Les persones físiques, tant en l'àmbit personal com en el laboral, estan acostumades a haver
de demostrar a tercers determinades característiques i requisits, i per a això altres entitats
s'encarreguen de generar la documentació pertinent que corrobori aquestes característiques
sobre nosaltres o la nostra empresa. Per exemple, per poder exercir com a advocat hem de
demostrar que tenim el títol de Llicenciat en Dret i per a això necessitem una entitat
autoritzada per emetre aquest document que acrediti la nostra formació per exercir com a
tal.
Mirem on mirem, en l'economia real, la logística, la producció, les cadenes de transport, ...
des de les matèries primeres fins al consumidor final, sempre veurem la necessitat que una
entitat demostri certes característiques o atributs a una altra entitat. I aquesta demostració
es basa en "certificats" de diversos tipus emesos per organismes acreditats per a fer això.
1. 1
Partner proposant:
IN2 Ingeniería de la Información
Organització o projecte proposat:
LES CREDENCIALS DIGITALS: PASSAT, PRESENT I FUTUR
Objectius del projecte:
Les persones físiques, tant en l'àmbit personal com en el laboral, estan acostumades a haver
de demostrar a tercers determinades característiques i requisits, i per a això altres entitats
s'encarreguen de generar la documentació pertinent que corrobori aquestes característiques
sobre nosaltres o la nostra empresa. Per exemple, per poder exercir com a advocat hem de
demostrar que tenim el títol de Llicenciat en Dret i per a això necessitem una entitat
autoritzada per emetre aquest document que acrediti la nostra formació per exercir com a
tal.
Mirem on mirem, en l'economia real, la logística, la producció, les cadenes de transport, ...
des de les matèries primeres fins al consumidor final, sempre veurem la necessitat que una
entitat demostri certes característiques o atributs a una altra entitat. I aquesta demostració
es basa en "certificats" de diversos tipus emesos per organismes acreditats per a fer això.
Aquesta casuística es pot extrapolar a l'àmbit d'AAPP, on es genera una gran quantitat de
documentació, certificats electrònics, etc. essent susceptibles de generar una ineficiència
sistèmica crítica a causa de la diversitat dels diferents sistemes, mecanismes de transmissió i
verificació utilitzats.
Aquest problema s'ha resolt a través de la interconnexió entre els sistemes informàtics de les
entitats participants, però això comporta un gran nombre de problemes relacionats amb la
privacitat de les dades, especialment quan un dels participants és una persona física.
Gran part del problema exposat anteriorment es resoldrà amb la unió de dues tecnologies
complementàries: credencials verificables en format W3C i Blockchain.
L'esquema bàsic és molt senzill, però requereix la col·laboració dels actors implicats en
l'ecosistema, ja que no hi ha una única entitat que pugui executar aquest immens projecte,
sinó multitud d'entitats, tant privades com públiques, que conviuen, liderant i executant,
diferents parts de la solució.
L'èxit d'aquest projecte suposarà una millora en l'eficiència de gairebé tots els processos que
es produeixen en l'economia i en la societat real, garantint la privacitat de les dades
personals dels ciutadans, i un millor servei rebut per ells per part d'empreses privades i AAPP.
Irònicament, hi ha entitats que sense ser-ne conscients estan ajudant en gran mesura a
avançar en l'estat de l'art de les parts crítiques de l'ecosistema.
2. 2
Descripció:
La solució té les següents característiques:
1. Hi ha un emissor d’ "atributs testificats" que diu alguna cosa sobre una persona
(natural o legal). Aquesta persona s'anomena portador, perquè és ell qui rep el
document que demostra alguna cosa sobre si mateix (o sobre l'empresa que
representa). El Portador presenta el document al Verificador, que és l'entitat que
demana que es demostri alguna cosa.
2. El document que conté els atributs certificats es representa electrònicament
utilitzant el format de les Credencials Verificables del W3C
(https://www.w3.org/TR/vc-data-model/), que especifica i estandarditza el
llenguatge de representació de les dades de manera que pugui ser processat
automàticament per sistemes informàtics, a diferència del que passa, per
exemple, amb un PDF signat digitalment, que ha de ser llegit, analitzat i processat
per una persona, amb les ineficiències i possibles errors que això comporta.
3. La credencial verificable, que conté la descripció dels atributs testificats en
format màquina (però també interpretable per persones),es transmet entre
l'Emissor i el Verificador a través del Portador, i mai directament de l'Emissor al
Verificador. Això proporciona un enorme nivell de privacitat, i també control
sobre les dades concretes que rep una entitat i la raó per la qual la rep i permet
un estricte compliment del GDPR d'una manera molt senzilla. No només és bo per
al Portador, sinó també per a l'Emissor i el Verificador perquè és molt més fàcil
per a aquestes entitats el compliment normatiu associat: el Verificador sempre
rep les dades del Portador (i no d'un tercer), i l'Emissor lliura les dades al Portador
(i no a un tercer).
4. Les credencials verificables se signen digitalment amb un certificat digital normal,
però aquesta signatura simple no és suficient, per a que el Verificador pugui
realitzar la verificació de forma automàtica i eficient, especialment en un
ecosistema ampli i internacional. Es necessita l'existència de Llistes de Confiança
(trusted lists), que continguin les entitats que puguin emetre i signar certificats, i
la tipologia d'aquests.
En un ecosistema on no es vol que hi hagi una entitat central que el domini completament,
les bases de dades centralitzades per contenir llistes de confiança no són adequades...
Per exemple, suposem que el certificat és un Diploma i es desitja interoperabilitat a nivell
europeu. Hi ha moltes universitats en molts països, i cada universitat pot emetre diferents
graus per especialitat, i fins i tot els títols que estan autoritzats a emetre poden variar amb el
temps. On es col·locaria el servidor central que conté la llista de totes les universitats
europees, amb cadascuna de les titulacions que poden expedir, els crèdits, etc.? Normalment,
són les autoritats acadèmiques de cada país o regió les que s'encarreguen de la gestió
d'aquestes llistes, per la qual cosa és molt difícil consolidar aquestes llistes de manera que el
Verificador (una empresa que contracta una persona, per exemple) pugui realitzar aquest
control de forma segura, fàcil i eficient.
3. 3
La solució és una xarxa Blockchain, on les llistes de confiança es gestionen a la xarxa, n'hi ha
prou amb una autoritat per actualitzar la llista en una regió de manera que gairebé a l'instant
la llista està disponible per a la consulta a tot arreu on hi ha un node d'aquesta xarxa i el
sistema escala geogràficament sense més que afegir un node, sense que les entitats
participants tinguin una relació profunda entre si.
Conjunt d'entitats més rellevants que estan treballant per moure l'ecosistema en la direcció
correcta:
- Grup de Treball de Credencials Verificables del W3C per a la realització de la tasca
d'estandardització del format electrònic dels documents que acreditin atributs de manera
eficient per a la verificació.
- La Comissió Europea i els Estats membres per a la iniciativa EBSI (European
Blockchain Services Infrastructure) per al desenvolupament de la futura xarxa blockchain
paneuropea que permetrà, entre altres coses, implementar llistes de confiança paneuropees
d'una manera molt eficient i accessible tant per al sector públic com per al privat, permetent
la col·laboració entre totes les entitats a nivell paneuropeu com mai abans.
- El Servei Català de la Salut, i en general totes les entitats europees que han fet un
enorme esforç per expedir el Certificat COVID EU enformat digital interoperable a tots els
ciutadans que ho sol·licitin. En aquest cas Blockchain no s'utilitza per a Llistes de Confiança
(encara no hi ha xarxa blockchain viable) però s'ha demostrat que un format electrònic
estandarditzat acordat entre totes les entitats participants, pot permetre l'emissió eficient i
verificació de dades sensibles del ciutadà; mantenint les majors garanties de privacitat i
operant a través de les fronteres entre els estats associats. En qualsevol cas, les credencials
verificables suportades per Blockchain han d'aprendre moltes coses de la implementació del
sistema de certificats COVID EU en un temps rècord.
- El Banc Interamericà de Desenvolupament (BID) per iniciar un projecte per
implementar una versió del sistema de certificats COVID EU, adaptat a LATAM i utilitzant
credencials verificables suportades per Blockchain for Trust Lists, ja que en aquesta regió no
hi ha cap entitat com la Comissió Europea que pugui actuar com a hub central per a la
replicació de les llistes de confiança de cada país. El sistema també permetrà la
interoperabilitat de credencials verificables no només entre països que utilitzen la mateixa
xarxa blockchain, sinó entre diferents xarxes blockchain, en diferents països i continents.
IN2 té un paper molt rellevant en aquest projecte i en la futura generalització i
estandardització a molts altres tipus de Credencials no limitades al sector sanitari.
Mèrits i abast:
Com hem comentat, un dels aspectes més impactants d'aquests certificats ha estat la
implantació del Certificat Digital Covid UE (CCD-EU) a nivell de la Unió Europea. Ha contribuït
a normalitzar la situació en plena pandèmia de la COVID-19, permetent una mobilització
transfronterera de persones a través de la generació d'un certificat vàlid a nivell europeu, un
desenvolupament important en aquest moment de globalització.
4. 4
El Certificat Covid Digital europeu és un document gratuït, interoperable i adaptat als
estàndards de seguretat, confidencialitat i privacitat requerits per la UE.
El sistema permet generar un certificat digital individual, amb un codi QR, que integra la
informació sanitària relacionada amb la COVID, amb tres tipus de certificats disponibles:
vacunació (ja sigui parcialment o totalment), prova diagnòstica (PROVA PCR o test d'antigen)
o recuperació (recuperació de la malaltia).
Tota aquesta informació es completa amb les seves dates corresponents, validesa, dades
identificatives, etc.
Cada estat membre de la UE disposarà de les claus de descodificació necessàries per poder
llegir el codi QR del certificat i validar-lo.
IN2, dins d'aquest procés de retorn a la normalitat després de la pandèmia de covid també
proporciona una solució de validació del Certificat Digital Covid EU emmarcat en la
reobertura de l'oci nocturn (bars i discoteques), que permetrà a qualsevol persona que
presenti el seu certificat, i sigui validat per la nostra solució, accedir a l'interior del local,
garantint així entorns segurs i proporcionant autonomia i seguretat al sector de l'oci nocturn.
A IN2 treballem per aconseguir una societat 5.0, proporcionant la tecnologia més puntera al
servei de les persones. Un cop més, el desenvolupament intel·ligent de la tecnologia
aconsegueix millorar la nostra qualitat de vida.