Modelo de identidad digital autosoberana basado en credenciales verificables y blockchain

Abstract

En este trabajo se busca alcanzar una solución que mejore la privacidad del usuario modificando la forma de intercambiar sus datos personales con las entidades que los requieren para proveer de ciertos servicios a los usuarios. El objetivo principal es resolver el problema actual de trazabilidad de la actividad de los usuarios, conocido como su huella digital, es decir, donde se registran, en que sitios web se han identificado, cuando etc por parte de terceros que no sean el proveedor de servicios al que el usuario debe consentir si o si sus datos para poder proveerle de servicios. Este tipo de situaciones tienen lugar si se utilizan algunas de las soluciones Single Sign On de alguna de las grandes tecnológicas, como Facebook, Google o Twitter. El Single Sign On consiste en permitir registrarse e iniciar sesión en un servicio con la cuenta de otro, generalmente con la cuenta de una de las grandes tecnológicas citadas anteriormente. Esto hace que las grandes tecnológicas puedan saber qué otros servicios están utilizando sus usuarios. Además, debido a que los proveedores de servicios no siempre piden los datos que exclusivamente necesitan o no especifican de manera clara y precisa los datos a los que van a acceder hace que acrecente el problema, haciendo que el usuario decida aceptar sin saber realmente qué datos va a ceder y con qué propósitos. Para solventar esta problemática se va a modelar una solución de Single Sign On con las mismas ventajas que las proporcionados por las grandes tecnológicas pero que evite la trazabilidad de la actividad de los usuarios por parte de estas compañías y que permitirá también conocer qué datos se están solicitando exactamente. Para ello se presenta un modelo teórico y se incluirá el análisis y diseño de su aplicación en un caso concreto. Una de las partes clave para conseguir este propósito es el uso de la tecnología Blockchain para establecer la confianza y vigencia de los datos intercambiados e incluso para almacenar las evidencias de revocación de la cesión de datos por parte de los propios usuarios. Esta tecnología permite no tener que contactar con la plataforma dueña de los datos del usuario, que sería una de las grandes tecnológicas, para que esta dé fé de la veracidad de los datos, ya que mantiene la inalterabilidad del estado de validez de los mismos que esta deje almacenada en la blockchain.

This work seeks to achieve a solution that improves user privacy by modifying the way users exchange their personal data with entities that require it to provide certain services. The main objective is to address the current problem of traceability of user activity, known as their digital footprint, that is, where, when, and on which websites they have authenticated, as recorded by third parties other than the service provider to whom the user must necessarily consent to share their data in order to receive services. Such situations occur when using some Single Sign On solutions offered by major tech companies like Facebook, Google, or Twitter. Single Sign On allows users to register and log in to a service using an account from another provider, typically of these major tech companies. This enables these companies to know which other services their users are accessing. Furthermore, since service providers do not always request only the data they strictly need or fail to clearly and precisely specify the data they will access, the problem is exacerbated, leading users to accept without truly knowing what data they are sharing or for what purposes. To solve this issue, an alternative Single Sign On solution will be modeled, offering the same advantages as those provided by the major tech companies, but preventing these companies from tracing users’ activities while also allowing users to know exactly what data is being requested. To this end, a theoretical model is presented, including the analysis and design of its application in a specific case. A key part of achieving this goal is the use of Blockchain technology to establish the trust and validity of the exchanged data, and even to store evidence of the revocation of data sharing by the users themselves. This technology makes it unnecessary to contact the platform owning the user’s data (which would typically be one of the major tech companies) to attest to the authenticity of the data, as the blockchain ensures the immutability of the validity state of the data once stored on the blockchain by that same company.