Los ingenieros web han estado trabajando durante mucho tiempo para determinar si hay una manera de probar que algo es cierto sin revelar ningún dato que corrobore la afirmación. La tecnología de prueba de conocimiento cero (ZKP) ha permitido el despliegue de algoritmos criptográficos para verificar la veracidad de las afirmaciones sobre la posesión de datos sin desentrañarlos. Estos mecanismos de prueba han dado lugar a mecanismos avanzados que mejoran la privacidad y la seguridad.
El aprovechamiento de blockchain se ocupa de los problemas relacionados con la centralización, mientras que la falta de privacidad en las aplicaciones descentralizadas (DApps) se puede equilibrar con algoritmos criptográficos ZKP.
Este artículo proporciona una introducción a las pruebas de conocimiento cero, la identidad portátil, los problemas en las soluciones de identidad predominantes, las soluciones de identidad portátiles basadas en la tecnología de prueba de conocimiento cero basadas en blockchain, la autenticación sin confianza y el proceso de creación de credenciales de contraseña.
¿Qué es una prueba de conocimiento cero?
Una prueba de conocimiento cero es una técnica criptográfica que establece la autenticidad de una afirmación específica. Permite que un protocolo demuestre a un verificador que una afirmación sobre cierta información confidencial es precisa sin revelar ninguna información crítica. La tecnología facilita aplicaciones a prueba de conocimiento cero interactivas y no interactivas.
Una prueba interactiva necesita múltiples mecanismos de comunicación entre las dos partes. Por otro lado, una prueba de conocimiento cero no interactiva requiere un único intercambio de información entre los participantes (probador y verificador). Mejora la eficiencia de conocimiento cero al reducir la comunicación de ida y vuelta entre el probador y el verificador.
Una prueba de conocimiento cero funciona cuando un probador le muestra a un verificador que tiene un secreto de identificación sin revelar el secreto en sí. Por ejemplo, un probador podría tener un par de claves asimétricas y usar el secreto de identificación como clave privada para responder a la declaración enviada con la clave pública. Esto culmina en una situación en la que el verificador está convencido de que el probador tiene la clave sin que el probador la revele.
Gracias a la tecnología de prueba de conocimiento cero, un usuario podría demostrar que tiene la edad adecuada para acceder a un producto o servicio sin revelar su edad. O alguien podría demostrar que tiene ingresos suficientes para cumplir con los criterios sin tener que compartir información precisa sobre su saldo bancario.
Autenticación de identidad de conocimiento cero
La necesidad de las empresas de administrar cantidades voluminosas de datos de los consumidores al tiempo que garantizan la privacidad de los consumidores y el cumplimiento normativo complejo llevó a una creciente necesidad de soluciones innovadoras de identidad digital. La prueba de conocimiento cero ha ayudado a fructificar el concepto de una identidad digital portátil de manera eficiente.
La portabilidad de la identidad se refiere a la capacidad de los usuarios para generar un conjunto único de credenciales de identificación digital utilizables en múltiples plataformas. Un esquema de gestión de identidad digital incluye identificadores únicos en el dispositivo de un usuario, documentos legales relevantes y datos biométricos, como identificación facial o huellas dactilares.
Comprender cómo se almacena una billetera de identidad descentralizada (DID) en un teléfono inteligente lo ayudará a comprender mejor. Un emisor adjunta una clave pública a las credenciales verificables que ha emitido. Mantenidas de forma segura en la billetera, las credenciales se transmiten a los verificadores. Todo lo que un verificador debe hacer es confirmar que el emisor adecuado firmó criptográficamente una credencial enviada por un usuario.
Problemas en las soluciones de identidad prevalentes
Las violaciones de datos contundentes, el abuso de la privacidad y la autenticación abismal han sido la némesis de las aplicaciones en línea. Esto es drásticamente diferente de la época de la arquitectura web inicial cuando la identidad del usuario no era una prioridad.
Los métodos de autenticación tradicionales ya no son suficientes debido a nuestro entorno de seguridad complejo y en constante cambio. Estos métodos restringen severamente el control de los usuarios sobre sus identidades y la gestión de riesgos, comprometiendo así el acceso a datos esenciales. Por lo general, las empresas utilizan diferentes servicios de identidad para resolver varios problemas relacionados con la identidad.
La derivación de datos de diversas fuentes a través de una serie de tecnologías avanzadas ha hecho que preservar los datos relacionados con la identidad sea una tarea engorrosa. La recopilación de datos multidimensionales mientras se adhiere a un amplio conjunto de regulaciones ha hecho que sea extremadamente complejo para las empresas resolver problemas relacionados con la identidad rápidamente, detectar fraudes y descubrir oportunidades comerciales simultáneamente.
Soluciones de identidad portátiles con tecnología de conocimiento cero
Las soluciones de identidad autónomas portátiles y multicanal permiten a las empresas proteger el acceso y los datos de los clientes mediante una única plataforma. Una experiencia de identidad tan fluida reduce la pérdida de clientes. El inicio de sesión seguro y sin esfuerzo en la estación de trabajo ayuda a proteger el trabajo remoto y reduce los riesgos de fraude asociados con contraseñas débiles.
Una solución basada en blockchain almacena la identidad dentro de un ecosistema descentralizado, lo que permite probar la identidad cuando sea necesario. NuID, por ejemplo, aprovecha un protocolo de prueba de conocimiento cero y tecnologías de registros distribuidos para facilitar la identificación digital de personas y empresas.
El ecosistema de NuID permite a los usuarios poseer y controlar su identidad digital mediante el uso de servicios basados en soluciones fundamentales de autenticación de conocimiento cero. La naturaleza descentralizada de la solución da como resultado una plataforma de identidad inherentemente portátil y propiedad del usuario. Pueden poseer, controlar, administrar y permitir el uso de datos relacionados con la identidad de manera eficiente.
La solución convierte a las empresas comerciales en “consumidores” de estas identidades y sus metadatos asociados, lo que promueve interacciones más centradas en la privacidad. La propiedad dinámica de los datos beneficia tanto al usuario como al proveedor de servicios. Elimina la necesidad de que las empresas aseguren una enorme cantidad de datos de los usuarios, ya que ya no necesitan ocultar ninguna información de identificación confidencial.
Autenticación sin confianza
Al crear una aplicación de software, la autenticación es uno de los pasos principales. En un panorama de seguridad en rápida evolución, donde las necesidades de UX (experiencia del usuario) específicas del contexto se expanden constantemente, las preocupaciones de privacidad del usuario requieren más que la autenticación convencional. Las aplicaciones requieren una plataforma que facilite la adaptación a las demandas cambiantes de identificación digital.
La autenticación sin confianza proporciona una alternativa sólida al modelo de almacenamiento de contraseñas en bases de datos privadas. NuID Auth API (interfaz de programación de aplicaciones), por ejemplo, implementa puntos finales para crear y verificar credenciales de usuario a través de la tecnología ZKP, lo que facilita la generación de pruebas y credenciales en aplicaciones cliente para casos de uso como registro de usuario e inicio de sesión de usuario.
Uno puede esperar que una plataforma avanzada aborde los problemas comunes de autenticación y administración de usuarios. Las características podrían incluir una lista negra de contraseñas para informar de forma segura a los usuarios sobre credenciales débiles y robadas, componentes de interfaz de usuario de autenticación modulares y accesibles, y funcionalidad avanzada de MFA (autenticación de múltiples factores).
El proceso de creación de credenciales de contraseña
El proceso es algo similar al flujo de trabajo existente para crear y verificar contraseñas. Uno toma la información del usuario (nombre, correo electrónico, contraseña), la publica en el punto final de registro e inicia una sesión. Para integrar el proceso de registro, es necesario crear una credencial en el lado del cliente. En lugar de la contraseña, como se hace en las aplicaciones heredadas, la credencial verificada se envía a las aplicaciones basadas en ZPK.
Este es el proceso habitual para el registro de usuarios en una solución de identidad portátil basada en prueba de conocimiento cero:
El proceso no influye en el flujo de registro restante que podría incluir la emisión de una sesión, el envío de notificaciones por correo electrónico y más.
El camino por delante
A medida que la tecnología de prueba de conocimiento cero progrese en los próximos años, se espera que una gran cantidad de datos y credenciales se representen en una cadena de bloques mediante un identificador público que no revele datos de usuario y no se pueda resolver hacia atrás para obtener el secreto original. La adaptación de soluciones de identidad portátiles basadas en protocolos de conocimiento cero ayudará a evitar la exposición de la propiedad de los atributos, eliminando así de manera efectiva las amenazas asociadas.
Respaldadas por la tecnología ZKP, las soluciones de identidad portátiles tienen el potencial de llevar la privacidad y la seguridad de los datos al siguiente nivel en una amplia gama de aplicaciones, desde la alimentación de datos en el Internet de las cosas (IoT) hasta los sistemas de prevención de fraude.
Compra un licencia para este artículo. Desarrollado por SharpShark.
