Document toolboxDocument toolbox


DIGITAAL VLAANDEREN

Verifier Service

Owned by Laurens Debackere, created
Last updated: 03 Apr, 2023
9 min read

Situering

Verwante diensten

Gegevensbronnen

Meer informatie over hoe deze bronnen gebruikt worden in de opbouw van het antwoord vindt u onder Opvraging.

Opmerking:

Agentschap Digitaal Vlaanderen is afhankelijk van de externe bron(nen) voor de kwaliteit en de aanlevering van de gegevens. 

Gebruiksvoorwaarden

Om gebruikt te kunnen maken van deze dienst dient men een machtiging te hebben die toegang geeft tot deze gegevens en een aansluitingsprocedure te doorlopen.

Meer informatie over deze voorwaarden is terug te vinden op de pagina “Machtigingen en toelatingen”.

Meer informatie over het aansluitingsproces is terug te vinden op deze webpagina.

Functionaliteiten

 

Verifiable Credentials volgt een bijna volledig tegenovergestelde strategie, waarbij men vertrekt van een zeer algemeen datamodel en waarin bijna elk soort informatie kan worden gemodelleerd als een attestatie. Het voordeel van deze flexibiliteit is dat één set basisdiensten, als dienstverlening voor Issuer, Verifier en Holder, beschikbaar kunnen worden gesteld en de Issuer zelf invulling kan geven aan het concrete datamodel voor de attestatie van haar gegevens.

 

Verifiable Credentials

Kenmerken

  • Algemeen datamodel, raamwerk voor het attesteren van Linked Data.

  • Serialiseerbaar als JSON(-LD)

  • Te presenteren als QR code, in CBOR encodering

  • Verschillende ondertekenmechanismen bestaan

  • Breed gedragen standaard

Fitness-for-purpose

Open & flexibel datamodel, laat toe om een veelheid aan data uit verschillende domeinen te attesteren

Integreert privacyvriendelijke mechanismen voor intrekking en suspension

Gebruik van Linked Data zorgt voor eenduidige semantiek van inhoud

Flexibel datamodel verhoogt complexiteit voor implementatie en interpretatie

Linked Data vraagt bijzondere aandacht bij omzetting naar QR Code

 

Rollen

Binnen het Attestatieplatform identificeren we de rollen:

  • Issuer
    De uitgever van de geattesteerde authentieke gegevens, gevormd door de samenwerking tussen een authentieke gegevensbron en een technische backend die de attestatiestandaard implementeert.
    bijvoorbeeld: AHOVOKS LED (via Solid Attestation Core Services), AZG (via HealthAttestations), Sciensano (via HealthAttestations)

  • Holder
    Applicatie die attestaties ophaalt, opslaat en presenteert aan een eventuele Verifier voor validatie. (~ Wallet)
    bijvoorbeeld: Mijn Burgerprofiel Web, CovidSafe BE

  • Verifier
    Partij die een attestatie ontvangt en tracht te valideren wat betreft de digitale handtekening, geldigheidsperiode, en eventuele intrekkingen.
    bijvoorbeeld: Randstad, CovidScan BE

  • Trust Services Provider
    Partij die instaat voor het vertrouwensmodel in het ecosysteem, trusted third party die sleutelparen, intrekkingsinformatie en dataschema’s van attestaties beschikbaar stelt aan de andere actoren.
    bijvoorbeeld: Solid Attestation Core Services, HealthAttestations, EU DCC Gateway

Het attestatieplatform zal zelf hoofdzakelijk de rol van “Trust Services Provider” invullen, en integratie met andere Trust Services Providers faciliteren. Ten aanzien van de andere rollen zal het attestatieplatform faciliterend werken om de ontsluiting van nieuwe data, het aansluiten van nieuwe Wallet applicaties en de werking van Verifier services te vereenvoudigen.

 

Onder de koepelterm “Attestatieplatform Vlaanderen”, bieden we 6 business dienstengroepen aan:

  • Issuer Services
    Dienstverlening voor vertrouwde, authentieke gegevensbronnen op basis van één of meerdere attestatie-technologieën die gekozen worden op basis van de vereisten van authentieke gegevensbron en beoogde Verifiers.
    Initieel zullen de Issuer Services geïntegreerd zijn binnen de gebruikersinteracties van Holder en Verifier Services, en dus niet rechtstreeks aangesproken worden door de authentieke gegevensbron tenzij voor het doorvoeren van een intrekking of mutatie (event handling).
    Op termijn willen we dit aanbod uitbreiden om ook vertrouwde partijen extern attestaties te laten uitgeven, waarbij de private sleutels volledig beheerd worden door de Issuer.
    Ook een aanbod cryptography as a service valt binnen de doorontwikkelingen, waarbij enkel de hashwaarde aangeleverd wordt door de uitgever (en niet de ruwe data) zodat ondertekening met respect voor de privacy van het data-subject kan worden gerealiseerd.

  • Verifier Services
    Dienstverlening voor Verifiers die een verkregen attestatie, van een door het Attestatieplatform vertrouwde uitgever, willen valideren wat betreft handtekening, geldigheidsperiode en eventuele intrekkingen of suspensions.
    In eerste instantie richten we ons op het optimaliseren en ontzorgen van de implementatie van dergelijke verifiers, maar daarbij houden we oog voor een doorontwikkeling waarbij ook Verifiers geregistreerd worden als entiteiten in het systeem, met eigen sleutelparen en een gedefinieerd vertrouwensmodel.

  • Trust Hub Services
    Dienstverlening die een invulling geeft aan de rol van het attestatieplatform als Trust Services Provider. De Trust Hub Services stellen een aantal Verifiable Data Registries bloot aan de buitenwereld, die vertrouwde uitgevers, datatypes en intrekkingsinformatie beschikbaar maken voor Holders en Verifiers. Deze Registries kunnen bijgewerkt worden door de betrokken Issuers, bijvoorbeeld wanneer er nieuwe sleutelparen gebruikt worden of bijkomende datatypes beschikbaar zijn.
    Voor Holders biedt de Trust Hub de mogelijkheid om eigen identifiers aan te maken of op te halen, zoals de WebID in het Solid ecosysteem (i.s.m ACM/IDM en Mijn Burgerprofiel) of een Decentralized Identifier en deze te koppelen aan publieke sleutels die naderhand gebruikt kunnen worden bij het ontvangen en presenteren van (versleutelde) attestaties.
    Op langere termijn kan de Trust Hub ook evolueren naar een keyshare platform voor Holders, waardoor bij het presenteren van een attestatie een bijkomende (online) authenticatiestap dient plaats te vinden alvorens een attestatie kan ontvangen of gepresenteerd worden.

  • Holder Services
    Dienstverlening ten behoeve van Wallet applicaties, zoals het registreren van sleutelparen van de Holder, het bevragen van het Attestatieplatform voor beschikbare attesteringen.

  • Developer Experience
    Om ook voor ontwikkelaars de ontsluiting van de functionaliteit van het Attestatieplatform te faciliteren willen we adequate developer documentatie aanbieden voor Holders, Issuers, Verifiers en authentieke gegevensbronnen. Bijkomend zien we een groeitraject in developer tooling zoals SDK’s, die het afleveren of valideren van attestaties of de wallet implementatie moeten vereenvoudigen.

  • Management Services
    Dienstverlening ten behoeve van management rapportering, operationele monitoring en support tooling voor contactcenter en MAGDA service desk.

 

De Attestation Service, bestaande uit de Attestation Core Services en de Holder API bieden aan het MAGDA Platform, haar authentieke gegevensbronnen en klanten een rijk aanbod aan diensten rond de Verifiable Credentials technologie. Een Verifiable Credential kan vergeleken worden met een “credential” in de materiële wereld, en bevat typisch:

  • Informatie gerelateerd aan het onderwerp van de credential, dat onderwerp is vaak een persoon, maar kan evenzeer een gebouw, onderneming of andere entiteit zijn. De uitgedrukte informatie over dat onderwerp noemen we de “claims” van de “credential”, dit kan bijvoorbeeld identiteitsgegevens, juridische of technische informatie omvatten.

  • Informatie over de uitgevende autoriteit (bijvoorbeeld een nationale overheid, stad of gemeente, of certificerende autoriteit).

  • Informatie over het type “credential”, bijvoorbeeld een rijbewijs, paspoort, EPC attest, diploma, loonstrook, …

  • Informatie over de specifieke attributen die de autoriteit vaststelt over het subject (bijvoorbeeld, nationaliteit, voertuigtypes, geboortedatum, …)

  • Elementen die de authenticiteit van de “credential” bewijzen, bijvoorbeeld beveiligingselementen in een eID, holografische en structuurelementen op een rijbewijs, een stempel op een officieel attest, …

  • Informatie die beperkingen oplegt aan het gebruik van de “credential” (bijvoorbeeld, een vervaldatum of een gebruikersovereenkomst).

Een Verifiable Credential kan dezelfde informatie bevatten die een fysieke “credential” voorstelt, maar door bijkomende technologieën zoals digitale handtekeningen, wordt het eenvoudiger om vervalsing of misbruik vast te stellen dan in geval van fysieke credentials.

Holders van Verifiable Credentials, zoals de Holder API van de Attestation Service voor het MAGDA platform biedt aan haar klanten, maken verifiable presentations aan en kunnen deze delen met Verifiers om te bewijzen dat ze credentials hebben met bepaalde karakteristieken.

Vraag

UC.1 Als burger kan ik een set van certificaten opvragen vanuit een Holder aangesloten op het Attestatieplatform

We voorzien aan Wallet applicaties de mogelijkheid om zichzelf te registreren als een vertrouwde Holder bij het Attestatieplatform, om vervolgens attestaties op te vragen met gebruik van een end-to-end versleuteld afleveringsproces. Hierdoor kan een uitwisseling van de data van federale bronnen gebeuren zonder dat het Vlaamse attestatieplatform de geattesteerde gegevens kan inkijken.

 

Waarbij een geautoriseerde entiteit authentieke data als certificaten van een burger kan opvragen

Een lokaal bestuur of andere gemachtigde Verifier wil attestaties van burgers asynchroon ophalen, en in haar rol als Verifier valideren of aan de nodige vereisten is voldaan. Hierbij wil men zich niet louter op de consent van de burger baseren als juridische basis voor de uitwisseling maar ook gebruik maken van een wettelijke machtiging of protocol.

 

 

The data of the diploma of a citizen will be stored in his/her Solid pod, structured according to the data standard OSLO Diploma. This application profile is based on the European Learning Model, an ontology that is used for, among others, European Digital Credentials, which is the digital counterpart of Europass.

The application profile can be found here https://data.vlaanderen.be/doc/applicatieprofiel/leercredential.

European Learning Model

Intro

The European/Europass Learning Model has been developed to describe learning opportunities, qualifications, credentials and accreditations. It aims to capture the results of any non-formal, informal and formal learning across Europe. It is designed to provide a single format to describe any claims related to learning. It is an extension of the W3C Verifiable Credentials Data Model, for the purposes of providing a standardized format of describing learning within the European Union and European Economic Area.

Versions

The latest published version of ELM can be found here on Github. This version is serialised as an XML-schema (XSD).

A new version (V3) is underway, however, that will have (1) persistent URI’s for the concepts used and (2) a JSON-LD context. This version is more suitable for our needs. A draft version of V3 was already shared with us, as ELM V3.0 will only be published officially by Q1 of 2023.

In terms of persistent URIs, ELM will have a very stable system of URIs which will be managed via the EU Publications office, that plans these for persistence over decades. The work there is already ongoing and should also be ready by end of summer.

Legislation and relation to ELMO

ELMO is originally based on a CEN standard, but has been adapted significantly since then. The legislative basis of ELM lies in the EQF Recommendation of the Commission, which mandates the EC to create these types of data sharing tools. There are also references to it in multiple EU Recommendations. ELM v3 has been designed to allow 1-to-1 mapping between all ELMO Properties and ELM. This doesn't however work in reverse, since ELM is considerable wider given its larger scope of all levels of education. Additionally, technical discussions are underway between ELMO and ELM teams to provide for ELMO to ELM converters and possible joining of the data models in the future.

Open issues

Issue 1. Personal data contained within the credential.

Issue

The credentialSubject of the LearningCredential is the Person, seemingly indicating that it is mainly the person that is being certified and not so much the (LearningClaim) itself. This seems like a semantical mismatch.

Aside from this, quite a number of personal data fields are contained within the ELM model, such as gender, names, citizenship, residence, etc. It’s not this data that needs to be certified by a diploma. The gender on a diploma can for example no longer be valid (see issue 2), making it wrong to certify this data.

Status

Solved

Resolution

Within our OSLO application profile, limit the amount of personal data contained within the credential. Only the person’s webID (or other unambiguous identifier) is sufficient.

3 phases:

  • Diploma with minimal amount of necessary identification data

  • Give prove of ownership of webID via a third-party identity provider (e.g. itsme)

  • Selective disclosure

Input ELM team:

  • Full name will no longer be mandatory in V3

  • ID is not necessary legal id or registration id

    • Legal id is not necessary

  • Advice: add some basic personal data, to have interoperability with maximum amount of systems

  • They followed VC semantics of claim and credential subject

    • Verifiable presentation is claim by person.

    • Identity claim versus learning claim. I’m also claiming to be that person, so yes it is also the Person being certified next to his/her Learning Claim.

 

Issue 2. Time context of credentials.

Issue

Each field on a diploma is a historic fact. However, people change names or genders, universities disappear, streets are renamed etc. This means that it’s possible that certain diploma data is no longer relevant/valid.

It’s therefore import to indicate whether the LearningCredential belongs to the Person as (s)he was at time of original issuance or in the present.

Status

Ongoing

Resolution

  • The diploma is linked to the government WebID in the issued VC. Citizens can log in with ACM or in the future itsme to prove that they own the webID (and thus the diploma).

  • The LED today already knows with mutations. If your name and/or national registration number changes, your old diploma will be set to invalid and a new diploma will be issued.

  • (A changing NSS is accommodated at the level of the WebID (which is indirectly linked to the identity of the person). This functionality is not yet present in the MVP, but is included on the roadmap.)

  • Those changes do not happen at the content level: a diploma “licentiaat aardrijkskunde” will remain that, and will not become a “master in geografie”.

  • However, there are other type fields and mappings to European classification schemes that are also stored in the VC and that improve machine readability.

Input ELM team:

  • Date fields (validfrom, issued, issuancedate) are to be interpreted as in the VC spec

  • Their view on the issuance

    • Ideal world = separate credentials for identity and educational data

      • DID linked to national identifiers

      • New national id, same DID

      • Verifiable presentation with both

    • Real world = re-issuance of the credential with your new ID

 

Issue 3. Semantics of LearningCredential.credentialSubject.

Issue

The interpretation of the field credentialSubject is unclear.

Status

Solved

Resolution

The credentialSubject is an association of the Verifiable Credential with a subject. The credentialSubject section contains a list of credential subjects. Those credential subjects are then associated with claims about the credential subject.

(https://github.com/w3c/vc-data-model/issues/480#issuecomment-898503183 )

 

Issue 4. Semantics of a Claim.

Issue

The definition of the concept Claim is confusing.

Claim is defined as A claim made by an issuer.

This corresponds with the definition of EuropassCredential: A set of claims made by an issuer in Europe [...]

However, ELM defines issuer as "the organisation that issued the credential and sealed it with its digital e-seal. This property is inherited from Verifiable Credential.

VC’s definition of issuer: A role an entity can perform by asserting claims about one or more subjects, creating a verifiable credential from these claims, and transmitting the verifiable credential to a holder.

It seems like it’s not the Person who makes the Claim but rather the issuing Organisation. Which is not the current modelling approach in OSLO Diploma.

Status

Ongoing

Resolution

 

 

Antwoord

 

Werking

Aandachtspunten

Opties

Volgende configuratieparameters kunnen ingesteld worden in functie van de machtigingen en de wensen van de afnemer:

  • Configuratieparameters op het MAGDA platform zijn voor deze dienst niet van toepassing

Opvraging

Responsetijden & Beschikbaarheid

Opmerking:

De MAGDA response tijden zijn heel sterk afhankelijk van de response tijden van de bron. Als de brongegevens heel traag worden aangeleverd kan het MAGDA antwoord niet snel worden aangeleverd. 

Logging

De opvragingen die gebeuren via deze webservice worden bewaard zoals beschreven op de pagina "MAGDA logging".

Ondersteunde talen

MAGDA ondersteunt de Nederlandse taal.

Indien in de brongegevens de Nederlandse tekst niet beschikbaar is voor een bepaald element zal de eerste vertaling van de tekst in de brongegevens gebruikt worden, onafhankelijk van de taal waarin dit gegeven beschikbaar is.

Op deze pagina

Binnen deze handleiding

Omgevingsinformatie

Domein

Solid

Classificatie

Persoonsgevoelig

Verwante diensten

Onderliggende pagina’s van dit domein



Voor vragen of opmerkingen kan u de MAGDA helpdesk contacteren

De MAGDA Gebruikersomgeving is een officiële website van de Vlaamse overheid

uitgegeven door Digitaal Vlaanderen