Verifier Service
Situering
Verwante diensten
Gegevensbronnen
Meer informatie over hoe deze bronnen gebruikt worden in de opbouw van het antwoord vindt u onder Opvraging.
Opmerking:
Agentschap Digitaal Vlaanderen is afhankelijk van de externe bron(nen) voor de kwaliteit en de aanlevering van de gegevens.
Gebruiksvoorwaarden
Om gebruikt te kunnen maken van deze dienst dient men een machtiging te hebben die toegang geeft tot deze gegevens en een aansluitingsprocedure te doorlopen.
Meer informatie over deze voorwaarden is terug te vinden op de pagina “Machtigingen en toelatingen”.
Meer informatie over het aansluitingsproces is terug te vinden op deze webpagina.
Functionaliteiten
Verifiable Credentials volgt een bijna volledig tegenovergestelde strategie, waarbij men vertrekt van een zeer algemeen datamodel en waarin bijna elk soort informatie kan worden gemodelleerd als een attestatie. Het voordeel van deze flexibiliteit is dat één set basisdiensten, als dienstverlening voor Issuer, Verifier en Holder, beschikbaar kunnen worden gesteld en de Issuer zelf invulling kan geven aan het concrete datamodel voor de attestatie van haar gegevens.
Verifiable Credentials
Kenmerken
Algemeen datamodel, raamwerk voor het attesteren van Linked Data.
Serialiseerbaar als JSON(-LD)
Te presenteren als QR code, in CBOR encodering
Verschillende ondertekenmechanismen bestaan
Breed gedragen standaard
EU: EBSI & EDIF
Private sector: Microsoft Entra Verified ID
Buurlanden: IRMA (NL)
Fitness-for-purpose
Open & flexibel datamodel, laat toe om een veelheid aan data uit verschillende domeinen te attesteren
Integreert privacyvriendelijke mechanismen voor intrekking en suspension
Gebruik van Linked Data zorgt voor eenduidige semantiek van inhoud
Flexibel datamodel verhoogt complexiteit voor implementatie en interpretatie
Linked Data vraagt bijzondere aandacht bij omzetting naar QR Code
Rollen
Binnen het Attestatieplatform identificeren we de rollen:
Issuer
De uitgever van de geattesteerde authentieke gegevens, gevormd door de samenwerking tussen een authentieke gegevensbron en een technische backend die de attestatiestandaard implementeert.
bijvoorbeeld: AHOVOKS LED (via Solid Attestation Core Services), AZG (via HealthAttestations), Sciensano (via HealthAttestations)Holder
Applicatie die attestaties ophaalt, opslaat en presenteert aan een eventuele Verifier voor validatie. (~ Wallet)
bijvoorbeeld: Mijn Burgerprofiel Web, CovidSafe BEVerifier
Partij die een attestatie ontvangt en tracht te valideren wat betreft de digitale handtekening, geldigheidsperiode, en eventuele intrekkingen.
bijvoorbeeld: Randstad, CovidScan BETrust Services Provider
Partij die instaat voor het vertrouwensmodel in het ecosysteem, trusted third party die sleutelparen, intrekkingsinformatie en dataschema’s van attestaties beschikbaar stelt aan de andere actoren.
bijvoorbeeld: Solid Attestation Core Services, HealthAttestations, EU DCC Gateway
Het attestatieplatform zal zelf hoofdzakelijk de rol van “Trust Services Provider” invullen, en integratie met andere Trust Services Providers faciliteren. Ten aanzien van de andere rollen zal het attestatieplatform faciliterend werken om de ontsluiting van nieuwe data, het aansluiten van nieuwe Wallet applicaties en de werking van Verifier services te vereenvoudigen.
Onder de koepelterm “Attestatieplatform Vlaanderen”, bieden we 6 business dienstengroepen aan:
Issuer Services
Dienstverlening voor vertrouwde, authentieke gegevensbronnen op basis van één of meerdere attestatie-technologieën die gekozen worden op basis van de vereisten van authentieke gegevensbron en beoogde Verifiers.
Initieel zullen de Issuer Services geïntegreerd zijn binnen de gebruikersinteracties van Holder en Verifier Services, en dus niet rechtstreeks aangesproken worden door de authentieke gegevensbron tenzij voor het doorvoeren van een intrekking of mutatie (event handling).
Op termijn willen we dit aanbod uitbreiden om ook vertrouwde partijen extern attestaties te laten uitgeven, waarbij de private sleutels volledig beheerd worden door de Issuer.
Ook een aanbod cryptography as a service valt binnen de doorontwikkelingen, waarbij enkel de hashwaarde aangeleverd wordt door de uitgever (en niet de ruwe data) zodat ondertekening met respect voor de privacy van het data-subject kan worden gerealiseerd.Verifier Services
Dienstverlening voor Verifiers die een verkregen attestatie, van een door het Attestatieplatform vertrouwde uitgever, willen valideren wat betreft handtekening, geldigheidsperiode en eventuele intrekkingen of suspensions.
In eerste instantie richten we ons op het optimaliseren en ontzorgen van de implementatie van dergelijke verifiers, maar daarbij houden we oog voor een doorontwikkeling waarbij ook Verifiers geregistreerd worden als entiteiten in het systeem, met eigen sleutelparen en een gedefinieerd vertrouwensmodel.Trust Hub Services
Dienstverlening die een invulling geeft aan de rol van het attestatieplatform als Trust Services Provider. De Trust Hub Services stellen een aantal Verifiable Data Registries bloot aan de buitenwereld, die vertrouwde uitgevers, datatypes en intrekkingsinformatie beschikbaar maken voor Holders en Verifiers. Deze Registries kunnen bijgewerkt worden door de betrokken Issuers, bijvoorbeeld wanneer er nieuwe sleutelparen gebruikt worden of bijkomende datatypes beschikbaar zijn.
Voor Holders biedt de Trust Hub de mogelijkheid om eigen identifiers aan te maken of op te halen, zoals de WebID in het Solid ecosysteem (i.s.m ACM/IDM en Mijn Burgerprofiel) of een Decentralized Identifier en deze te koppelen aan publieke sleutels die naderhand gebruikt kunnen worden bij het ontvangen en presenteren van (versleutelde) attestaties.
Op langere termijn kan de Trust Hub ook evolueren naar een keyshare platform voor Holders, waardoor bij het presenteren van een attestatie een bijkomende (online) authenticatiestap dient plaats te vinden alvorens een attestatie kan ontvangen of gepresenteerd worden.Holder Services
Dienstverlening ten behoeve van Wallet applicaties, zoals het registreren van sleutelparen van de Holder, het bevragen van het Attestatieplatform voor beschikbare attesteringen.Developer Experience
Om ook voor ontwikkelaars de ontsluiting van de functionaliteit van het Attestatieplatform te faciliteren willen we adequate developer documentatie aanbieden voor Holders, Issuers, Verifiers en authentieke gegevensbronnen. Bijkomend zien we een groeitraject in developer tooling zoals SDK’s, die het afleveren of valideren van attestaties of de wallet implementatie moeten vereenvoudigen.Management Services
Dienstverlening ten behoeve van management rapportering, operationele monitoring en support tooling voor contactcenter en MAGDA service desk.
De Attestation Service, bestaande uit de Attestation Core Services en de Holder API bieden aan het MAGDA Platform, haar authentieke gegevensbronnen en klanten een rijk aanbod aan diensten rond de Verifiable Credentials technologie. Een Verifiable Credential kan vergeleken worden met een “credential” in de materiële wereld, en bevat typisch:
Informatie gerelateerd aan het onderwerp van de credential, dat onderwerp is vaak een persoon, maar kan evenzeer een gebouw, onderneming of andere entiteit zijn. De uitgedrukte informatie over dat onderwerp noemen we de “claims” van de “credential”, dit kan bijvoorbeeld identiteitsgegevens, juridische of technische informatie omvatten.
Informatie over de uitgevende autoriteit (bijvoorbeeld een nationale overheid, stad of gemeente, of certificerende autoriteit).
Informatie over het type “credential”, bijvoorbeeld een rijbewijs, paspoort, EPC attest, diploma, loonstrook, …
Informatie over de specifieke attributen die de autoriteit vaststelt over het subject (bijvoorbeeld, nationaliteit, voertuigtypes, geboortedatum, …)
Elementen die de authenticiteit van de “credential” bewijzen, bijvoorbeeld beveiligingselementen in een eID, holografische en structuurelementen op een rijbewijs, een stempel op een officieel attest, …
Informatie die beperkingen oplegt aan het gebruik van de “credential” (bijvoorbeeld, een vervaldatum of een gebruikersovereenkomst).
Een Verifiable Credential kan dezelfde informatie bevatten die een fysieke “credential” voorstelt, maar door bijkomende technologieën zoals digitale handtekeningen, wordt het eenvoudiger om vervalsing of misbruik vast te stellen dan in geval van fysieke credentials.
Holders van Verifiable Credentials, zoals de Holder API van de Attestation Service voor het MAGDA platform biedt aan haar klanten, maken verifiable presentations aan en kunnen deze delen met Verifiers om te bewijzen dat ze credentials hebben met bepaalde karakteristieken.
Vraag
UC.1 Als burger kan ik een set van certificaten opvragen vanuit een Holder aangesloten op het Attestatieplatform
We voorzien aan Wallet applicaties de mogelijkheid om zichzelf te registreren als een vertrouwde Holder bij het Attestatieplatform, om vervolgens attestaties op te vragen met gebruik van een end-to-end versleuteld afleveringsproces. Hierdoor kan een uitwisseling van de data van federale bronnen gebeuren zonder dat het Vlaamse attestatieplatform de geattesteerde gegevens kan inkijken.
Waarbij een geautoriseerde entiteit authentieke data als certificaten van een burger kan opvragen
Een lokaal bestuur of andere gemachtigde Verifier wil attestaties van burgers asynchroon ophalen, en in haar rol als Verifier valideren of aan de nodige vereisten is voldaan. Hierbij wil men zich niet louter op de consent van de burger baseren als juridische basis voor de uitwisseling maar ook gebruik maken van een wettelijke machtiging of protocol.
The data of the diploma of a citizen will be stored in his/her Solid pod, structured according to the data standard OSLO Diploma. This application profile is based on the European Learning Model, an ontology that is used for, among others, European Digital Credentials, which is the digital counterpart of Europass.
The application profile can be found here https://data.vlaanderen.be/doc/applicatieprofiel/leercredential.
European Learning Model
Intro
The European/Europass Learning Model has been developed to describe learning opportunities, qualifications, credentials and accreditations. It aims to capture the results of any non-formal, informal and formal learning across Europe. It is designed to provide a single format to describe any claims related to learning. It is an extension of the W3C Verifiable Credentials Data Model, for the purposes of providing a standardized format of describing learning within the European Union and European Economic Area.
Versions
The latest published version of ELM can be found here on Github. This version is serialised as an XML-schema (XSD).
A new version (V3) is underway, however, that will have (1) persistent URI’s for the concepts used and (2) a JSON-LD context. This version is more suitable for our needs. A draft version of V3 was already shared with us, as ELM V3.0 will only be published officially by Q1 of 2023.
In terms of persistent URIs, ELM will have a very stable system of URIs which will be managed via the EU Publications office, that plans these for persistence over decades. The work there is already ongoing and should also be ready by end of summer.
Legislation and relation to ELMO
ELMO is originally based on a CEN standard, but has been adapted significantly since then. The legislative basis of ELM lies in the EQF Recommendation of the Commission, which mandates the EC to create these types of data sharing tools. There are also references to it in multiple EU Recommendations. ELM v3 has been designed to allow 1-to-1 mapping between all ELMO Properties and ELM. This doesn't however work in reverse, since ELM is considerable wider given its larger scope of all levels of education. Additionally, technical discussions are underway between ELMO and ELM teams to provide for ELMO to ELM converters and possible joining of the data models in the future.
Open issues
Issue 1. Personal data contained within the credential.
Issue | The credentialSubject of the LearningCredential is the Person, seemingly indicating that it is mainly the person that is being certified and not so much the (LearningClaim) itself. This seems like a semantical mismatch. Aside from this, quite a number of personal data fields are contained within the ELM model, such as gender, names, citizenship, residence, etc. It’s not this data that needs to be certified by a diploma. The gender on a diploma can for example no longer be valid (see issue 2), making it wrong to certify this data. |
---|---|
Status | Solved |
Resolution | Within our OSLO application profile, limit the amount of personal data contained within the credential. Only the person’s webID (or other unambiguous identifier) is sufficient. 3 phases:
Input ELM team:
|
Issue 2. Time context of credentials.
Issue | Each field on a diploma is a historic fact. However, people change names or genders, universities disappear, streets are renamed etc. This means that it’s possible that certain diploma data is no longer relevant/valid. It’s therefore import to indicate whether the LearningCredential belongs to the Person as (s)he was at time of original issuance or in the present. |
---|---|
Status | Ongoing |
Resolution |
Input ELM team:
|
Issue 3. Semantics of LearningCredential.credentialSubject.
Issue | The interpretation of the field credentialSubject is unclear. |
---|---|
Status | Solved |
Resolution | The (https://github.com/w3c/vc-data-model/issues/480#issuecomment-898503183 ) |
Issue 4. Semantics of a Claim.
Issue | The definition of the concept Claim is confusing. Claim is defined as A claim made by an issuer. This corresponds with the definition of EuropassCredential: A set of claims made by an issuer in Europe [...] However, ELM defines issuer as "the organisation that issued the credential and sealed it with its digital e-seal. This property is inherited from Verifiable Credential. VC’s definition of issuer: A role an entity can perform by asserting claims about one or more subjects, creating a verifiable credential from these claims, and transmitting the verifiable credential to a holder. It seems like it’s not the Person who makes the Claim but rather the issuing Organisation. Which is not the current modelling approach in OSLO Diploma. |
---|---|
Status | Ongoing |
Resolution |
|
Antwoord
Werking
Aandachtspunten
Opties
Volgende configuratieparameters kunnen ingesteld worden in functie van de machtigingen en de wensen van de afnemer:
Configuratieparameters op het MAGDA platform zijn voor deze dienst niet van toepassing
Opvraging
Responsetijden & Beschikbaarheid
Opmerking:
De MAGDA response tijden zijn heel sterk afhankelijk van de response tijden van de bron. Als de brongegevens heel traag worden aangeleverd kan het MAGDA antwoord niet snel worden aangeleverd.
Logging
De opvragingen die gebeuren via deze webservice worden bewaard zoals beschreven op de pagina "MAGDA logging".
Ondersteunde talen
MAGDA ondersteunt de Nederlandse taal.
Indien in de brongegevens de Nederlandse tekst niet beschikbaar is voor een bepaald element zal de eerste vertaling van de tekst in de brongegevens gebruikt worden, onafhankelijk van de taal waarin dit gegeven beschikbaar is.
Op deze pagina
Binnen deze handleiding
Omgevingsinformatie
Domein | Solid |
---|---|
Classificatie | Persoonsgevoelig |
Verwante diensten
Onderliggende pagina’s van dit domein
Voor vragen of opmerkingen kan u de MAGDA helpdesk contacteren
De MAGDA Gebruikersomgeving is een officiële website van de Vlaamse overheid
uitgegeven door Digitaal Vlaanderen