utiliser Citadel pour EUDI ?

Citadelle est la solution d'identité numérique préservant la confidentialité de Dusk qui permet la confidentialité, la conformité, la décentralisation et une approche unique du KYC. En tant que tel, ce serait un excellent choix pour EUDI pour plusieurs raisons, mais principalement pour la confidentialité, la conformité et l'efficacité.

La confidentialité est une préoccupation majeure pour toutes les personnes impliquées dans le processus EUDI. La citadelle est construite à l'aide de preuves à connaissance nulle (ZKP), ce qui signifie que les données privées n'ont pas besoin d'être révélées pour confirmer qu'une personne a un accès légitime à un service, est autorisée à entrer dans un pays ou a un droit légitime d'être quelque part. Cette approche de la confidentialité et de l'identité est nouvelle et révolutionnaire et permet une solution qui préserve la confidentialité tout en assurant une vérification d'identité sécurisée. En ce sens, il va au-delà de l'ambition actuelle de l'EUDI de publier une version numérique de ce qui existe déjà. 

Les ZKP ont le pouvoir de prouver que quelque chose est vrai sans autre divulgation et dans le cas de l'EUDI, cela se traduirait par donner aux gens le pouvoir de prouver leur éligibilité sans avoir à partager leur identité. Qu'ils entrent dans un pays, ouvrent un compte bancaire ou même accèdent à un service, Citadel garantirait que leurs données restent privées et réduirait considérablement tout risque d'attaques de pirates.

La conformité est un autre avantage qu'offre Citadel, en particulier la conformité programmable. L'UE peut programmer ses réglementations dans Citadel elle-même, ce qui non seulement garantit la conformité, mais facilite également la mise à jour des réglementations à mesure que les choses changent. 

Par exemple, pendant le Brexit, Citadel en tant qu'EUDI aurait pu être utilisé pour mettre à jour le système et modifier ce qui était autorisé et ce qui n'était pas autorisé, simplifiant ainsi le maintien de la conformité. Vraisemblablement, les EUDI des citoyens britanniques auraient été invalidés. 

Enfin, l'efficacité est un avantage crucial de Citadel. Contrairement aux systèmes traditionnels qui nécessitent de nombreux services de stockage de données et de conformité, Citadel élimine le besoin de ces coûts. Avec Citadel, il ne serait plus nécessaire de conserver des copies redondantes des bases de données stockant les identités numériques d'environ 450 millions de personnes, aux côtés de départements juridiques, de conformité et de cybersécurité entiers. Seule la preuve d'éligibilité serait transmise, tandis que les données ne le seraient pas. S'il n'y a rien à pirater, il n'y a pas besoin de tous ces frais généraux. 

En conclusion, Citadel a le potentiel de fournir à la fois à l'UE et à ses citoyens la confidentialité, la conformité programmable et l'efficacité dont ils ont besoin pour faire des identités numériques un succès. Grâce à son utilisation de la cryptographie à connaissance zéro et de la conformité programmable, Citadel propose une nouvelle approche de l'identité numérique à la fois sécurisée et efficace et a le potentiel de révolutionner la façon dont nous abordons la vérification d'identité.