Tänne sivulle koostetaan webinaareissa esitettyjä kysymyksiä ja vastauksia.

Yleiset

Kuinka helppoa on tulla osaksi EUDI-wallet ekosysteemiä? 
Valmistelutyössä pyritään siihen, että liittyminen on helppoa ja ekosysteemistä tulisi elinvoimainen.

Kuinka pitkiä siirtymäajat ovat keskimäärin eIDAS-asetuksen hyväksymisen jälkeen?

Siirtymäaika todennäköisesti hyväksymisestä 1,5-2v. (vahvistamatta).

Neuvottelut sisällöstä päättynevät syksyllä 2023, jonka jälkeen on vielä viralliset hyväksymisprosessit ja asetuksen kääntäminen. Kun asetus on näiden jälkeen tullut voimaan, alkaa siirtymäaika 12-24kk. Eri yhteyksissä jäsenmaat ovat kuitenkin indikoineet että vuoden siirtymäaika ei tule riittämään. Lopullinen siirtymäajan pituus tulee vahvistumaan, kun asetusmuutokset hyväksytään.

Kysymys liittyen lompakkoekosysteemiin; tavoitteleeko sääntely mallia jossa on valinnanvaraa lompakoiden osalta vai mallia, jossa käyttäjällä ei valinnanvaraa? Ja onko Suomen tahotilaa tämän osalta jo määritetty? 

Tavoitteena ennemmin valinnanvaraa mahdollistavat lompakot. Vastaus kokonaisuudessaan tallenteelta 10.11.23.

Onko tiedossa jo aikataulu Suomen lainsäädäntömuutoksista?

Kansallinen toimeenpano alkaa; aikataulun osalta viimeinen takaraja tulee eIDAS-asetuksesta. Tämän tarkemmin ei vielä tässä vaiheessa ole tiedossa. Valtiovarainministeriö tiedottaa, kun asiasta on tarkempaa tietoa. Vastaus kokonaisuudessaan tallenteelta 10.11.23.

Lompakkosovellusten lähdekoodin avoimuudesta kysyttiin. Komissio valmistelee referenssitoteutusta, joka julkaistaan avoimena koodina mutta entä sitten varsinaisten lompakoiden lähdekoodi?

Ehdotus tuli asetukseen parlamentin kautta ja asetus ottaa lähtökohdaksi avoimen lähdekoodin. Tähän liittyy kansallista liikkumavaraa. Suomessa tullaan kansallisen täytäntöönpanon osalta keskustelemaan. Vastaus kokonaisuudessaan tallenteelta 10.11.23.

Nyt kun asetuksesta on päästy sopuun, alkaa täytäntöönpanoasetusten valmistelu. Toolbox-työllä vaikutetaan niiden sisältöön. Kysyttiin, että miten Suomi vaikuttaa tähän?

Toolbox-työ antaa konkreettisia syötteitä sekä teknisen toteutuksen että arkkitehtuurin näkökulmasta. Tämän osalta olemme olleet aktiivisia, ja useita eri toimijoita on mukana. Vastaus kokonaisuudessaan tallenteelta 10.11.23.

Viime viikosta alkaen on ollut jonkin verran julkista keskustelua liittyen juurivarmenteisiin ja siihen, että asetuksen myötä selaimille tulisi velvollisuus hyväksyä jokaisen jäsenvaltion varmenne. Tässä on nähty uhkia liittyen siihen, että voisi mahdollistaa selainliikenteen seuraamisen. Miten kommentoitte asiaa?

Valtiovarainministeriön vastaus: Asetus ja sen täytäntöönpanosäädökset, vaatimuksenmukaisuuden arviointikriteerit tulevat tarjoamaan tekniset kontrollit, eli ei ole pelkästään hallinnollisia kontrolleja. Valmistelua on lisäksi tehty useiden vuosien ajan. Vastine tähän löytyy: https://www.european-signature-dialog.eu/ESD_answer_to_Mozilla_misinformation_campaign.pdf Vastaus kokonaisuudessaan tallenteelta 10.11.23.

Muutama kysymys esitettiin liittyen lompakon käyttöönottoon ja siihen, tapahtuuko se hyödyntäen henkilökorttia tai passia NFC:n avulla etälukemalla. Lisäksi kysyttiin, mistä kasvokuva lompakkosovellukseen tulee. 

Käyttöönoton toteutuksen osalta ei varmuutta vielä ole. Käyttöönoton täytyy täyttää korkeimman varmuustason vaatimukset. Toivottavasti pystymme mahdollistamaan sen, että suomalaiset voisivat saada lompakon etänä käyttöön. Kasvokuvaan liittyviä linjauksia ei ole vielä tehty. Kansallisen ja EU-säätelyn kautta tähän saadaan vastauksia. Vastaus kokonaisuudessaan tallenteelta 10.11.23.

Tekniset

Missä mittaluokassa mobiililaitteiden "secure element" tallennustila liikkuu? Paljonko tilaa vie piloteissa esiintyvät todisteet? Eli onko fyysisten rajoitteiden puitteissa ylipäätään realistista ajatella lompakossa kaiken ao. datan tallettamista turvattuun muistiin?

Mobiililaitteen secure elementin vastuulla on ensisijaisesti kryptografisten avainten hallinta, ei varsinainen kredentiaalidata. Huomioitavaa, että ARF:n osalta eri lompakon toteutuksen arkkitehtuurimallien tekniset suunnitelmat ovat kesken.

ARF:issa puhuttiin siitä, että Person Identification Datan (PID) tarjoajan pitäisi olla mahdollisesti LoA tasoa high. Tuleeko tästä ongelmia Suomen tunnistusvälineiden suhteen?

Lompakko tulee olemaan tasoa high, joten tämän osalta ei tule ongelmia.

Miten DVV:n esimerkkisovellus asemoituu ARF-referenssi-implementaatioon nähden? Eikö ARF:in puitteissa olekin mukana open source -referenssitoteutuksen tuottaminen?

Nykyisessä esimerkkisovelluksesta ei ole mitään osia komission referenssitoteutuksesta kun sitä ei vielä julkaistu. ARF- referenssitoteutukawn julkaisun jälkeen sitä hyödynnetään DVV:n toteutuksessakin soveltuvin osin.

Mihin DC4EU:ssa tarvitaan  EBSI-lohkoketjua, eikö lompakko jo itsessään sisällä attribuuttien oikeellisuuden varmistamisen "mekanismit" vrt. muut käyttötapaukset?

Tämä on enemmän luottamusmalliin liittyvä kokeilu, ja ekosysteemissä on muitakin tapoja. DC4EU:ssa on kuitenkin nähty tärkeänä pilotoida lohkoketjua, koska opetussektori on sen käytössä pidemmällä. Lompakko tarvitsee tuekseen luottamusrekisterin, ja DC4EU:ssä rekisterin tarjoaa EBSI.

Onko EUDI Walletissa mDL (ajokortti) ISO 18013 -pohjainen vai EU:n oma OpenID-ratkaisu? 

EU-lompakon pitäisi tukea molempia, siis ISO 18013-5 ja OpenID (OpenID4VCI ja OpenID4VP).

Kysymyksiä muun kuin PID-attribuuttitodisteen (EAA) tuottamisesta ja lataamiseen testilompakkoon. 

Tukeeko nykyiset lompakkosovellusversiot tätä ylipäätään, eli onko tätä tällä hetkellä mahdollista 3. osapuolena kehittää & testata?

Tukee ja on mahdollista, lisätietoa sivulta  https://wiki.dvv.fi/display/EDI/EUDIW+Demo+-+Credential+Issuance. Toiminnallisuutta ollaan koko ajan kehittämässä eteenpäin, mutta nykyisellään lompakko tukee ainoastaan mso_mdoc kredentiaaliformaattia ja Pre-Authorized Code Flow’ta.

Mitä vaatimuksia omien attribuuttitodisteiden myönnössä on? Onko vähintään oma testimyöntöpalvelu pystytettävä?

Käytännössä kyllä. Tähän löytyy esimerkkitoteutuksia GitHubista, esim. Italian tai Euroopan komission julkaisemana:

• https://github.com/italia/eudi-wallet-it-openid-credential-issuer
• https://github.com/eu-digital-identity-wallet/eudi-srv-pid-issuer

Onko sille oltava DVV:n (testi)palvelinvarmenne, allekirjoitusvarmenne, tms. vai voiko se olla kenen tahansa tahon myöntämä?

Lompakko ei tällä hetkellä tee luottamuspäätöksiä myöntävän tahon varmenteen pohjalta, vaan se on loppujen lopuksi luottavan osapuolen päätäntävallassa, luottaako se myöntävään osapuoleen. Lompakko on toistaiseksi tässä yhtälössä vain se tietoa välittävä osapuoli.

Onko attribuuttitodisteen myöntäjän/allekirjoittajan rekisteröidyttävä tavalla tai toisella jonkin uniikin tunnisteen saamiseksi (myös testi-/kehitysvaiheessa)?

Ei tarvitse, ainakaan vielä tässä vaiheessa. Luottamusmallin tarkentuessa tämäkin tulee tarkentumaan.

Voiko omassa kehityksessä nojautua DVV:n testiauktorisointipalveluun (onko sekään itseasiassa tuettu) vai pitääkö myös se ja mahdollisesti muitakin palveluja rakentaa itse?

Ei. Pre-Authorized Code Flow käytännössä olettaa, että käyttäjä on jo tunnistettu, joten sen auktorisoinnin voi myöntöpalveluun rakentaa millä tahansa mekanismilla. Testiversio voi alkuun toimia myös niin, että siinä ei ole minkäänlaista käyttäjän tunnistamista.

Ovatko kaikki testi-issuer palvelut julkisia (näkyvät osoitteessa < https://test.id.cloud.dvv.fi/eaa-provider-ui> ja/tai ”well known”-listoilla) vai voiko niitä kehittää ilman ne ovat julkisesti näkyvissä?

Ei tarvitse olla julkisia, mutta luonnollisesti käyttäjän tulee pystyä lompakkosovelluksellaan ottamaan yhteyttä palvelun rajapintoihin.

Mitä rajoitteita omiin attribuuttitodisteisiin liittyy tällä hetkellä? Attribuuttitodistuksien myöntö onnistuu vain Android-lompakkoon?

Tällä hetkellä kyllä. iOS-versioon tuki on tulossa myöhemmin.

Todistukset ovat myönnettävissä vain testi-PID-identiteetein/henkilötiedoin?

Todistuksissa ei käytännössä ole mitään teknistä sidettä siihen alla olevaan henkilön identiteettiin, mutta mikäli sellainen halutaan myöntöpalvelussa muodostaa, sovellus tarjoaa kasan testi-identiteettejä, joiden henkilötunnusta voidaan käyttää tämän linkityksen muodostamiseen.

Omia attribuuttitodistuksia ei voi käyttää/esittää (testipalveluissa)?

Sähköinen tunnistautuminen (OpenID4VP) ei vielä toistaiseksi tue ulkopuolisia todistuksia. Käyntiasioinnissa (ISO/IEC 18013-5) tuki on olemassa.

Omia attribuuttitodistuksia ei voi verifioida (lompakon toimesta)?

Lompakko pyrkii varmistamaan todistusten sisäisen integriteetin, mutta ei tällä hetkellä osaa arvioida onko tiedot luotettuja vai ei, koska mitään “luotettujen myöntäjien listaa” ei ole olemassa.

Omia attribuuttitodistuksia ei voi peruuttaa?

Ei voi vielä. ISO mdoc -muotoisten todisteiden revokointi tullee kehitykseen jahka sen toteutustapa varmistuu myöhemmissä standardiversioissa. SD-JWT -muotoisten todistusten revokointi on todennäköisesti mahdollista siinä vaiheessa, kun lompakko alkaa niitä tukea.

LSP-pilotit (Large Scale Pilots)

Tuleeko referenssilompakko yleisesti saataville vai ainoastaan LSP:iden käyttöön?

Tämän hetkisen tiedon mukaan referenssitoteutuksen pitäisi olla avointa lähdekoodia.

Mitä todisteita hyödyntäviä organisaatioita (Relying Party) osallistuu Suomesta LSP:ihin?

• POTENTIAL-konsortion osalta asiointipalveluja selvitetään DVV:n ja Traficomin kanssa maaliskuun aikana. Traficom voisi periaatteessa toimia itse sekä QEAA providerina että Relying Partyna, jos käyttää lompakon kautta osoitettuja ajo-oikeustietoja omissa asiointipalveluissaan. Lisäksi DVV tulee POTENTIAL:ssa pilotointia viranomaisten sähköisissä asiontipalveluissa Suomi.fi-tunnistuksen kautta.
• DC4EU-konsortion osalta asiointipalveluja kartoitetaan myös yhdessä OPH:n ja DVV:n kanssa. Yksi vaihtoehto on, että OPH voisi toimia itse Relying Partyna ja hyödyntää lompakoiden sisältämiä opiskelijatietoja omissa asiointipalveluissaan. Periaatteessa mukaan voisi tulla myös esim. korkeakouluja.
• EWC-konsortiossa matkustamisen käyttötapauksen hyödyntäjänä on Suomesta Finnair. Oikeushenkilölompakon osalta selvitystä jatketaan yhdessä YD-hankkeen kanssa.

Onko eIDAS-regulaatioon tulossa myös ns. zero knowledge proof ja mitä tämä käytännössä tarkoittaisi? Onko tälle pilottikohteita?

DC4EU-konsortion scopessa ovat ammattipätevyydet, mutta Suomen (OPH) osalta rajaudutaan korkeakoulusektorin tutkintotodistuksiin ja opiskelijatietoihin. Eli LSP-pilotoinneissa ei näitä ainakaan olla vielä kokeilemassa.

Mikä tulee olemaan Veron rooli EWC:n yrityslompakon toimittajana/selvittäjänä?

Enemmän selvittäjän rooli. On tarkoitus pilotoida oikeushenkilöille myönnettävää EUDI-lompakkoa, johon oikeushenkilö voi kerätä itseensä liittyviä todisteita ja osoittaa niitä käyntiasioinnissa. Kysymyksessä olisi pilvipohjainen lompakko. Tarkoitus on pilotoida oikeushenkilön PID:in liikkeelle lasku, oikeushenkilön lompakon liikkeelle lasku ja erikseen sovittavia, yritykseen liittyviä attribuuttitodistusten liikkeelle laskuja ja verifiointia.