Estamos un paso más cerca de la Identidad Digital Europea. Recientemente la Comisión Europea ha hecho público un documento llamado “European Digital Identity Architecture and Reference Framework” [PDF descarga automática ] que ha establecido los requisitos funcionales y de arquitectura del incipiente wallet para la Identidad Digital Europea.
El documento cubre una lista de diferentes funcionalidades cuyo objetivo es ofrecer al ciudadano un wallet digital para su identidad y total control sobre ella. Aunque no se menciona explícitamente la Seguridad de Ingreso Suplementario (SSI) lo es de facto, pero cubre muchas otras cosas. 💳
Para una introducción a SSI es recomendable leer el artículo “Introducción a SSI”, haciendo especial hincapié en la parte de “Early Binding vs Late Binding” dado que el wallet para la Identidad Digital Europea tiene una aproximación Early binding.
Un poco de historia sobre la Identidad Digital Europea 📃
En 2014 apareció la regulación eIDAS que decía:
Preámbulo:
…
Esta regulación busca mejorar la confianza en las transacciones digitales en el Mercado interno, proporcionando las bases para la interacción electrónica segura entre los ciudadanos, negocios y autoridad pública, incrementando la efectividad de los servicios online públicos y privados, negocios y comercios electrónicos en la Unión.
…
Con la vista puesta en asegurar el correcto funcionamiento del Mercado interno a la vez que buscando un nivel adecuado de seguridad en la identificación electrónica y los servicios de confianza, esta regulación:
- Establece las condiciones por las que los estados miembros reconocen los medios de identificación electrónica de las personas físicas y jurídicas que hayan sido reconocidos por otros estados miembro.
- Constituye las reglas para los servicios de confianza, en concreto para transacciones electrónicas y
- Establece un marco legal para las firmas electrónicas, sellos electrónicos, certificaciones de tiempo electrónicas y servicios de certificados para la autenticación de sitios web.
Esta regulación está muy por delante de otras iniciativas y ha recorrido un largo camino hasta que la publicación de “European Digital Identity Architecture and Reference Framework (ver aquí)” aunque aún no es definitiva.
En paralelo a eIDAS está EBSI y sus casos de uso, incluyendo la iniciativa de identidad que es una solución de SSI con foco en la construcción de una solución. La aproximación de EBSI es más práctica que aproximación más legalista de eIDAS por lo que ambas deben encontrar terreno común para la construcción de una mejor Identidad Digital Europea.
El Wallet Europeo
El wallet para la Identidad Digital Europea extiende todas las capacidades de un wallet SSI y establece algunos requisitos extra para los estados Miembro.
Debe haber un wallet aceptado en cada estado a 12 meses de la publicación de la regulación, teniendo en cuenta que lo que se ha publicado no es la regulación sino el marco de especificaciones del wallet, por lo que los 12 meses aún no están contando.
El wallet debe considerarse como un Sistema de Identificación Electrónica de nivel de confianza “alto” lo que significa una identidad completamente válida. También debería ser gratuito para las personas físicas y el usuario debería tener el control total del wallet.
El wallet puede ser creado por un estado miembro o por el sector privado, asegurando siempre los máximos estándares de seguridad y privacidad. Explícitamente se cita que no debe recolectar información de uso salvo la necesaria para proporcionar los servicios del wallet.
Mejoras sobre la SSI básica: diferentes tipos de credenciales y presentación selectiva ✅
El wallet de la nueva Identidad Europea diferencia entre tres tipos de credenciales, a las que en vez de VC llama EEA: Electronic Attestation of Attributes (Declaración de atributos electrónicos), y los diferencia por el origen de los datos:
- PID: Datos de Información Personal. Los proveedores de PID, por ejemplo las mismas organizaciones que a día de hoy emiten documentos de identidad, documentos de identidad electrónica, emisores de wallet de EUDI, etc.
- QEAA: Declaración cualificada de atributos electrónicos: aquellos emitidos por QTSPs (Proveedores de servicios de confianza cualificados).
- EAA: Declaración no cualificada de atributos electrónicos: cualquier EAA que se obtenga de un proveedor que uno es un QTSP.
Junto a estos tres tipos de atributos el wallet Europeo establece la capacidad de presentación selectiva de partes de estos atributos.
Por ejemplo si una credencial contiene el DNI completo con nombre, número, dirección, edad y otros datos un proveedor de servicios que requiera a sus clientes que sean mayores de edad, debería tener acceso únicamente al dato de edad.
Más aún, debería tener acceso únicamente a la certificación de ser mayor de 18 años. En el mejor de los casos esto podría ser una implementación de Zero Knowledge Proof (ZKP: Pruebas de conocimiento cero) que pueden validad afirmaciones (pe Edad>18) sin tener acceso a la información en sí misma.
Nuevas capacidades: Certificados de firma cualificada y servicios web más seguros ✅
Ya que el usuario tiene su identidad digital validada… ¿Qué le impide usarla para servicios más avanzados como firmar documentos? No debería haber problema. Por eso mismo la firma cualificada de documentos se ha incluido en el wallet. Cualquier documento que el usuario firme desde su wallet (o usando un servicio de firma en la nube si su dispositivo no es capaz de firmar) tendrá la misma validez legal que la firma manuscrita junto a la verificación de su identidad. Esto es un gran avance hacía la digitalización de servicios gubernamentales.
Y además están las nuevas funciones para la seguridad web:
- Login con fuentes autoritativas: si un Servicio requiere que un usuario se identifique con alto nivel de confianza (por ejemplo un servicio de banca) el wallet puede certificarlo enlazando con información del registro civil o estableciendo un interfaz con el DNI.
- Autenticación con pseudónimo: opuesto al modelo anterior un usuario puede hacer una autenticación con pseudónimo para un sistema que no requiera controles adicionales. Esto permite no tener que revelar información personal para el registro.
- Autenticación mutual: más allá de SSL y los certificados la autenticación mutua busca la máxima seguridad para el usuario. Cuando se realiza una conexión a una web el usuario puede verificar al servicio al que se está conectando, evitando potenciales problemas de phishing y similares ataques. Esto se hace usando QWACs (Qualified Website Authentication Certificates), hay que tener en cuenta que esto ha generado bastante controversia entre las empresas de los navegadores principales y seguramente habrá muchas discusiones al respecto.
Nuevo control sobre la Identidad Digital ✅
En la imagen tenemos las funciones básicas de SSI (en gris) que se complementan con todas las nuevas capacidades (firma de documentos, interfaces con DNI y otros elementos físicos, integración con entornos de ejecución segura) y mayor seguridad (login, autenticación mutual y comprobación de integridad del wallet).
Esto lleva al usuario a una nueva era de CONTROL de su identidad digital, inicialmente para los ciudadanos de la unión europea pero esperemos que otros países sigan iniciativas similares.
Santander Global T&O es una compañía del Grupo Santander con más de 3.000 empleados y basada en Madrid, trabajamos para convertir al Santander en una plataforma abierta de servicios financieros.
Mira las posiciones que tenemos abiertas aquí para unirte a este equipazo y Be Tech! with Santander
Síguenos en LinkedIn y en Instagram.
Juan Tavira
Universia
Especialista, arquitecto y friki multidisciplinar apasionado de todas las innovaciones. Esto es fácil de decir por uno mismo, pero cuando lo dicen mis compañeros informáticos, mis amigos geeks de los juegos e incluso mi mujer, algo de verdad tendrá ;-). Me gusta construir violines como hobby. En ocasiones veo código.
