En este artículo hablaremos de los 10 principios acuñados por Christopher Allen, uno de los pioneros en este mundo, en relación con la Self-Sovereign Identity(SSI). Según Allen, la SSI puede declinarse a través de dos claves de interpretación: la primera es la ideológica, que (lectura clave) plantea la importancia de poder controlar la propia identidad en la red sin necesidad de que las contrapartes confíen; la segunda es la tecnológica, o sea, analizar qué tecnologías y estándares tecnológicos pueden permitir este objetivo.
Los 10 principios de la SSI quieren definir cuáles son los valores y objetivos que deben perseguir la idea y la tecnología. Fueron enunciados por primera vez dentro del blog de Allen, que, haciendo una analogía, podemos imaginar como el famoso White Paper de Bitcoin realizado por Satoshi Nakamoto.
Los 10 principios de la SSI
Empecemos por describir lo que significan. Cada principio se declina a través de los estándares tecnológicos utilizados en la SSI: los Decentralized Identifier, las Verifiable Credentials, los DKMS, los DID-Auth y la Blockchain.
- Existencia – El usuario debe tener una existencia independiente. Este principio se basa en el concepto de “yo”, un componente fundamental que pertenece al corazón de la identidad. Es algo intrínsecamente relacionado con la conciencia de sí mismo. Sin embargo, hoy en día, con la creciente complejidad de la sociedad, la identidad se combina en credenciales emitidas por el Estado, como los permisos de conducir y las tarjetas de la seguridad social, lo que sugiere que una persona puede perder su identidad si un Estado revoca sus credenciales. Credenciales que se trasladan del mundo físico al virtual y que, por tanto, dibujan un yo digital. Este principio establece que un usuario debe tener la capacidad de existir en el mundo digital, sin necesidad de un tercero.
- Control – Los usuarios deben controlar sus identidades. Después de una serie de incidentes recientes relacionados con las violaciones de identidad, como el escándalo de Cambridge Analytics, numerosas violaciones de datos de alto perfil al estilo de Equifax, y la materialización de la legislación del GDPR, muchos se han preguntado: “¿Quién es realmente el dueño de tus datos?” La soberanía permite al usuario controlar el uso de su identidad sin alterar negativamente la organización de la sociedad. Recuerde que controlar no es lo mismo que decir que uno puede decidir qué datos se asocian a él. El carnet me lo seguirá proporcionando el DMV, pero la diferencia es que una vez que me lo proporcionan, como el de plástico, puedo controlarlo, guardarlo y gestionarlo como me parezca.
- Acceso – Los usuarios necesitan acceder a sus propios datos. Los usuarios deben poder acceder a sus propios datos y a cualquier reclamación asociada sin la interferencia de gatekeeper o intermediarios. Esto no significa necesariamente que el usuario tenga la autoridad para cambiar todos los aspectos y reclamaciones asociados a su identidad; sin embargo, sí significa que un usuario debe poder acceder a los registros que indican cualquier cambio asociado a su identidad. Para proteger la soberanía de los demás usuarios, un individuo sólo debe tener acceso a su propia identidad y no a las de los demás.
- Transparencia – Los algoritmos y la infraestructura deben ser transparentes. Junto con el principio anterior, la transparencia garantiza que los usuarios puedan controlar cualquier posible mala gestión de las reclamaciones, credenciales o asociaciones relacionadas con su identidad. En el contexto más amplio de la identidad, la transparencia también incorpora la equidad y el apoyo a un sistema de identidad equilibrado. Un sistema de identidad equilibrado, según Allen, dará lugar a una protección más completa del individuo. Los sistemas y algoritmos deben funcionar en un formato inteligible y fácilmente accesible, utilizando un “lenguaje claro y sencillo”.
- Persistencia – Las identidades deben vivir a largo plazo. Este principio defiende que las identidades deben ser duraderas, a discreción del usuario. En medio de los constantes cambios en el almacenamiento de datos y la rotación de claves privadas (si un usuario tiene varias carteras o identificadores dentro de una cadena de bloques), la persistencia permite a los usuarios mantener sus identidades a pesar de tener varias claves privadas. La persistencia no es exclusiva de los individuos; otras instituciones, organizaciones y entidades colectivas deberían estar sujetas a tener sus identidades a discreción de otras entidades. En última instancia, los identificadores de un sistema SSI deben ser propiedad exclusiva de la persona o personas que los han creado.
- Portabilidad – La información y los servicios relacionados con la identidad deben ser fácilmente transportables. Según Allen, la información y los servicios deben ser fácilmente transportables y no pueden estar en manos exclusivas de una tercera entidad centralizada. Aunque una tercera entidad trabaje en beneficio del usuario, el problema del SPOF (single point of failure) sigue existiendo. La portabilidad garantiza que la identidad de uno puede ser transferida y almacenada en múltiples lugares, a discreción del usuario.
- Interoperabilidad: la identidad puede utilizarse de la forma más amplia posible. Todos los principios rectores de Allen sobre la SSI están relacionados de alguna manera. La interoperabilidad se solapa con la persistencia y la portabilidad. Allen afirma que la importancia de la portabilidad en la identidad es que la información y los servicios de identidad deben ser portátiles. Esto se relaciona con la interoperabilidad, en particular debido a la presencia de identidades portátiles, que están más fácilmente disponibles para cruzar las fronteras internacionales.
- Consentimiento – El usuario debe aceptar el uso de su identidad. Los sistemas SSI exigen que el intercambio de datos personales se realice únicamente con el consentimiento del usuario. Cuando se construye una identidad autosuficiente descentralizada, el consentimiento debe tenerse continuamente en cuenta e incorporarse al sistema. Esto asegura que los datos de identidad permanecerán privados (a discreción del usuario).
- Minimización – La divulgación de los datos propios debe minimizarse. Este principio subraya la importancia de proteger los datos personales de los usuarios a la hora de revelar información sobre su identidad. Por ejemplo, si se requiere la edad mínima de un usuario (para acceder a una página), no se le debe exigir que proporcione el día, mes y año exactos de su nacimiento. En su lugar, la divulgación del usuario debe minimizarse proporcionando el requisito mínimo (años de edad). Según Allen, mediante la aplicación de la divulgación selectiva, las pruebas de alcance y otras técnicas de conocimiento cero, los desarrolladores pueden facilitar la minimización para apoyar mejor la privacidad. Fundamentalmente, la minimización activa permite una mayor protección de la privacidad en las interacciones entre usuarios y sistemas.
- Protección – Los derechos de los usuarios deben ser respetados. Christopher Allen afirma que para garantizar la protección de los usuarios, debe haber un algoritmo independiente resistente a la censura que pueda autenticar las identidades de los usuarios. Allen señala que un sistema de identidad autosuficiente tendría que lograr un equilibrio entre la transparencia, la equidad y el apoyo a los usuarios dentro de la red, garantizando al mismo tiempo la protección. Podría ser un arma de doble filo si no se equilibra, por lo que debe gestionarse de forma descentralizada. Una de las normativas sobre derechos digitales más prometedoras sería el Reglamento General de Protección de Datos (RGPD) europeo, que entró en vigor en mayo de 2018. Obliga a las organizaciones a cumplir la normativa sobre datos personales y se les impondría una fuerte multa en caso de incumplimiento.
Conclusión:
Como se puede ver, los principios descritos anteriormente tienen como objeto principal al usuario, sus derechos y la infraestructura en la que se basa este innovador sistema de gestión de la identidad. La SSI se presenta como un nuevo modelo en el que el usuario está literalmente en el centro (por eso se define como centrada en el usuario). Los 10 principios de Allen fueron una de las primeras “formulaciones” de los conceptos que forman parte de este nuevo mundo, que a través de todas nuestras guías tratamos de explicarte cada día.