Probar un vínculo entre una identidad digital o NFT y lo que representa.
TL;DR:
Probar el vínculo entre una identidad digital o NFT y lo que representa es un paso importante a tener en cuenta cuando se utilizan tecnologías SSI o NFT. Esta entrada del blog explora el reto y las posibles soluciones.
Con los avances en la Identidad Autosoberana (SSI) y el aumento de las NFT, las identidades se están convirtiendo cada vez más en un tema central en la tecnología de ledger distribuido (DLT). Las NFT y las identidades crean representaciones digitales, integradas en una DLT, que representan a una persona, un objeto físico, una empresa o un activo digital. El mayor reto para ambas tecnologías es la vinculación entre las identidades digitales y lo que representa. Esto es lo que llamamos el «problema de la vinculación» y será el tema de este artículo.
El problema de la vinculación es una cuestión clave que debe tener en cuenta cualquier proyecto que utilice SSI, NFT e identidades digitales en general. Es la búsqueda de la prueba de que una identidad digital está vinculada a lo que representa. La forma de conseguirlo difiere según lo que representen las identidades. Por ejemplo, la identidad para las personas ofrece un conjunto de retos tecnológicos y legislativos completamente diferentes en comparación con la identidad para las organizaciones, la identidad para las cosas o los activos (digitales). En este artículo, exploramos los diferentes tipos de identidades y cómo podrían resolver el problema de la vinculación.
Identidad para las personas
El problema de la vinculación de las personas existe en ambas direcciones. La primera dirección es un problema tan antiguo como la propia Internet: ¿Cómo se puede demostrar la propiedad de una identidad o cuenta digital? Como ya comentamos en nuestra entrada del blog Login with IOTA, la mayoría de los sistemas informáticos se basaban en «algo que se sabe» (contraseña) y poco a poco se está pasando a «algo que se tiene» (clave privada, tarjeta, acceso al correo electrónico). Con esta última solución, el control de una identidad puede demostrarse fácilmente mostrando que se posee una de las claves privadas asociadas a la identidad.
El verdadero reto consiste en demostrar que una identidad está vinculada a la persona que se supone que representa. En el caso de las personas, esta cuestión se complica aún más cuando se tienen en cuenta leyes de privacidad como el GDPR. ¿Cuánta información debe revelarse y cuál es el propósito de dicha información que debe revelarse? Cualquier aplicación que vaya a interactuar con la identidad de las personas que utilicen SSI tendrá que preguntarse qué tipo y cuántas pruebas se necesitan para confiar suficientemente en la identidad para prestar un servicio. Esta respuesta difiere enormemente entre, por ejemplo, la compra de algo en una tienda web o la contratación de un seguro médico.
La normativa eIDAS en Europa tiene un excelente ejemplo de ello con su escala de «niveles de garantía»: Las personas pueden identificarse con niveles de seguridad «bajos», «sustanciales» o «altos», y cada nivel aumenta la cantidad de datos que se revelan y, con ello, la confianza en la certeza que hay detrás de la identificación. Algunos servicios requieren un nivel «alto», mientras que otros pueden conformarse con un nivel «bajo», manteniendo su carga de responsabilidad en el almacenamiento de datos de los clientes.
La escala de niveles de garantía del eIDAS es una métrica para determinar cuánta y qué clase de información se requiere para prestar un servicio. Ha sido adoptada por los organismos gubernamentales de la UE y el sector de los servicios financieros, pero no se ajusta perfectamente a todo. Los requisitos dependen completamente de la situación, que puede ir desde apenas información identificativa hasta cantidades importantes de información.
Pero no sólo importa la información en sí, sino también la fuente de la misma. Para identificarme a mí, Jelle Millenaar, como colaborador en el ecosistema IOTA, mi identificación puede basarse en el modelo de «red de confianza», en el que otros múltiples colaboradores de IOTA me reconocen respondiendo de mi identidad como «este es Jelle». Ellos son la fuente de mi identificación, que es menos intrusiva que una identificación gubernamental pero también menos fiable, lo que está perfectamente bien para este propósito.
Si bien la SSI devuelve a las personas el control de sus propios datos, también facilita la exigencia de más información como proveedor de servicios. El equipo de IOTA Identity reconoce esto y se toma su responsabilidad muy en serio. Por lo tanto, añadimos medidas de protección en el marco de IOTA Identity, como las solicitudes de datos «no acreditadas», en las que los usuarios pueden demostrar que un proveedor de servicios ha pedido demasiada información innecesaria para el servicio que presta. La tecnología no puede ser la única solución, ya que es una tarea imposible. En última instancia, los gobiernos tienen que proteger a sus ciudadanos contra las solicitudes de datos intrusivas por ley, como ocurre en Europa con el GDPR. La Fundación IOTA se asegurará de que su tecnología proporcione las herramientas para la minimización de datos a través de Zero-Knowledge Proofs (ZKP) y la divulgación selectiva, y haciendo posible que los usuarios se defiendan contra las solicitudes de datos intrusivos. Aunque una persona pueda identificarse con gran seguridad, eso no significa que tenga o deba hacerlo.
Con la identidad para las personas, el problema de la vinculación puede resolverse. El ecosistema de la SSI necesitará un conjunto saludable de emisores de credenciales de identificación, que vayan de baja a alta seguridad, y las herramientas para minimizar el intercambio de datos. Con un ecosistema sano, una persona puede demostrar el control sobre una identidad y la identidad puede estar directamente vinculada, o ligada, a la persona que identifica.
Identidad para las Organizaciones
El problema de la vinculación para las organizaciones es un poco menos complicado. Al igual que las personas, una organización puede demostrar el control sobre una identidad, ya sea a través de un representante, como un director o un empleado, o a través de una API que, por ejemplo, aloja en sus propios servidores (en la nube). La posibilidad de otorgar a varios miembros de la organización el control sobre una identidad, o incluso de permitir únicamente cambios en la identidad si varias personas están de acuerdo, permite a las organizaciones gestionar eficazmente las identidades. Sin embargo, la dificultad radica de nuevo en la prueba contraria: ¿cómo puede una identidad demostrar que representa a una determinada organización?
Al igual que ocurre con la identidad para las personas, la cantidad de pruebas necesarias y la confianza en los emisores de la información de identificación difiere según la situación. A menudo, las propias organizaciones actúan como emisores de credenciales verificables, lo que las convierte en una fuente de información (potencialmente) fiable en el ecosistema de la SSI. La identificación fiable de estos emisores es importante para aumentar el peso de las credenciales que emiten. Como ejemplo de cómo podrían ser los niveles de garantía para las organizaciones, he aquí una escala arbitraria para mostrar el rango de confianza:
Baja seguridad
La verificación de nombres de dominio es un concepto que vincula una identidad a un nombre de dominio. Esto se hace de forma bidireccional, donde el DID de la organización enumera el dominio de la organización mientras que los registros del Sistema de Nombres de Dominio (DNS) del nombre de dominio enumeran su(s) DID. Aunque esto no proporciona una confianza automatizable, una persona identificaría fácilmente una identidad de «iota.org» como digna de confianza, mientras que «ioba.org» no lo es. Esto es esencialmente una prueba auto-emitida.
Garantía sustancial
Una organización puede ser identificada a través de otras organizaciones, por ejemplo, una organización general como un colectivo o grupo de trabajo. Éstas identifican a la organización y se convierten en la fuente de confianza, o ancla de confianza. El peso de estas identificaciones depende también de su propio nivel de garantía. Esto se convierte en un problema recursivo, por lo que también es necesario que una parte verificadora determine previamente en qué identidades confía como anclas de confianza en el ecosistema, o decida activamente si confía en la identificación basándose en las pruebas aportadas.
Alta garantía
Cualquier organización que haga negocios oficiales necesita estar registrada en su gobierno local. La Cámara de Comercio o su equivalente podría ser la fuente perfecta para una credencial de identificación de alta garantía. El gobierno afirma la vinculación entre la organización y su(s) DID, ya sea a través de credenciales verificables, menciones directas incrustadas en su sitio web o ambas.
Red de confianza de baja seguridad
Es posible que las organizaciones de pequeña escala de los países en desarrollo no puedan contar con ninguna infraestructura de este tipo. Podrían ser una pequeña granja que tiene dificultades para hacer negocios con las empresas occidentales. Al no contar con un registro gubernamental, un nombre de dominio o grupos de trabajo globales, puede ser difícil establecer la confianza. Sin embargo, a menudo estas empresas pueden haber colaborado entre sí a nivel local y quizás hayan trabajado antes con otra organización occidental. Estas colaboraciones podrían añadirse como credenciales de «revisión» y pueden ayudar a crear credibilidad sin ningún requisito de infraestructura difícil, creando esencialmente un modelo de red de confianza para las empresas de pequeña escala.
Identidad para las Cosas
El problema de la vinculación de las cosas tiene probablemente la solución más sencilla. Una cosa puede demostrar el control sobre una identidad al tener el control de las claves privadas de la misma, de forma similar a las personas y las organizaciones. Por tanto, se le puede pedir que se autentique, lo que resuelve inmediatamente la mitad del problema de la vinculación. La otra mitad es de nuevo un reto, pero lo más probable es que tenga una gama de garantías menos complicada. Por ejemplo, un dispositivo podría ser capaz de demostrar qué dispositivo representa la identidad mostrando las credenciales de un fabricante, instalador, calibrador o simplemente basándose en las reseñas.
La misma solución vinculante existe para los oráculos de datos. Pueden demostrar su fiabilidad basándose en credenciales similares del anfitrión, los proveedores de datos y las reseñas de los consumidores de datos.
Identidad para Objetos y NFT
Resolver el problema de la vinculación para los tipos de identidad anteriores es trivial en comparación con los objetos o los NFT. La diferencia radica en la capacidad del sujeto de la identidad para responder a las consultas. Un verificador puede pedir a una persona que se autentique y proporcione pruebas suficientes para vincular el DID con el propio sujeto de la identificación presentando credenciales verificables. Un verificador puede hacer peticiones similares directamente a una organización o a un dispositivo, con un circuito electrónico que tiene la capacidad de IO (Input Output) y hacer operaciones criptográficas.
Una identidad que representa un activo digital (a menudo un NFT) o un activo físico sin un circuito electrónico no puede hacer eso. No puede autenticar ni aportar ninguna prueba. Por ello, los NFT, en su forma actual, no consiguen nada sustancial en lo que respecta a las identidades digitales, ya que ignoran convenientemente este problema, lo que ha dado lugar a simples situaciones de «copiar y pegar con el botón derecho» y a fraudes. Un NFT es simplemente incapaz de demostrar que está vinculado a un activo, ni un activo es capaz de demostrar que está vinculado al NFT. Entonces, ¿cómo puede un NFT u objeto estar vinculado al activo que representa?
Una solución para un activo físico es digitalizarlo. Para ello es necesario introducir un circuito electrónico en el activo físico mediante, por ejemplo, una etiqueta RFID. En esencia, esto permite que un activo no electrónico se convierta en un dispositivo y responda a las consultas. Sin embargo, hay que tener en cuenta las protecciones contra las copias y la eliminación de las etiquetas RFID. La confianza en el sistema que porta la identidad determina la confianza en la identidad.
En el caso de las NFT centradas en las fotos de perfil y otras artes digitales, no es posible una solución similar, ya que la información es demasiado fácil de copiar, lo que destruye el vínculo único entre la identidad y lo que representa. Una posible mejora sería delegar a los proveedores de pruebas y confianza. Un NFT siempre es acuñado por una entidad. Esta entidad puede actuar como proxy de la confianza en el NFT proporcionando pruebas de que es, por ejemplo, el creador del arte. Del mismo modo, una organización podría aportar pruebas de que controla legalmente el derecho sobre el activo y de que los NFT están legalmente vinculados a estos derechos. Con cualquiera de estas opciones, un NFT de un activo digital tendría un valor significativamente más vinculante.
Esto demuestra que la identidad de los objetos y de los NFT sigue siendo un gran reto para el futuro. Aunque ambos son emocionantes y los NFT tienen mucho bombo y platillo, la tecnología carece de una solución técnica o legal para vincular un activo a una identidad. Con el marco de identidad de IOTA, seguimos centrados en proporcionar herramientas para todas las formas de identidad con el fin de aumentar la confianza en la vinculación, pero también educar sobre la importancia de las pruebas y los riesgos.
Esta fue una pieza informativa escrita en el contexto de la Identidad IOTA, un marco de Identidad Autosuficiente basado en la Tangle IOTA. Esperamos que aclare la importancia de ciertas decisiones que deben tomar los desarrolladores de aplicaciones y los usuarios. Si tienes alguna pregunta sobre el marco de identidad de IOTA o estás buscando personas afines interesadas en DIDs, no dudes en visitarnos en el Discord de IOTA en el canal #identity.
https://blog.iota.org/the-binding-problem-for-ssi-and-nfts/
