Skip to content

fix: pid/attestation deletion made by Holders must not notify to credential issuer #860

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 2 commits into
base: versione-corrente
Choose a base branch
from
Open

fix: pid/attestation deletion made by Holders must not notify to credential issuer #860

wants to merge 2 commits into from

Conversation

peppelinux
Copy link
Member

this PR resolves #562 and further align it-wallet to EUDIW ARF HRLs, in particular PAD_03

| PAD_03 | If the Wallet Unit deletes a PID or attestation on the User's request, the Wallet Unit SHALL NOT notify the respective PID Provider or Attestation Provider. Note: This is a matter of User privacy. |

@peppelinux
Copy link
Member Author

Issue

In LLGG IT-Wallet some revocation bullets include “via Wallet Instance” as a user channel. The technical specification clarifies: wallet-side deletion is local-only and MUST NOT notify Issuers. Revocation must be requested via Issuer channels, not implied by wallet deletion.

1) Section 3.4 – Revoca e sospensione (PID)

Current:

- richiesta esplicita dell'Utente tramite:
  - la propria Istanza IT-Wallet in conformità alle Specifiche Tecniche;
  - le Soluzioni Tecniche rese disponibili dallo stesso Fornitore di Attestati Elettronici di Dati di Identificazione Personale, previa Autenticazione...

Change to:

- richiesta esplicita dell'Utente tramite:
  - le Soluzioni Tecniche rese disponibili dallo stesso Fornitore di Attestati Elettronici di Dati di Identificazione Personale, previa Autenticazione...

Add note (immediately after the bullet list):

Nota: l'eliminazione di un Attestato dall'Istanza IT-Wallet è un'azione locale che non comporta la notifica al Fornitore né la revoca dell'Attestato.

Resolution Proposal

@vcarollo FYI:

making the revocation notification under the control of the User. If the User wants to notifiy the deletion to the VCI this will trigger the revocation, otherwise the revocation will happen with any issuance request of the same credential type, within the previous validity timewindow (otherwise the previous attestation would result as naturally expired)

2) Section 3.4 – Revoca e sospensione (Attributi)

Current:

- su richiesta esplicita dell'Utente per tramite:
  - della propria Istanza IT-Wallet in conformità alle Specifiche Tecniche;
  - delle Soluzioni Tecniche rese disponibili dallo stesso Fornitore di Attestati Elettronici di Attributi, previa Autenticazione...

Change to:

- su richiesta esplicita dell'Utente per tramite:
  - delle Soluzioni Tecniche rese disponibili dallo stesso Fornitore di Attestati Elettronici di Attributi, previa Autenticazione...

Add note (@vcarollo FYI):

Nota: l'eliminazione di un Attestato dall'Istanza IT-Wallet è un'azione locale che comporta la notifica al Fornitore e revoca dell'Attestato solo se espressamente richiesto dall'Utente.

3) Section 3.3 – Ottenimento Attestati Elettronici di Attributi

Current:

- l'ottenimento di un nuovo Attestato Elettronico di Attributi sulla medesima Istanza IT-Wallet DEVE comportare la cancellazione e la revoca del precedente Attestato...

Clarify responsibilities:

- l'ottenimento di un nuovo Attestato Elettronico di Attributi sulla medesima Istanza IT-Wallet DEVE comportare:
  - la cancellazione locale, sull'Istanza IT-Wallet, del precedente Attestato contenente i medesimi attributi; e
  - la relativa richiesta di revoca gestita dal Fornitore competente secondo le Specifiche Tecniche.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@grausof grausof Awaiting requested review from grausof

@fmarino-ipzs fmarino-ipzs Awaiting requested review from fmarino-ipzs

@RosaliaGaleano RosaliaGaleano Awaiting requested review from RosaliaGaleano

@gmessori18 gmessori18 Awaiting requested review from gmessori18

@vcarollo vcarollo Awaiting requested review from vcarollo

@m-basili m-basili Awaiting requested review from m-basili

At least 2 approving reviews are required to merge this pull request.

Assignees

No one assigned

Labels

eudi-regulations gap-analysis national-guidelines

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

Deletion of a PID or Attestation on the User's request through Wallet Instance

1 participant

@peppelinux