Los pasaportes de inmunidad basados ​​en blockchain no resuelven los problemas CORE de Privacidad , según un informe

Los estándares de identidad digital descentralizados existentes son vulnerables a ser comprometidos y no tienen la Privacidad como su CORE: este es el argumento central planteado por un nuevo artículoPresentado por Harry Halpin, profesor visitante en la universidad de investigación KU Leuven, en la Conferencia de Investigación sobre Estandarización de Seguridad (SSR20) organizada por Mozilla.

Las propuestas de pasaportes de vacunación o inmunidad, que vincularían los movimientos de una persona a su estado de inmunidad contra la COVID-19, han resurgido con noticias prometedoras sobre las vacunas. La Asociación Internacional de Transporte Aéreo (IATA)anunciadoSe encuentra en la fase final de desarrollo una aplicación de pasaporte digital que recibiría y verificaría si alguien ha recibido la vacuna contra la COVID-19. La aplicación supuestamente...utilizar la Tecnología blockchainpara autenticar datos sin almacenarlos de forma centralizada. Mientras tanto, la Organización Mundial de la Salud estáConsiderando posibles "certificados de vacunación electrónica"Para viajar.

"Los sistemas de identidad basados ​​en identificadores únicos globales son, por naturaleza, contrarios a la Privacidad, y su inclusión en una cadena de bloques no modifica esta dicotomía fundamental", afirmó Halpin, autor del artículo "Visión: una crítica de los pasaportes de inmunidad y los identificadores descentralizados del W3C" y director ejecutivo de NYM, una startup de Privacidad que desarrolla una red mixta.

De hecho, colocar estos datos en una cadena de bloques tiende a agravar los problemas de Privacidad , y no está claro que ignorar las pruebas de conocimiento cero realmente cambie la situación.

Pasaportes de vacunas o de inmunidad

La idea de los pasaportes de inmunidad lleva meses en el aire. La idea es que, si alguien contrajo COVID-19, sería inmune durante un tiempo y su estado podría verificarse digitalmente. Las preocupaciones con estas propuestas son numerosas, incluyendo cómo se almacena esta información tan sensible, cómo se verifica y cómo limita o afecta los derechos de las personas.

De hecho, países como Chile y El Salvador han adoptado medidas similares. Los pases de Chile, por ejemplo, eximen de...cuarentenaaquellos que se han recuperado de COVID-19 o dieron positivo en la prueba de presencia de anticuerpos, permitiéndoles regresar al trabajo, segúnEl Washington PostLos residentes en Chile podrían solicitar estos pasaportes si no han presentado síntomas de la enfermedad y están dispuestos a realizarse la prueba.

La Alianza ID2020, una asociación público-privada con socios como Microsoft, Accenture y Hyperledger, ya hacomenzado a certificar Algunas propuestas de ID como una "buena ID" para ofrecer a los gobiernos. Una certificación significa que la Tecnología cumple con 41 requisitos técnicospropuesto por ID2020.

Sigue leyendo: Pases de inmunidad explicados: ¿debemos preocuparnos por la Privacidad?

El Iniciativa de Credenciales COVID-19 (CCI) Es otro grupo compuesto por más de 300 personas de 100 organizaciones que buscan implementar o ayudar a implementar proyectos de credenciales verificables que preserven la privacidad para mitigar la propagación de la COVID-19 y fortalecer nuestras sociedades y economías. El proyecto LOOKS casos en los que las Credenciales Verificables (CV), el equivalente digital a una licencia de conducir, puedan utilizarse para abordar la crisis de salud pública. En esencia, las CV muestran la cantidad mínima de información que una entidad podría necesitar para, por ejemplo, acceder a un espacio de trabajo durante una pandemia, a la vez que limitan qué otros tipos de información se comparten.

Las vacunas presentan tanto una nueva oportunidad como nuevas preguntas sobre la Privacidad y la sensibilidad de los datos en lo que respecta a cualquier tipo de pasaporte. Sin embargo, como señala Halpin en el artículo, «los programas de pasaportes de inmunidad más destacados han implicado un conjunto de estándares poco conocidos, como los identificadores descentralizados (DID) y las credenciales verificables (VC) del Consorcio World Wide Web (W3C)».

Halpin sostiene que las credenciales de inmunidad “son posiblemente peligrosas, ya que quienes las poseen podrían convertirse en una ‘élite de inmunidad’ con una mayor estratificación social de quienes no tienen certificados, violando así las leyes existentes sobre discriminación en muchos países”.

Por ejemplo, no es difícil imaginar que las poblaciones ricas sean las primeras en acceder a las vacunas recientemente aprobadas, recibir pasaportes o certificados de inmunidad y, por lo tanto, tener acceso a los viajes, el trabajo y otros beneficios que ello implicaría.

Identificadores descentralizados, credenciales verificables y W3C

El Consorcio World Wide Web (W3C), un organismo de normalización basado en la membresía, ha establecido los estándares para DID y VC, en los que se basan muchas de estas propuestas de protección de la privacidad. El organismo también es conocido por estándares como las primeras versiones de HTML. Halpin sostiene que estos estándares son erróneos al afirmar que preservan la Privacidad.

Generalmente, una identidad digital se considera un identificador único vinculado a un conjunto de variables, como el nombre, la ciudadanía o, en este caso, el estado de inmunidad de una persona. Un objetivo de muchas empresas del sector blockchain es la creación de una "identidad autosuficiente", que permite a las personas controlar cómo otros pueden acceder a sus identificadores, sin renunciar a su identidad ni a su información personal, en lugar de depender de un gobierno o una empresa centralizados.

Sigue leyendo: De Australia a Noruega: el rastreo de contactos tiene dificultades para cumplir las expectativas

Piénsalo un BIT como un BitcoinDirección de billetera, que permite a un usuario pagarte sin necesidad de conocer tu nombre, por ejemplo. Compare esta transacción con enviar dinero a la cuenta bancaria de alguien: el banco necesita saber quién eres y a quién le envías el dinero.

Un aspecto CORE para resolver este problema fue la necesidad de una base de datos central para resolver o verificar estos identificadores únicos. La Tecnología blockchain aparentemente resolvió esta necesidad al permitir el almacenamiento de información de forma descentralizada, lo que impulsó un resurgimiento del interés, junto con el W3C, para FORTH estándares para esta idea.

VC y DID: En gran medida, se trata de integración de datos

La CORE crítica de Halpin a las VC es que están diseñadas para la integración de datos, no para la Privacidad. Los estándares pueden basarse en la Web Semántica (una extensión de internet basada en los estándares establecidos por el W3C), con el objetivo de que las máquinas puedan leer los datos.

Los detalles del argumento son bastante técnicos, pero abordan un par de puntos clave. ONE es que las VC del W3C son básicamente documentos digitales firmados. Utilizan la serialización, o el proceso mediante el cual el código y los datos se convierten a un formato que permite su transmisión, cuyo único uso es la fusión de datos. La fusión de datos es el proceso de integrar datos de múltiples fuentes.

En otras palabras, a nivel técnico, el modelo de datos estándar no se basa en la Privacidad como CORE. Es un complemento opcional.

“La Web Semántica es útil para la fusión de datos entre bases de datos, lo cual resulta útil para los datos públicos abiertos”, afirmó Halpin. “Al combinar la Web Semántica con datos personales e identificadores únicos globales como los DID, es concebible que se pueda utilizar en casos prácticos como el rastreo de inmigrantes por parte del Departamento de Seguridad Nacional de EE. UU. Sinceramente, no veo ninguna razón por la que los resultados de las pruebas de coronavirus se vinculen a un DID, y la única solución plausible es la peligrosa fusión de datos con otros datos sensibles por parte de los gobiernos”.

Sigue leyendo: El "Pasaporte de Inmunidad" ante la COVID-19 une a 60 empresas en un proyecto de ID autosuficiente

El DHS tienese adjudicó un contrato a Bazar digitalTrabajar en los estándares de identidad digital del W3C.

Halpin escribe que este modelo basado en la integración de datos puede explotarse mediante ataques de exclusión y reemplazo de firmas. En estos ataques, un atacante elimina la firma de un mensaje o documento digital firmado y la reemplaza con otra firma, engañando así al verificador para que acepte el mensaje inválido como válido.

Esto significa que los VC podrían ser engañados para que demuestren que han sido verificados cuando no lo están. En el caso de un pasaporte o certificado de inmunidad, esto significa que alguien podría verificar la veracidad de dicho documento cuando podría ser incorrecto o incluso completamente falso.

Creciente disidencia

Elizabeth Renieris es abogada de Privacidad de datos y miembro de Tecnología y Derechos Human en el Centro Carr para la Regulación de Derechos Human de la Escuela Kennedy de Harvard en Cambridge, Massachusetts. Anteriormente fue coautor de un artículoen torno a las preocupaciones éticas, sociales y técnicas en torno a los pasaportes de inmunidad contra la COVID-19 yresignadodel consejo asesor técnico de ID2020 debido a preocupaciones sobre la dirección de la organización.

Según Renieris, el mayor problema con las especificaciones DID es que son solo un formato de datos, algo que la comunidad y las empresas con fines de lucro que promueven esta narrativa entienden poco.

“No incorpora ningún protocolo de seguridad ni control de acceso, y no hay forma de demostrar que el titular de una credencial sea siquiera el sujeto de dicha credencial”, declaró en un correo electrónico. “Esto abre la puerta a un fraude masivo”.

Halpin argumenta que los DID también son, por naturaleza, contradictorios con la Privacidad. En el centro de los argumentos sobre la Privacidad se encuentra cómo LINK una entidad con una acción. Si el objetivo de un adversario es identificarte, asignarte un identificador único global que se reutilice facilita considerablemente el descubrimiento de tu identidad.

Sigue leyendo: " ID descentralizada a toda costa": Asesor abandona ID2020 por su obsesión con la blockchain

“Si no usas un 'Identificador Único Global' (GUID), puedes conectarte a tus acciones en línea; solo que un GUID lo facilita”, dijo Halpin en un mensaje. “Una cookie en un navegador como Google es un identificador único que Google te asigna para LINK tus acciones en diferentes páginas web. Con los DID, simplemente proporcionas una cookie que cualquier empresa puede usar. Esto funciona bien para algunos casos de uso, pero probablemente no para datos médicos sensibles”.

Blockchain no soluciona esto

Según Renieris, los argumentos a favor de la descentralización y los beneficios de la cadena de bloques también comienzan a desmoronarse cuando se consideran los registros con permisos y los servidores centralizados involucrados.

El atractivo de la Tecnología blockchain es su naturaleza descentralizada, su inmutabilidad y sus hashes seudónimos.

Pero en la práctica, argumenta Halpin, no corrige las fallas de los estándares DID y VC subyacentes. En cambio, introduce complejidades y vulnerabilidades adicionales.

Por ejemplo, un artículo publicado en junio de 2020 presentó una propuesta concreta para los pasaportes de inmunidad, tituladaPrueba de anticuerpos de COVID-19/Certificación de vacunación: Existe una aplicación para eso. Describe un libro de contabilidad distribuido llamado OpenEthereum, una bifurcación de Ethereum de la Open University y administrado por un consorcio.

“A diferencia de Ethereum , pero similar a otras cadenas basadas en DID como Sovrin, se basa en “prueba de autoridad” (es decir, una cadena de bloques con permisos donde cualquier validador o cuórum de validadores puede escribir en la cadena, pero no otros actores como los usuarios)”, escribe Halpin.

Los usuarios de la aplicación propuesta podrían elegir dónde almacenar sus datos, supuestamente revocar sus datos y eliminarlos si así lo desean, y almacenar información personal en un hash.

Halpin expone varias maneras en que estas afirmaciones dejan mucho que desear. Permitir que las personas elijan dónde almacenar sus datos significa que podrían almacenarlos en dispositivos inseguros, como sus teléfonos inteligentes. No hay garantía de que otros sistemas no copien los datos. Y, por último, la estructura de datos del sistema crea problemas para su escalabilidad, según Halpin.

La propuesta más concreta de pasaporte de inmunidad coloca peligrosamente el hash de los datos personales en la cadena de bloques. Incluso el uso de la Tecnología blockchain, especificando la resolución de la asignación en cadena de un identificador a una clave en sistemas como Sovrin, termina siendo una redirección a servidores centralizados, lo que socava la afirmación de que la blockchain promueve la descentralización, escribió Halpin.

“Dado que el uso de la Tecnología blockchain no parece necesario para los objetivos de los pasaportes de inmunidad y probablemente obstaculiza en lugar de favorecer la Privacidad, los pasaportes de inmunidad (y, más ampliamente, tanto los DID del W3C como los VC) utilizan blockchain por el mero hecho de blockchain”.

La Privacidad debe ser el CORE de dichos sistemas y no una opción de último momento, afirmó.