Este documento, parte de la especificación técnica para la billetera digital de identidad europea (EU Digital Identity Wallet), propone mejoras cruciales en la seguridad y privacidad relacionadas con la emisión y uso de 'Pruebas de Edad' (Proof of Age). El objetivo principal es evitar que los proveedores de atestación (Attestation Providers - APs) incluyan información que comprometa la privacidad del usuario, especialmente la capacidad de anonimato al presentar su edad.
¿Por qué es importante? La billetera digital de identidad busca permitir a los ciudadanos europeos controlar sus datos personales y presentarlos de forma selectiva a los proveedores de servicios. Una 'Prueba de Edad' permite verificar la edad de una persona sin revelar su fecha de nacimiento o cualquier otro dato identificativo. Sin embargo, si los APs incluyen información innecesaria en estas pruebas, se puede comprometer la 'desvinculación', es decir, la imposibilidad de rastrear la prueba de edad a un usuario específico. Esto podría permitir a los proveedores de servicios o incluso a terceros maliciosos vincular la prueba con la identidad real del usuario.
¿Cómo funciona y qué implica? La propuesta se centra en dos áreas principales: primero, la especificación actual no es suficientemente clara sobre qué atributos pueden incluirse en la 'Prueba de Edad'. El documento sugiere que se debe prohibir explícitamente la inclusión de cualquier dato que pueda romper la desvinculación, incluso si no se transmite la foto del usuario. Segundo, se plantea la necesidad de que los APs no almacenen ninguna asociación entre la 'Prueba de Edad' emitida y el usuario que la solicitó, una vez que la prueba ha sido transmitida a la aplicación de identidad (Application Identity - AVI). De igual forma, se propone que los proveedores de servicios (Relying Parties - RPs) no almacenen la prueba después de la sesión del usuario.
La solución más robusta, según el documento, es hacer obligatoria la presentación de una prueba de conocimiento cero (Zero-Knowledge Proof - ZKP) para la verificación de la edad. Las ZKPs permiten demostrar que se cumple una condición (en este caso, tener una edad determinada) sin revelar la información subyacente (la edad exacta). Se mencionan específicamente técnicas como BBS (Blom-Bruck-Schneier) o el reciente 'ZKP-on-top-of-mdoc' como posibles implementaciones.
Casos de uso: Este documento es relevante para los desarrolladores de billeteras digitales de identidad, los proveedores de atestación, los proveedores de servicios que requieren verificación de edad (como tiendas online o eventos) y los reguladores que supervisan la implementación de la identidad digital europea.
Consideraciones: La implementación de estas mejoras requiere una coordinación entre todos los actores involucrados. La obligatoriedad de las ZKPs podría aumentar la complejidad técnica y los costos de implementación, pero es esencial para garantizar una privacidad robusta. La falta de claridad en la especificación actual podría llevar a interpretaciones erróneas y a la inclusión de datos innecesarios en las 'Pruebas de Edad', comprometiendo la privacidad de los usuarios.