Obtener una identidad centrada en el usuario, no es un objetivo reciente. La identidad federada con «Liberty Alliance«, la descentralizada con «Open ID«, o el proyecto europeo «Stork«,  han sido precursores para llegar a una identidad gestionada por el usuario (con control individual sin requerir una federación). La Identidad digital descentralizada (DID), es un concepto que se fundamenta en el control total que deberían poseer los usuarios  sobre su información personal. Blockchain  hace que implementar este concepto sea fácil.

La primera cuestión que aclaramos en el grupo de trabajo fue la diferencia entre  Identificación e identidad. No, no son lo mismo. La identidad es uno de los derechos fundamentales de todo ser humano y constituyen un conjunto de características que nos definen.  Un conjunto de características asociadas con nuestro ser  (biológicas, administrativas, atribuidas…). Esas características son entendidas como atributos de la persona y en cada momento, la identidad está constituida por un subconjunto de estos atributos. Podemos hablar de:

• Atributos intrínsecos a nuestra persona que son inmutables en el tiempo, como son el lugar y fecha de nacimiento, la huella dactilar o el código genético.
• Atributos acumulativos, que vamos adquiriendo a lo largo de nuestra vida como son el estado civil, el número de hijos, nuestro curriculum vitae, el historial académico o el historial médico.
• Atributos que nos asignamos o nos asignan como son el número de la seguridad social, el número de DNI, el domicilio, el número de  teléfono, el número de seguro.

Sin embargo, la identificación es la acción de identificar (RAE). Así, por ejemplo, el articulo 9 de la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección de la Seguridad Ciudadana, define el DNI como un sistema para acreditar la identidad de los ciudadanos.

Volviendo al tema del post, la identidad digital soberana (Self-Sovereign Identity SSI) aspira a hacernos los dueños de toda nuestra información con el fin de tener el acceso a nuestra propia información cuando la necesitemos, decidir a quién dar acceso, a qué atributos y cuanto tiempo puede monetizar dicha información. Se le aplica el término «soberana»  debido a que el usuario controla su identidad sin una autoridad interviniente, aunque  prefiero traducirlo por el término «autogestionada» e incluso «autocontrolada».

La identidad digital soberana es una forma de identidad descentralizada basada en implementaciones de referencia, protocolos y estándares.  Los Identificadores descentralizados (DID), es una especificación de W3C que define un formato de documento común para describir el estado de un identificador descentralizado.

En términos técnicos, un DID, es una URL y  un «documento DID» asociado, que describe cómo se usa ese DID, y cómo el documento DID permite la autenticación del sujeto asociado al DID.  Un DID tienen esta pinta:

did:EBSI:123456789abcdefghi 

y facilita el acceso para obtener el documento DID, a través de Internet .

Asociado a ese DID se pueden emitir afirmaciones, testimonios o evidencias. Lo que se denomina credenciales verificables  (una especificación de W3C que define un formato de documento para codificar atestaciones basadas en DID).

Mediante mecanismos de criptografía se asegura la veracidad de estas credenciales (por ejemplo un título de ingeniero firmado criptográficamente por la Universidad que lo otorga puede ser una credencial verificable). Y siguiendo con esta pauta, se pueden asociar, a un DID, diversos testimonios:  «edad», «ser español», «ser médico colegiado», «tener permiso de conducir», «tener una propiedad» y un largo etc. Cada «testimonio» podrá ser una credencial verificable emitida y autenticada por el emisor autorizado.

Pongamos por ejemplo que la DGT emite una credencial verificable con los datos de mi carnet de conducir firmada por la DGT, y que FNMT emite otra credencial a partir de mi certificado digital firmada por la FNMT, además la DGP emite otra credencial a partir de mi DNI.  Y todas ellas se asocian a mi DID …. esto sería posible.

En un sistema de identidad auto-soberana, el interesado posee sus datos de identidad y aquellas evidencias autenticadas por los emisores que haya solicitado.  Cuando el ciudadano «usa» su identidad y sus atributos no necesita un intermediario para autenticar la identidad, ni las credenciales. En la cadena de blockchain se almacena qué dato proporcionó, cuándo, a quién, para qué y por cuanto tiempo, dando la información mínima necesaria para el uso de un servicio público o privado.

Y este es el caso de uso de  Identidad autogestionada (ESSIF: European Self Sovereign Identity Framework), que promueve la Comisión Europea en el marco del proyecto EBSI. ESSIF se concibe como un caso de uso transversal y se hará una prueba de concepto durante 2020 junto con el caso de uso «Diplomas», que permitirá dar credenciales verificables sobre títulos académicos.

Para probar los casos de uso, la Comisión  ha definido una historia de usuario denominada «El viaje de EVA». Eva es una joven estudiante que ha terminado su grado en Bélgica y va a estudiar un máster de inteligencia artificial a una Universidad española. Finalizado el máster EVA creará una startup en Italia.

La Comisión Europea también tiene previsto la interoperabilidad del ESSIF con el reglamente eiDAS.  El Reglamento eIDAS promueve el reconocimiento mutuo de la identidad electrónica, en el ámbito del sector público de los Estados de la Unión Europea. Probablemente, la interoperabilidad con eSSIF, se base en credenciales verificables firmadas por los nodos eIDAS en una red de confianza entre los nodos. Por supuesto caben otras soluciones y la Comisión avanzará hacia la mejor de ellas para asegurar la interoperabilidad entre los dos sistemas.

Categorías:Administración Electrónica, blockchain

Etiquetas:blockchain, eDNI, identidad soberana