Proyecto TFM: Tecnologías de registro distribuido aplicadas a la identidad digital y auto soberana

¿Cómo podemos comprobar la importancia de la Identidad en una sociedad cada vez más digitalizada? Este interesante TFM profundiza en ello.

Proyecto TFM: Tecnologías de registro distribuido (DLT) aplicadas a la identidad digital y auto soberana (SSI)

El trabajo realizado por Borja Lanza ex-alumno el Máster en Ciberseguridad y Gestión de la Información en Structuralia y tutorizado por Óscar García-Rama abordó las sinergias que pueden aportar las tecnologías de registro distribuido (DLT) cuyo exponen más popular es blockchain, a la gestión y seguridad de las identidades digitales.

Las cadenas de bloques al estar diseñadas para asegurar la trazabilidad y transparencia de las transacciones, al firmarse mediante el uso de métodos criptográficos, imposibilitan que puedan ser manipuladas o falsificadas por actores maliciosos. Esta inmutabilidad unida a ser sistemas distribuidos, evita la censura y puede favorecer la creación de identidades digitales resuelven los problemas de más de mil millones de personas que actualmente carecen de cualquier tipo de identidad.

Cada vez nuestros datos están más expuestos ya que tenemos que gestionar múltiples identidades o cuentas de usuario. Esto no solo ocurre en redes sociales o páginas webs, sino que para realizar trámites ante las administraciones públicas debemos de contar con medios que nos identifiquen y autoricen a realizar dichos trámites de manera segura y confiable.

Retomar el control de nuestros datos para gestionar quien tiene acceso a ellos y con qué fines es otro de los problemas que idealmente Blockchain puede solventar. Contar con una única fuente de verdad confiable hace mucho más sencillo la autenticación y la verificación de una identidad digital, sin comprometer la privacidad del dueño de la identidad, beneficiando a la ciberseguridad mitigando los riesgos de suplantaciones y robos de identidad.

La investigación aborda desde un marco teórico, el estado del arte sobre las aplicaciones de las tecnologías DLT y específicamente Blockchain a la gestión de la identidad digital, haciendo una revisión de las tecnologías involucradas y las soluciones actuales o futuras en un plazo corto de tiempo.

Objetivos del TFM

Para la realización del TFM se plantearon los siguientes objetivos.

Objetivos teóricos:

• • Realizar un estudio del estado del arte actual de la aplicación de las tecnologías blockchain a la identidad digital.

  • Identificar las aplicaciones disruptivas de las tecnologías DLT y sus casos de uso.

  • Definir buenas prácticas en la aplicación de dichas tecnologías principalmente en los campos de identidad, privacidad y ciberseguridad

  • Resumir las conclusiones obtenidas y detectar futuras tendencias en el campo de estudio de este trabajo.

¿Por qué es tan importante el concepto de identidad para nuestra existencia tanto física como digital?

Definición de Identidad

Algunas definiciones de la DRAE para identidad son

1. 1. Conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás.

   2. f. Conciencia que una persona o colectividad tiene de ser ella misma y distinta a las demás.

¿Es la identidad es un derecho ligado al ser humano?

Dentro del consenso mundial que es la Declaración Universal de Derechos Humanos (DUDH) de 1948, el término identidad no aparece ninguna vez nombrado en toda la extensión del texto.

Podemos asegurar que si las personas no son correctamente identificadas y cuentan con una identidad única no pueden ejercer los derechos definidos en:

• • Artículo 6: Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurídica.

  • Artículo 15.1: Toda persona tiene derecho a una nacionalidad.

  • Artículo 17: Toda persona tiene derecho a la propiedad, individual y colectivamente. 

  • Otros derechos como el matrimonio (Artículo 16), participar en el gobierno de su país (Artículo 21), derecho a seguridad social (Artículo 22), 

Todos estos artículos están relacionados con la identificación de una persona y su acceso a dichos derechos y mantenimiento de un registro que le asegure la defensa de dichos derechos. Por tanto, el derecho de una identidad de una persona es fundamental para el ejercicio de dichos derechos básicos

Imagen 1: Ejemplos de datos relacionados con identidad en 3 contextos diferentes.

Identidad Autosoberana

Actualmente no existe un consenso pleno de la definición de identidad auto-soberana.

La identidad auto-soberana es el siguiente peldaño más allá de la identidad centrada en el usuario, y esto significa que debe comenzar en el mismo lugar: el usuario tiene que ser el centro de la administración de la identidad. Esto requiere no sólo la interoperabilidad de la identidad de un usuario a través de múltiples localizaciones, con el consentimiento del usuario, sino también un verdadero control del usuario de esa identidad digital, creando una verdadera independencia del usuario.

Para lograrlo, una identidad autosuficiente debe ser transportable; no puede limitarse a un único sitio o ubicación.

Uno de los pioneros de la identidad Christopher Allen en el año 2016, estableció 10 principios para la identidad auto-soberana que se han convertido en una referencia en la materia. 

Dichos principios son:

1. 1. Acceso: los usuarios deben tener acceso a sus propios datos.

   2. Consentimiento: los usuarios deben aceptar previamente el uso de su identidad por terceros.

   3. Control: los usuarios deben poder controlar sus identidades.

   4. Existencia: los usuarios deben tener una existencia independiente.

   5. Interoperabilidad: las identidades deben poder utilizarse ampliamente.

   6. Minimización: la divulgación de reclamaciones debe reducirse.

   7. Persistencia: las identidades deben ser duraderas.

   8. Protección: los derechos de los usuarios deben ser protegidos.

   9. Portabilidad: la información y los servicios sobre identidad deben ser portables.

   10. Transparencia: los sistemas y algoritmos deben ser transparentes.

Se considera que la identidad auto-soberana es un modelo de identidad digital siempre que cumpla con los siguientes 16 principios. 

1. 1. Las personas pueden generar sus propios identificadores únicos (control, existencia).

   2. Las personas tienen el control de sus autenticadores (acceso, control, existencia).

   3. Las personas tienen el control de sus credenciales y certificados digitales (acceso, control, existencia).

   4. Las personas pueden recuperar las credenciales y certificados en caso de pérdida o robo de sus autenticadores (acceso, control, existencia, persistencia y protección).

   5. Las personas administran y controlan los datos asociados con su identidad digital (acceso, control).

   6. Las personas pueden hacer divulgaciones selectivas de datos (consentimiento, control, minimización, protección).

   7. La información de identificación personal (IIP) de los individuos se minimiza (minimización, protección).

   8. Las pruebas criptográficas de la propiedad de los identificadores se pueden encontrar en...

   9. una red pública descentralizada (interoperabilidad, persistencia, transparencia).

   10. Las pruebas criptográficas de la propiedad y la validez de las credenciales se pueden encontrar en...

   11. una red pública descentralizada (interoperabilidad, persistencia, transparencia).

   12. El derecho al olvido está garantizado (protección).

   13. Las unidades de gestión de identidad (billeteras digitales) son portables (portabilidad).

   14. Los proveedores de billeteras digitales no tienen acceso a la información sobre el acceso de los individuos a los servicios o las interacciones con otros (acceso, control, protección).

   15. Las copias de seguridad garantizan los niveles máximos de seguridad y privacidad (persistencia, protección).

   16. Las implementaciones cumplen con las políticas regulatorias (protección).

Soluciones de Identidad Digital en Blockchain

El trabajo también analizó algunas de las diferentes soluciones de identidad basadas en blockchain disponibles en junio de 2021.

Aparte de Sovrin e Hyperledger Indy se destaca el desarrollo español impulsado por Alastria.

AlastriaID es el proyecto de Identidad Digital de la Comisión de Identidad de Alastria. Su propuesta de Identidad Digital en Blockchain pretende proporcionar un marco de infraestructura y desarrollo, para llevar a cabo proyectos de Identidad Digital Soberana, con plena validez legal en la zona euro, siguiendo las siguientes premisas:

• Habilitar un marco para hacer uso de la SSI usando Blockchain, con el Informe Legal SSI eIDAS, también llamado "eIDAS Bridge".

• Seguir las directrices del Informe del Taller de Identidad Electrónica, del Observatorio y Foro EUBlockchain.

• Cumplir con el Reglamento eIDAS, según el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

• Hacer de la Identidad Digital en Blockchain y el GRPD dos herramientas complementarias, siguiendo las recomendaciones descritas en el Observatorio y Foro EUBlockchain y el estudio del Servicio de Investigación del Parlamento Europeo.

Alastria ID es un modelo maduro que sigue los estándares W3C y ha servido de base al European Self Sovereign Identity Framework  (ESSIF) y a los procesos de estandarización de UNE, CEN/CENELEC, ETSI, ITU e ISO, considerado un estándar de facto. Es Interoperable con ESSIF, proyecto europeo SSI dentro de EBSI e impulsado por el EBP. Actualmente es el estándar UNE 71307. 

Imagen 2: Alastria ID y los 10 principios clave de SSI.

Pruebas de conocimiento cero (Zero Knowledge Proofs)

Las pruebas de conocimiento cero posibilitan a una parte de una interacción acreditar a otras partes involucradas que una afirmación que realiza es verdadera, sin revelar ninguna información más allá de la validez de la afirmación en sí misma. 

A las partes involucradas se les llama comúnmente demostradores y verificadores, y la afirmación que comparten de manera privada y segura se llama testigo. Su principal objetivo es desvelar el menor número de datos posibles entre las dos partes involucradas. 

Las pruebas de conocimiento cero se utilizar para comprobar que se está en posición de un conocimiento concreto sin revelar ninguna información sobre el conocimiento mismo.

Algunos ejemplos de la aplicación de las ZKP son:

• • Demostrar que una persona es mayor de edad, sin revelar la fecha de nacimiento ni su edad actual.

  • El empadronamiento en una localidad sin mostrar la dirección del domicilio y siendo capaz de usar los servicios del ayuntamiento donde uno reside legalmente. 

  • Demostrar la posesión de una cantidad mínima de dinero para afrontar un pago o una compra, sin mostrar el saldo total o propiedades que sirven de aval. 

  • Demostrar que se tiene unos permisos concretos y licencias que permitan que un vehículo es capaz de circular sin comprometer la privacidad de su propietario.

Las pruebas de conocimiento se utilizan a menudo en la informática para:

• • Probar la propia identidad (por ejemplo, protocolo de autenticación).

  • Probar que uno pertenece a un grupo con privilegios.

  • Demostrar que se ha hecho algo correctamente (realizar un pago).

Para que una prueba ZKP funcione es necesario cumplir determinados parámetros:

• • Exhaustividad: Si la declaración es verdadera, entonces un verificador honesto puede ser convencido de ello por un demostrador honesto.

  • Solidez: Si el demostrador es deshonesto, no pueden convencer al verificador de la solidez de la declaración mintiendo.

  • Conocimiento Cero: Si la declaración es verdadera, el verificador no tendrá idea de cuál es la declaración en realidad.

Conclusiones

La investigación del TFM me permitió comprobar la importancia de la Identidad en una sociedad cada vez más digitalizada y donde las personas, están definidas por diferentes identidades. Estas identidades están en riesgo por diferentes ciber amenazas como pueden ser la usurpación de identidad, el phishing y el robo de credenciales, produciéndose un gran impacto no solo económico cuando se compromete o roban una de nuestras identidades, como puede ser un perfil en una red social.

Por tanto, debemos de ser conscientes de todos los derechos y herramientas que tenemos a nuestra disposición para proteger nuestra información personal que sirve para trazar y analizar nuestros comportamientos con el riesgo de invasión a nuestra privacidad o de vigilancia de nuestros movimientos y pensamientos.

Las tecnologías de registro distribuido (DLT), cuyo máximo exponente es Blockchain, proporcionan la capa tecnológica necesaria para asegurar dicho control de manera segura, resiliente y resistente. Tecnologías que han dado un paso de gigante en estos últimos años, y que están transformando como se intercambia el valor.

Aunque son mayoritariamente conocidas por su aplicación en las criptomonedas su sistema su uso en el campo de la identidad digital es uno de los más revolucionarios, sobre todo en las identidades autosoberanas (SSI). La unión con otras tecnologías como las pruebas de conocimiento zero (ZKP) van a suponer un gran avance en como nos relacionamos en el mundo digital, aportando mayor confianza, seguridad, privacidad y control sobre nuestros datos, a la vez que se asegura la Confidencialidad, Integridad y Disponibilidad de ellos.

En Structuralia agradecemos el enorme desempeño e iniciativa de Borja Lanza y su proyecto TFM. ¿Quieres desarrollar tu futuro profesional igual que Borja? Puedes ingresar a nuestro sitio de Structuralia e investigar la importante cantidad de material formativo en este sector, y adicionalmente la variedad de maestrías especializadas que necesitas para conseguir tus objetivos.