[17/07/2022] La identidad descentralizada (DID, por sus siglas en inglés) desafía algunas suposiciones básicas sobre cómo funciona la autenticación en línea. En particular, la idea de que se requiere una autoridad de terceros para administrar los datos confidenciales que componen la identidad. DID ofrece la promesa de reducir la dependencia en dicha autoridad y devolver cierto grado de control de los datos al propietario de los datos, con posibles beneficios de privacidad y accesibilidad.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Tradicionalmente, la identidad digital es mantenida por la confianza en determinadas organizaciones que se responsabilizan por la protección de dicha información en sus almacenes de datos. Con el tiempo, este modelo ha revelado estar sujeto a varias deficiencias. Estas deficiencias se pueden resumir de la siguiente manera:
- Las organizaciones están sujetas al hacking;
- Es posible que las organizaciones no siempre manejen la información de acuerdo con los deseos de los usuarios;
- La información del usuario está dispersa entre muchos proveedores, lo que aumenta el riesgo y reduce la conveniencia;
- Los usuarios carecen de control sobre sus propios datos, incluida la capacidad de revocar el acceso a los datos.
Por supuesto, estas deficiencias no son nada nuevo y se han intentado afrontar repetidas veces. En particular, el inicio de sesión único federado (F-SSO, por sus siglas en inglés, o identidad federada) es una técnica que aborda algunos de estos problemas. Cuando un usuario presiona "Iniciar sesión con Google”, por ejemplo, al menos reduce la inconveniencia y el riesgo de mantener sus cuentas en un nivel detallado a lo largo de una multitud de servicios. Al menos pueden esperar que el proveedor de inicio de sesión único (SSO) en el que confían ofrezca un grado constante de protección y privacidad.
Sin embargo, a fin de cuentas, tales enfoques son medidas parciales porque existen dentro del mismo marco conceptual. Con diferentes organizaciones, en lugar de establecer quiénes somos y qué hechos son válidos sobre nosotros, podríamos establecer estas cosas con la única organización que está legítimamente a cargo de la validez de cada punto de datos y luego usar esos hechos para interactuar con los proveedores de servicios.
Para que un esquema de este tipo funcione, necesitaríamos un almacén de datos seguro, y disponible globalmente, al que todos los actores pudieran referirse para establecer hechos acordados. Resulta que tal cosa existe en forma de tecnologías blockchain. La identificación descentralizada depende de las capacidades introducidas por las plataformas web3.
Identidad tradicional versus identidad descentralizada
Compare las figuras 1 y 2, a continuación, para tener una muy clara idea de cómo estos dos modelos contrastan. La Figura 1 es una vista idealizada de cómo funcionan las cosas en el modelo convencional, y la Figura 2 es una vista simplificada similar del proceso DID.
Figura 1. Modelo de Identidad Convencional.
Figura 2. Modelo de Identidad Descentralizado.
La conclusión clave de esta comparación es que la información de la identidad se conserva en la blockchain pública, donde se puede utilizar sin conocimiento. Al igual que la confianza cero, el conocimiento cero como término es una exageración. Realmente significa: conocimientos mínimos.
Cómo funciona la identidad descentralizada
Su identidad puede incluir su ciudadanía; digamos que usted es un ciudadano británico. Ese simple hecho de ser ciudadano británico otorga el acceso a ciertos derechos. Los servicios pueden otorgar ciertas capacidades basadas en esa verdad.
El modelo DID le permite establecer una relación entre su clave privada (su billetera blockchain) y su ciudadanía. La autoridad emisora firma la veracidad de su afirmación y, posteriormente, terceros pueden comprobar su clave pública para corroborar que el titular de la clave privada es, de hecho, un ciudadano británico.
Al establecer su reclamo de identidad de esta manera, puede realizar solicitudes detalladas y anónimas a los servicios. Usted puede obtener cualquier derecho y capacidad que dependa únicamente de la ciudadanía al revelar solo que es ciudadano británico. Ninguna otra información va junto con ese reclamo (como su pasaporte, digamos). Además, en el proceso, el servicio no obtiene más información que su clave pública.
En general, los usuarios pueden proporcionar su clave pública (es decir, la dirección de su billetera) y los proveedores de servicios pueden luego validar las reclamaciones con la autoridad emisora. También es posible que el sistema confirme el deseo del usuario de acceder a su dirección para un reclamo determinado por parte de una entidad determinada, así como luego revocar ese acceso. Todo esto pasa por la red global de blockchain, dejando el control de los datos en manos del usuario a través de sus claves privadas.
Este es el sentido en el que DID también se conoce como identidad individual soberana (SSI, por sus siglas en inglés).
Posibles desventajas de la identidad descentralizada
Curiosamente, la identificación descentralizada no elimina la autoridad centralizada. De alguna manera, pone más énfasis en ella. En cierto sentido, la autoridad de identidad está más integrada en la operación de verificación de identidad en la web. En otro sentido, a pesar de su naturaleza distribuida e inviolable, la red o redes blockchain existentes en este modelo son, en sí mismas, una especie de almacén central de datos. Se imagina que las computadoras que ejecutan esta red se distribuyen de manera heterogénea, haciendo que estas se encuentren fuera del control de una sola entidad. Aun así, desde el punto de vista arquitectónico, ese almacén de datos se convierte en un depósito central de identidad.
Además, una blockchain de identidad es un animal curioso, ya que parece carecer de un mecanismo claro para motivar a los operadores de nodos (a diferencia de una red de criptomonedas, por ejemplo). Este pensamiento lleva a preguntas reales sobre cuán vulnerable podría ser una blockchain de identidad frente a los ataques bizantinos (como un ataque del 51%). Con especial consideración respecto a la sensibilidad de los datos, así como al tipo de actores de un estado nación que podrían interesarse en comprometer tales redes, implementarlas de manera segura no es trivial en lo más mínimo.
Lo más probable es algún tipo de modelo híbrido, en el que la premisa básica de la blockchain de un registro distribuido se une con un proveedor confiable de identidad distribuida. Tal vez en el futuro, los gobiernos participen en esto, pero por ahora las grandes empresas de tecnología ya está llenando ese espacio -como lo demuestra Microsoft, IBM, Okta, así como esfuerzos en la estandarización del W3C.
Aún más fundamental, más allá de las cuestiones de implementación, la idea de asignarle una identificación a cada individuo, y luego usarla para proporcionar una comprensión universal de quién puede hacer qué, podría calificar como una fantasía totalitaria. Potencialmente, en las manos equivocadas, algo como esto permitiría el escenario de una pesadilla distópica.
Por supuesto, tales preocupaciones son remotas hoy. Las interrogantes, grandes y pequeñas respecto a la implementación, son abundantes. Lo más probable es que veamos una gama de diferentes redes de blockchain patrocinadas y dedicadas a diferentes industrias e intereses. Una red de seguros de automóviles, por ejemplo, en la que las aseguradoras de automóviles participan para proporcionar un comprobante de seguro a través de DID.
La interoperabilidad entre cadenas ofrece la promesa de negociar entre diferentes blockchains, pero esto nuevamente se trata de un problema técnico de peso.
Los partidarios de DID apuntan a una posible democratización de la identidad, con una mejora concomitante en el acceso a los servicios para las comunidades desatendidas. Una buena presentación de ese argumento se encuentra aquí.
Desde otro punto de vista, la filosofía de la libertad de expresión, infundida en la ética del software de fuente abierta, puede tener una poderosa influencia en DID. Esta es un área interesante de interacción entre las altas matemáticas, la alta tecnología y los intelectuales. Un principio que se ve a menudo en los movimientos descentralizados es la idea del código como ley. Eso simplemente significa que los detalles de una transacción se hacen lógicamente explícitos y están disponibles para los participantes tal como están incorporados en el código fuente.
Dicho ideal espera que el código como ley elimine las travesuras escondidas de los malos actores en el gobierno y en otros lugares. Pero el código como ley ya ha visto fallas prominentes. Por ejemplo, cuando la red Ethereum revirtió la blockchain para devolver el hackeo de 50 millones de dólares.
El estado de DID
Ya hoy DID está en uso activo con la moneda digital. Uno puede probar y hacer uso de tokens basados en claves privadas de billetera. Los servicios como el inicio de sesión con Ethereum (SIWE, por sus siglas en inglés) permiten aprovechar las mismas billeteras para autenticarse con aplicaciones web, que usamos hoy en día, como un reemplazo directo para las credenciales estándar como el correo electrónico o el teléfono.
Otra realidad de DID hoy: la pérdida de claves privadas tiene graves consecuencias. La porción de clave pública del modelo DID es notablemente resistente a la manipulación --básicamente se puede compartir libremente con quien sea, estableciendo sus afirmaciones sin temor a que se filtre la información. Ese es el punto señalado en este artículo, donde el escritor describe "claves criptográficas a prueba de phishing”. En cierto sentido, eso es verdad, pero si dirigimos nuestra atención a las claves privadas, algo completamente diferente es evidente: cuando se pierden las claves privadas de una billetera (un objetivo tentador para los phishers), la pérdida es grave.
Lo que sea que esté protegido por esa clave privada es inminentemente vulnerable. Se pueden idear mecanismos para mitigar esto, sin duda, pero luego comenzamos a reducir parte de la conveniencia y el poder que esperábamos lograr con DID inicialmente.
Al igual que gran parte de la promesa de la web3, la realidad de la identificación descentralizada todavía se está aclarando, y lo que se ve es una colaboración entre la tecnología antigua con la nueva, una integración de fortalezas y una mitigación de debilidades entre diferentes enfoques. Como mencionó Brendan Eich de manera pintoresca, la web3 se parece mucho a los primeros días de la web, llenos de promesas y peligros, como "lo son los pueblos fronterizos, antes de pavimentar las calles y poner los postes de luz”.
DID ciertamente desempeñará un papel en la identidad digital en el futuro. No es algo que pueda ser ignorado con seguridad. Tampoco va a reemplazar lo que es familiar de la noche a la mañana y con simplicidad. Es un buen momento para empezar a ver las posibilidades inherentes a DID.
Basado en el artículo de Matthew Tyson (CSO) y editado por CIO Perú
Matthew Tyson es fundador de Dark Horse Group, Inc. Cree en la tecnología que da prioridad a las personas. Cuando no está tocando la guitarra, Matt explora el campo y las tierras filosóficas del interior. Escribe para JavaWorld desde el 2007.