馃嚜馃嚫 Firmas an贸nimas universales: uni贸n entre el pasado, el presente y el futuro de la autenticaci贸n an贸nima

Universal Anonymous Signatures: bridging past, present, and future of anonymous authentication

驴Qu茅 resuelve UAS?

La cuesti贸n no es s贸lo que los esquemas AC, GS y RS (y sus numerosas variantes) tengan algunas cosas en com煤n. Sus propias razones de ser est谩n estrechamente relacionadas. Permiten a los usuarios autenticarse de forma an贸nima, al tiempo que permiten a los proveedores de servicios tener alg煤n tipo de control sobre la informaci贸n que pueden extraer. Desde un punto de vista te贸rico, esto se refleja en el hecho de que los modelos de seguridad suelen parecerse mucho. A modo de ejemplo, siempre hay que pensar en las propiedades de anonimato, que capturan lo que se puede saber de una firma. Y sobre las propiedades de infalsificabilidad, que tienen variantes de trazabilidad y no trazabilidad, que establecen con precisi贸n qu茅 tipo de garant铆a de infalsificabilidad pueden esperar los verificadores (proveedores de servicios) y los usuarios, respectivamente. Adem谩s, hay formas de construir estos esquemas a partir de bloques de construcci贸n muy similares.

No obstante, y por alguna raz贸n, hasta el momento, AC, GS, RS y otros se han estudiado de forma independiente. M谩s a煤n, aunque dentro de alguna rama concreta, como GS, existan modelos de seguridad de referencia como la l铆nea de trabajo 鈥淔undamentos de las firmas de grupo鈥, no siempre es as铆. Incluso teniendo modelos de referencia, estos modelos de seguridad suelen estar ligados a un compromiso concreto privacidad-utilidad.

Un ejemplo pr谩ctico

Digamos que tiene un esquema de CA que le permite revelar selectivamente atributos arbitrarios en el momento de la presentaci贸n de credenciales. Pero entonces, quiere reutilizarlo en un escenario en el que tambi茅n necesita vincular las presentaciones del mismo usuario (tal vez quiera recompensar a este usuario con algunos puntos de fidelidad, o tal vez este usuario le est茅 enviando spam y quiera bloquearlo). En pocas palabras, quiere a帽adir alg煤n tipo de auditabilidad. 隆Este cambio a priori sencillo requiere un nuevo modelo de seguridad! Claro, si sabe c贸mo hacerlo, puede ampliar el anterior y, si tiene suerte, la construcci贸n que ten铆a antes tambi茅n puede actualizarse f谩cilmente. Pero si ha implementado alguna vez este tipo de cosas, ya sabe que esto suele ser esperar demasiado.

Un modelo din谩mico para las compensaciones entre privacidad y utilidad en la autenticaci贸n an贸nima

Exigir un modelo de seguridad por cada compromiso concreto entre privacidad y utilidad no es, obviamente, lo ideal. Precisamente es lo que quer铆amos arreglar, ya que este tipo de requisitos cercanos pero diferentes son bastante comunes en la pr谩ctica. As铆 pues, lo que hemos hecho es idear UAS, un modelo de seguridad gen茅rico que puede retocarse aqu铆 y all谩, de modo que usted pueda adaptarlo a las necesidades de su caso de uso -en t茅rminos de la compensaci贸n requerida entre privacidad y utilidad. En un poco m谩s de detalle, mirando de cerca, hay tres puntos en los que uno puede querer adaptar este tipo de esquemas de autenticaci贸n an贸nima:

  • En el momento de la emisi贸n: cuando un usuario solicita una credencial, se le puede pedir que ofrezca credenciales de respaldo obtenidas previamente que cumplan la propiedad A o B - 隆o puede que ni siquiera se le pida que ofrezca una credencial en absoluto!
  • En el momento de la firma: cuando un usuario quiere producir una firma an贸nima (o presentar su credencial), el verificador puede requerir saber que los atributos de la credencial cumplen ciertos criterios.
  • En el momento de la auditor铆a: los auditores pueden exigir que se pueda extraer cierta informaci贸n despu茅s de crear la firma. Tambi茅n es posible que no haya auditores en absoluto.

Plasmamos estas compensaciones variables a trav茅s de 鈥渕arcadores de posici贸n funcionales鈥 (los programadores pueden pensar en ello como funciones abstractas) en estos tres puntos, que est谩n incrustados dentro de un entorno de seguridad que b谩sicamente sigue la plantilla de anonimato-no falsificabilidad mencionada anteriormente. El aspecto m谩s relevante para los ingenieros es que, dada una construcci贸n que se demuestre segura en nuestro modelo, solo tendr铆an que especificar las funciones concretas necesarias en cada paso -emisi贸n, firma y auditor铆a-, 隆y ya est谩! La seguridad se deduce de la seguridad de la construcci贸n principal.

驴Y qu茅 relaci贸n tiene esto con GS, AC o RS?

隆Una pregunta justa! Hemos intentado asegurarnos de que nuestro pretendido modelo general es realmente general. Entonces, 驴c贸mo lo hicimos? Bueno, demostramos que, dando funciones concretas en tiempo de emisi贸n, firma y auditor铆a, nuestra construcci贸n gen茅rica puede comportarse como un esquema GS, AC o RS. M谩s concretamente, demostramos que tal variante de nuestra construcci贸n es un esquema seguro GS, AC, o RS, bajo sus modelos de seguridad bien conocidos).

Por supuesto, los papeles son finitos, por lo que solo demostramos que los GS, AC y RS b谩sicos pueden construirse a partir de una construcci贸n gen茅rica de UAS. Tambi茅n esbozamos pruebas para variantes m谩s avanzadas, como GS con apertura dependiente del mensaje, Firmas privadas multimodales y Credenciales an贸nimas revocables. Es f谩cil imaginar muchas otras variantes. Credenciales an贸nimas con capacidades de auditor铆a ampliadas, por ejemplo, o incluso esquemas de firma an贸nima con un compromiso entre privacidad y utilidad que no se ha considerado obstante en el espacio acad茅mico.

驴Qu茅 es (o puede ser) lo siguiente?

Puede que lo primero que haya notado es que se trata de un trabajo bastante te贸rico. Si bien todo parece estar bien sobre el papel, los problemas pueden aparecer mientras se codifica. Un aspecto que preocupa de forma leg铆tima es qu茅 penalizaci贸n se paga en t茅rminos de eficiencia por tener una construcci贸n que puede adaptarse a muchos casos de uso diferentes. Esa preocupaci贸n es muy razonable. Despu茅s de todo, los esquemas dise帽ados con un 煤nico prop贸sito en mente tienden a ser m谩s eficientes. Para evaluar mejor esta cuesti贸n, estamos trabajando en un prototipo. Inicialmente, queremos disponer de una biblioteca que pueda abstraer los detalles internos y dejar que los desarrolladores se centren en la implementaci贸n de los marcadores de posici贸n funcionales concretos que les interesan. Despu茅s, probar lo eficiente que es el resultado, a partir de nuestra (de momento solo) construcci贸n gen茅rica. Esto probablemente ser谩 lo suficientemente bueno para algunas aplicaciones, pero no para todas.

El art铆culo ofrece una construcci贸n gen茅rica basada en BBS+, cifrado y pruebas ZK gen茅ricas (no interactivas). Sin duda, esto estar谩 bien si lo que queremos conseguir son afirmaciones del tipo de divulgaci贸n selectiva, pero probablemente no nos convenga si queremos demostrar predicados m谩s expresivos, por ejemplo. As铆 pues, el siguiente paso es pensar en construcciones gen茅ricas alternativas que se adapten mejor a requisitos m谩s expresivos.

Tambi茅n desde un punto de vista te贸rico, tenemos muchas ideas para el futuro. Permitir que los emisores y los auditores cambien sus funciones, por ejemplo. Ahora mismo, aunque pueden coexistir muchos emisores o auditores, cada uno de ellos se compromete con una funci贸n. O adaptar el modelo al entorno totalmente din谩mico, y muchas cosas m谩s.

驴C贸mo pensamos integrar UAS en Atala?

Como ya hemos dicho, estamos trabajando en una implementaci贸n basada en nuestra construcci贸n gen茅rica a partir de BBS+, cifrado (ElGamal) y pruebas ZK (protocolos Sigma b谩sicos). Ser谩 nuestro punto de partida, lo que nos permitir谩 probar esta nueva tecnolog铆a en la pila SSI que ofrece Atala. Al integrar UAS dentro de la [pila de agentes empresariales abiertos] de Atala (Introducing Open Enterprise Agent, a new Hyperledger lab for self-sovereign digital identity DApps), podremos aprovechar todas las herramientas que Atala incluye, y empezar a probar c贸mo se comporta UAS en entornos listos para la producci贸n (con agentes, nodos, protocolos de comunicaci贸n, etc. espec铆ficos de SSI), y tambi茅n adaptarla a las necesidades del mercado y de los equipos de ingenier铆a.

隆Est茅 atento a las pr贸ximas actualizaciones!


Traducci贸n al espa帽ol de 鈥淯niversal Anonymous Signatures: bridging past, present, and future of anonymous authentication鈥, escrito por Jesus Diaz Vico, Ingeniero de investigaci贸n, enero 23 de 2024.


Notas del traductor

  • Corchetes del traductor.
  • Asuma que todo enlace apunta a un contenido en idioma :uk: ingl茅s.
  • :es: Indica que el enlace apunta a un contenido en idioma espa帽ol.

Considere suscribirse a las siguientes fuentes de informaci贸n en espa帽ol de Cardano seg煤n su inter茅s.