En un mundo digital, las transacciones electrónicas requieren identidades digitales seguras (también conocidas como identidades electrónicas o eID). El marco legal para España, como país europeo, es el reglamento eIDAS (electronic IDentification, Authentication and trust Services) 910/2014. La revisión en 2021 del eIDAS estableció los requisitos para la Cartera de Identidad Digital Europea (EUDIW). El objetivo de la Comisión es que en 2030 el 80% de la población de la Unión disponga de esta cartera y pueda utilizarla para acceder tanto a servicios privados como públicos en cualquier Estado miembro. El objetivo es desarrollar carteras que den pleno control a los usuarios sobre sus datos personales, como así lo hacen las carteras de identidades auto-soberanas (SSI).
La cartera debe estar asociada de forma unívoca a su verdadero propietario (titular), de modo que cualquier otra persona no pueda poseer esa identidad. Esto se conoce como vinculación del titular. Asimismo, las credenciales (conjunto de datos sobre el titular) deben estar unívocamente asociadas a su verdadera cartera, es decir, no deben poder ser utilizadas por ninguna otra cartera propiedad de otra persona. Esto se conoce como vinculación de dispositivo. El proyecto HighLoAwallet desarrollará carteras SSI con un alto nivel de seguridad mediante el uso de novedosas técnicas cripto-biométricas y soluciones hardware que protegen estas vinculaciones contra ataques de alto potencial, así como contra la duplicación y la manipulación.
Las técnicas cripto-biométricas garantizarán la verificabilidad, privacidad y seguridad a largo plazo de los datos biométricos multimodales asociados al titular de la cartera. El proceso de comprobación de la identidad verificará que el solicitante es la persona física identificada biométricamente, garantizando así una vinculación verificable del titular físico. El proceso de identificación será privado, ya que ningún intermediario podrá obtener información a partir de los datos biométricos protegidos, que serán irreversibles, revocables y desvinculados, según la norma ISO/IEC 24745. La seguridad a largo plazo se logrará mediante el uso de algoritmos criptográficos seleccionados por el Proceso de Estandarización de Criptografía Post-Cuántica del NIST.
Dado que no parece realista que todo ciudadano posea un dispositivo de última generación con módulos de seguridad hardware para implementar su cartera, el proyecto HighLoAwallet empleará un hardware remoto de confianza en la nube, que es más flexible y rentable.
El hardware se identificará mediante las respuestas presentadas por Funciones Físicas y de Comportamiento No Clonables (BPUFs), garantizando así una vinculación física verificable del dispositivo, que evitará componentes falsificados de la cartera y ubicaciones fuera de Europa de los datos personales. La identificación de la cartera será privada y las respuestas de las BPUFs estarán protegidas con criptografía post-cuántica. Los algoritmos criptográficos y biométricos se ejecutarán en un entorno seguro habilitado por hardware.
Dado que la cartera se implementará como una aplicación web o híbrida, el proyecto HighLoAwallet garantizará la seguridad en las interacciones remotas entre el titular y la cartera, la cartera y el emisor de credenciales, y la cartera y el verificador. Se desarrollará, y evaluará en un caso de uso seleccionado, un prototipo de cartera SSI con alto nivel de seguridad que incluya los avances logrados en el proyecto.
Publicidad y comunicación:
Proyecto PID2023-150809OB-I00 financiado por MICIU/AEI/10.13039/501100011033 y por FEDER, UE