Practical Zero-Knowledge within the European Digital Identity Framework: Implementing Privacy-Preserving Identity Checks

Abstract

eIDAS määrus kirjeldab Euroopa Liidus kasutatavaid standardeid elektroonilise identifitseerimise, autentimis- ja usaldusteenuste jaoks. Selle edasiarendus eIDAS2 laiendab neid standardeid ja pakub välja ELi kodanike jaoks koostalitlusvõimelise riiklike digitaalsete identiteediteenuste ökosüsteemi loomise. Uus määrus kohustab liikmesriike tegema need teenused kättesaadavaks ning praegu töötatakse selle nimel, et kokku leppida tehnoloogiad ja protokollid, mis moodustavad Euroopa digitaalse identiteedi (EUDI) raamistiku. Raamistik peaks toetama paljusid kasutusjuhtumeid, mis nõuavad isiku identiteedi kõrge kindlusega kontrollimist, nagu näiteks erinevates ELi riikides pangakonto avamine või võrguteenustele autentimine. Samuti võimaldab EUDI kehtivate digidokumentide haldamist ja esitamist, nagu juhiload ja muud load, ravimiretseptid ning kutse- ja haridustunnistused. EUDI raamistiku laialdane kasutuselevõtt kasvataks märkimisväärselt selliste digitaalsete tuvastuste arvu, mille käigus töödeldakse tundlikke isikuandmeid ning metaandmeid selle kohta, millal ja kus volitusi kasutatakse. See kujutab endast ohtu digitaalse identiteedi teenustest kasu saada soovivate EL-i kodanike isikuandmete kaitsele. eIDAS2 määrus sisaldab sätet selliste privaatsust säilitavate tehnoloogiate kasutamise kohta, mis võimaldavad töödelda andmeid ilma neid töötlejale avalikustamata. Üheks selliseks tehnoloogiaks on nullteadmustõestused, mille abil on võimalik saada krüptograafiline tõend mingi väite tõesuse kohta, avaldamata mingit muud infot selle väite kohta. ZK-SecreC on Eesti teadus- ja arendusettevõtte Cybernetica välja töötatud keel selliste nullteadmuses tõestatavate programmide kirjutamiseks; need programmid kompileeritakse seejärel samatähenduslikeks loogikalülitusteks. Käesolevas magistritöös uuritakse ZK-SecreC kasutamist Soome ettevõttes Talenom uue kasutaja registreerimisprotsessi käigus tehtava identsuskontrolli realiseerimisel. Programmi sisendandmetena eeldatakse kehtiva etalonarhitektuuri alusel kehtivat EUDI tõendit, mis on sellisena vormindatud vastama digitaalse juhiloa standardile ISO/IEC 18013-5. Lõputöö tehniline osa koosneb ZK-SecreC programmist ja selle kahest variandist, mis viivad läbi vajaliku identiteedikontrolli. Saadud loogikalülituste käitusaega mõõdetakse kahe erineva nullteadmustõestusprotokolle realiseeriva tagasüsteemi abil. Samuti kirjeldatakse magistritöös vajalikke samme, et integreerida nullteadmuse tõestamist EUDI arhitektuuriga.