Tänne sivulle koostetaan webinaareissa esitettyjä kysymyksiä ja vastauksia.
Yleiset
Kuinka helppoa on tulla osaksi EUDI-wallet ekosysteemiä?
Valmistelutyössä pyritään siihen, että liittyminen on helppoa ja ekosysteemistä tulisi elinvoimainen.
Kuinka pitkiä siirtymäajat ovat keskimäärin eIDAS-asetuksen hyväksymisen jälkeen?
Siirtymäaika todennäköisesti hyväksymisestä 1,5-2v. (vahvistamatta).
Neuvottelut sisällöstä päättynevät syksyllä 2023, jonka jälkeen on vielä viralliset hyväksymisprosessit ja asetuksen kääntäminen. Kun asetus on näiden jälkeen tullut voimaan, alkaa siirtymäaika 12-24kk. Eri yhteyksissä jäsenmaat ovat kuitenkin indikoineet että vuoden siirtymäaika ei tule riittämään. Lopullinen siirtymäajan pituus tulee vahvistumaan, kun asetusmuutokset hyväksytään.
Kysymys liittyen lompakkoekosysteemiin; tavoitteleeko sääntely mallia jossa on valinnanvaraa lompakoiden osalta vai mallia, jossa käyttäjällä ei valinnanvaraa? Ja onko Suomen tahotilaa tämän osalta jo määritetty?
Tavoitteena ennemmin valinnanvaraa mahdollistavat lompakot. Vastaus kokonaisuudessaan tallenteelta 10.11.23.
Onko tiedossa jo aikataulu Suomen lainsäädäntömuutoksista?
Kansallinen toimeenpano alkaa; aikataulun osalta viimeinen takaraja tulee eIDAS-asetuksesta. Tämän tarkemmin ei vielä tässä vaiheessa ole tiedossa. Valtiovarainministeriö tiedottaa, kun asiasta on tarkempaa tietoa. Vastaus kokonaisuudessaan tallenteelta 10.11.23.
Lompakkosovellusten lähdekoodin avoimuudesta kysyttiin. Komissio valmistelee referenssitoteutusta, joka julkaistaan avoimena koodina mutta entä sitten varsinaisten lompakoiden lähdekoodi?
Ehdotus tuli asetukseen parlamentin kautta ja asetus ottaa lähtökohdaksi avoimen lähdekoodin. Tähän liittyy kansallista liikkumavaraa. Suomessa tullaan kansallisen täytäntöönpanon osalta keskustelemaan. Vastaus kokonaisuudessaan tallenteelta 10.11.23.
Nyt kun asetuksesta on päästy sopuun, alkaa täytäntöönpanoasetusten valmistelu. Toolbox-työllä vaikutetaan niiden sisältöön. Kysyttiin, että miten Suomi vaikuttaa tähän?
Toolbox-työ antaa konkreettisia syötteitä sekä teknisen toteutuksen että arkkitehtuurin näkökulmasta. Tämän osalta olemme olleet aktiivisia, ja useita eri toimijoita on mukana. Vastaus kokonaisuudessaan tallenteelta 10.11.23.
Viime viikosta alkaen on ollut jonkin verran julkista keskustelua liittyen juurivarmenteisiin ja siihen, että asetuksen myötä selaimille tulisi velvollisuus hyväksyä jokaisen jäsenvaltion varmenne. Tässä on nähty uhkia liittyen siihen, että voisi mahdollistaa selainliikenteen seuraamisen. Miten kommentoitte asiaa?
Valtiovarainministeriön vastaus: Asetus ja sen täytäntöönpanosäädökset, vaatimuksenmukaisuuden arviointikriteerit tulevat tarjoamaan tekniset kontrollit, eli ei ole pelkästään hallinnollisia kontrolleja. Valmistelua on lisäksi tehty useiden vuosien ajan. Vastine tähän löytyy: https://www.european-signature-dialog.eu/ESD_answer_to_Mozilla_misinformation_campaign.pdf Vastaus kokonaisuudessaan tallenteelta 10.11.23.
Muutama kysymys esitettiin liittyen lompakon käyttöönottoon ja siihen, tapahtuuko se hyödyntäen henkilökorttia tai passia NFC:n avulla etälukemalla. Lisäksi kysyttiin, mistä kasvokuva lompakkosovellukseen tulee.
Käyttöönoton toteutuksen osalta ei varmuutta vielä ole. Käyttöönoton täytyy täyttää korkeimman varmuustason vaatimukset. Toivottavasti pystymme mahdollistamaan sen, että suomalaiset voisivat saada lompakon etänä käyttöön. Kasvokuvaan liittyviä linjauksia ei ole vielä tehty. Kansallisen ja EU-säätelyn kautta tähän saadaan vastauksia. Vastaus kokonaisuudessaan tallenteelta 10.11.23.
Tekniset
Missä mittaluokassa mobiililaitteiden "secure element" tallennustila liikkuu? Paljonko tilaa vie piloteissa esiintyvät todisteet? Eli onko fyysisten rajoitteiden puitteissa ylipäätään realistista ajatella lompakossa kaiken ao. datan tallettamista turvattuun muistiin?
Mobiililaitteen secure elementin vastuulla on ensisijaisesti kryptografisten avainten hallinta, ei varsinainen kredentiaalidata. Huomioitavaa, että ARF:n osalta eri lompakon toteutuksen arkkitehtuurimallien tekniset suunnitelmat ovat kesken.
ARF:issa puhuttiin siitä, että Person Identification Datan (PID) tarjoajan pitäisi olla mahdollisesti LoA tasoa high. Tuleeko tästä ongelmia Suomen tunnistusvälineiden suhteen?
Lompakko tulee olemaan tasoa high, joten tämän osalta ei tule ongelmia.
Miten DVV:n esimerkkisovellus asemoituu ARF-referenssi-implementaatioon nähden? Eikö ARF:in puitteissa olekin mukana open source -referenssitoteutuksen tuottaminen?
Nykyisessä esimerkkisovelluksesta ei ole mitään osia komission referenssitoteutuksesta kun sitä ei vielä julkaistu. ARF- referenssitoteutukawn julkaisun jälkeen sitä hyödynnetään DVV:n toteutuksessakin soveltuvin osin.
Mihin DC4EU:ssa tarvitaan EBSI-lohkoketjua, eikö lompakko jo itsessään sisällä attribuuttien oikeellisuuden varmistamisen "mekanismit" vrt. muut käyttötapaukset?
Tämä on enemmän luottamusmalliin liittyvä kokeilu, ja ekosysteemissä on muitakin tapoja. DC4EU:ssa on kuitenkin nähty tärkeänä pilotoida lohkoketjua, koska opetussektori on sen käytössä pidemmällä. Lompakko tarvitsee tuekseen luottamusrekisterin, ja DC4EU:ssä rekisterin tarjoaa EBSI.
Onko EUDI Walletissa mDL (ajokortti) ISO 18013 -pohjainen vai EU:n oma OpenID-ratkaisu?
EU-lompakon pitäisi tukea molempia, siis ISO 18013-5 ja OpenID (OpenID4VCI ja OpenID4VP).
LSP-pilotit (Large Scale Pilots)
Tuleeko referenssilompakko yleisesti saataville vai ainoastaan LSP:iden käyttöön?
Tämän hetkisen tiedon mukaan referenssitoteutuksen pitäisi olla avointa lähdekoodia.
Mitä todisteita hyödyntäviä organisaatioita (Relying Party) osallistuu Suomesta LSP:ihin?
- POTENTIAL-konsortion osalta asiointipalveluja selvitetään DVV:n ja Traficomin kanssa maaliskuun aikana. Traficom voisi periaatteessa toimia itse sekä QEAA providerina että Relying Partyna, jos käyttää lompakon kautta osoitettuja ajo-oikeustietoja omissa asiointipalveluissaan. Lisäksi DVV tulee POTENTIAL:ssa pilotointia viranomaisten sähköisissä asiontipalveluissa Suomi.fi-tunnistuksen kautta.
- DC4EU-konsortion osalta asiointipalveluja kartoitetaan myös yhdessä OPH:n ja DVV:n kanssa. Yksi vaihtoehto on, että OPH voisi toimia itse Relying Partyna ja hyödyntää lompakoiden sisältämiä opiskelijatietoja omissa asiointipalveluissaan. Periaatteessa mukaan voisi tulla myös esim. korkeakouluja.
- EWC-konsortiossa matkustamisen käyttötapauksen hyödyntäjänä on Suomesta Finnair. Oikeushenkilölompakon osalta selvitystä jatketaan yhdessä YD-hankkeen kanssa.
Onko eIDAS-regulaatioon tulossa myös ns. zero knowledge proof ja mitä tämä käytännössä tarkoittaisi? Onko tälle pilottikohteita?
DC4EU-konsortion scopessa ovat ammattipätevyydet, mutta Suomen (OPH) osalta rajaudutaan korkeakoulusektorin tutkintotodistuksiin ja opiskelijatietoihin. Eli LSP-pilotoinneissa ei näitä ainakaan olla vielä kokeilemassa.
Mikä tulee olemaan Veron rooli EWC:n yrityslompakon toimittajana/selvittäjänä?
Enemmän selvittäjän rooli. On tarkoitus pilotoida oikeushenkilöille myönnettävää EUDI-lompakkoa, johon oikeushenkilö voi kerätä itseensä liittyviä todisteita ja osoittaa niitä käyntiasioinnissa. Kysymyksessä olisi pilvipohjainen lompakko. Tarkoitus on pilotoida oikeushenkilön PID:in liikkeelle lasku, oikeushenkilön lompakon liikkeelle lasku ja erikseen sovittavia, yritykseen liittyviä attribuuttitodistusten liikkeelle laskuja ja verifiointia.
