El principio de minimización y los límites de la identidad soberana

En esta nueva columna para IdentiHack, la primera comunidad de SSI de América Latina convocada por Proyecto DIDI, Patricio López Cerda, blockchain & SSI Dev, socio fundador de Andes Blockchain, profundiza sobre el principio de minimización, clave en la identidad soberana, y los límites y desafíos que este modelo tiene hoy en día para garantizar un uso seguro y privado de los datos personales.

Más que una tecnología en sí misma, la identidad soberana es una serie de principios que nos indican qué características debe tener un sistema de identidad para garantizar el gobierno y la soberanía de nuestros datos.

Uno de estos principios es el de minimización, el cual indica que, cuando una entidad nos solicita revelar algún dato personal, esta solicitud debe acotarse a la mínima cantidad de información necesaria para cumplir el objetivo. El caso más paradigmático es el de la verificación de la mayoría de edad: para saber si soy mayor de edad no es necesario revelar mi fecha de nacimiento, sino sólo saber si tengo más de 18 años. El Reglamento General de la protección de datos de la Unión Europea (GDPR) también ha abogado por este principio. El órgano regulador enfatiza en que el procesamiento de datos debe omitir la recopilación de información innecesaria para cumplir con éxito una tarea determinada.

¿Cómo se puede cumplir el principio de minimización? Una alternativa es el uso de la criptografía, en particular el uso de pruebas de conocimiento cero — un método que permite que una de las partes pruebe a otra que una declaración es cierta sin revelar nada más que la veracidad de esa declaración — y de ZK Snarks (Zero-Knowledge Succinct Non-Interactive Argument) — pruebas de conocimiento cero que no requieren interacción entre el comprobador y el verificador. Esta tecnología permite que una persona pueda entregar una evidencia cifrada de que un dato cumple una determinada característica sin necesidad de entregar el dato mismo. Por ejemplo, demostrar que el saldo en una cuenta corriente es mayor que un cierto número pero sin revelarlo.

La tecnología de los ZK Snarks, muy prometedora, tiene importantes dificultades para su aplicación práctica. Su complejidad matemática, aunque ciertamente menor que varias técnicas de firma electrónica, no deja de ser respetable. Por otro lado, al ser una técnica reciente, todavía las herramientas para su aplicación no están del todo maduras. Estas limitantes, hoy reales, se irán reduciendo rápidamente en la medida que pase el tiempo. Sin embargo, existe una limitante específica al ámbito de la identidad soberana que parece más difícil de superar.

Todo dato que está bajo control de la persona viene firmado digitalmente por el emisor correspondiente: si un banco entrega un certificado de saldo, este viene acompañado por una o varias firmas electrónicas que permiten a un tercero independiente poder verificar la autenticidad de la cadena de firmas y, por ende, del dato. Aún suponiendo que la tecnología de los ZK Snarks avance hasta ser de fácil aplicación, no hay forma que se pueda preservar la privacidad del dato y la integridad de la cadena de firmas de manera simultánea.

Es posible que se desarrollen técnicas criptográficas que solucionen este problema, en especial considerando la gran presión que los ZK Rollups — una tecnología que busca resolver los problemas de escalabilidad de la red Ethereum — y los optimistas Rollups están poniendo sobre el desarrollo de la criptografía. Hoy por hoy, la mejor solución posible sería que el emisor del dato pueda entregar varias evidencias del mismo adaptadas a distinto uso. De esta forma, continuando el ejemplo usado antes, se necesitaría solicitar al banco un certificado de “Saldo mayor que X” y presentar esto a quién lo requiera. Evidentemente, generar estas pruebas de forma relativamente automatizada será un desafío de diseño no menor.

Pero, mucho más que tecnológicas, las soluciones por este lado son de “buenas prácticas”. En múltiples cadenas comerciales (farmacias, supermercados, etc.) existen promociones de lealtad en forma de puntos, beneficios, descuentos o similares. Si lo que se necesita es un identificador para acumular puntos, ¿es realmente necesario usar un dato que permita la identificación personal? Mientras no tenga asociada una gestión de cobranza, es perfectamente posible pensar que una wallet de identidad soberana genere un código específico para ese uso, que implique identificarse. Mucho más que una lucha criptográfica por ofuscar datos, ¿no es mejor partir preguntándonos si realmente es necesario pedir un dato?