Cada vez más se reemplazan las interacciones físicas por las digitales. La identificación electrónica es un mercado en expansión, puesto que permite probar que las personas son quienes dicen ser, a la hora de acceder a servicios y realizar transacciones electrónicas. Típicamente, las pruebas son conocer un secreto, como una contraseña o un PIN, poseer algo único, como una tarjeta, y/o aportar datos biométricos, ya sea por reconocimiento facial, huellas dactilares, etc.
Los datos biométricos, que son almacenados como plantillas en la fase de registro, son privados y sensibles, tal y como se contempla en las leyes de protección de datos de muchos países. Por tanto, se deben emplear esquemas de protección para transformarlos en datos públicos denominados seudónimos. El problema es que la seguridad obtenida con los sistemas de reconocimiento biométricos actuales es de 17 a 24 bits para ataques de fuerza bruta. Esto es muy inferior a la seguridad de un sistema criptográfico, que al menos ofrece 80 bits. Además, los esquemas biométricos con protección de plantilla tienen una seguridad todavía inferior. Recientemente se están explorando nuevas técnicas criptográficas, como la encriptación homomórfica, para incrementar la seguridad de los sistemas de reconocimiento biométricos protegidos. Sin embargo, la seguridad de muchas de estas técnicas está basada en problemas matemáticos, como el del Logaritmo Discreto y el de Factorización de Enteros, que son difíciles de resolver para ordenadores actuales, pero no para ordenadores cuánticos, disponibles en un futuro no muy lejano.
Gracias a los resultados obtenidos en proyectos anteriores, en el proyecto Mas+Cara estamos desarrollando esquemas protegidos usando criptografía post-cuántica para ofrecer seguridad elevada y a largo plazo. Ya hemos propuesto el uso de commitments LPN, basados en el problema post-cuántico de Learning Parity with Noise, para proteger datos biométricos (“A PostQuantum Biometric Template Protection Scheme Based on Learning Parity With Noise (LPN) Commitments”, IEEE Access, 2020) y generar pruebas de conocimiento nulo, que permiten la interacción autenticada entre interlocutores en un protocolo de comunicación pero sin revelar ningún secreto (“PUF-derived IoT identities in a zero-knowledge protocol for blockchain”, Elsevier Internet of Things, 2020).
La mayoría de los sistemas de autenticación actuales emplean una topología centrada en el dispositivo (Fig. 1), en la cual la adquisición del PIN o los datos biométricos, el procesamiento (extracción de características y comparación) y el almacenamiento de las plantillas biométricas se realizan de forma local en el dispositivo con el que se accede, por ejemplo, un smartphone. La persona es quien su dispositivo dice que es, sin que ningún verificador externo pueda comprobar que la persona está presentando realmente todas esas pruebas o credenciales digitales.
En el proyecto Mas+Cara estamos explorando nuevos esquemas de protección usando un modelo descentralizado (Fig. 2), para asegurar que las credenciales digitales puedan verificarse de forma externa usando claves públicas y biometría de seudónimos. Mientras la verificación criptográfica de firmas digitales con claves públicas está suficientemente establecida, las implementaciones de biometría de seudónimos que ofrezcan irreversibilidad, desvinculación (privacidad) y revocabilidad van a ser toda una novedad. Muchos de estos modelos descentralizados emplean tecnologías blockchain, que son un tipo de “tecnologías de libros de contabilidad distribuidos” (Distributed Ledger Tecnologies).
Los principales objetivos del proyecto Mas+Cara son:
a) Desarrollar una prueba de concepto de un esquema de reconocimiento facial descentralizado, que ofrezca privacidad y seguridad post-cuántica para mejorar las prestaciones de las soluciones de identificación electrónica existentes.
b) Contribuir a la innovación de negocios, que apliquen esta prueba de concepto a casos de uso relacionados con las transacciones electrónicas seguras y el acceso a servicios web mediante una App en un smartphone, que facilita su usabilidad y su comercialización.
Dado que la protección de la identidad digital es un derecho de la persona, el modelo descentralizado promete beneficiar a toda la sociedad. Europa y Estados Unidos están demandando soluciones efectivas de identidades electrónicas descentralizadas, que sean altamente seguras puesto que los ciberataques a las identidades digitales tienen un gran impacto social y económico. Según Markets and Markets, se espera que el mercado de verificación de identidad tenga un alto crecimiento en los próximos años, de 7.600 millones de dólares americanos en 2020 a 15.800 millones en 2025, una CAGR (tasa de crecimiento anual compuesta) del 15,6 %. En lo que respecta a blockchain, que se considera una tecnología disruptiva para las áreas financieras y comerciales, la innovación que se espera es comparable al impacto que ha tenido Internet en la sociedad. Se estima que el tamaño del mercado global de blockchain crezca de 3.000 millones de dólares americanos en 2020 a 39.700 millones para 2025, una CAGR del 67,3 % durante 2020–2025.
Iluminada Baturone Castillo, es Catedrática de Universidad del área de Electrónica, con Licenciatura y Doctorado en Ciencias Físicas (ambos con Premio Extraordinario) por la Universidad de Sevilla. Es investigadora en el Instituto de Microelectrónica de Sevilla (IMSE-CNM), centro mixto de la Universidad de Sevilla y CSIC. Ha participado en 33 proyectos de investigación y 10 contratos/proyectos de transferencia con financiación regional, nacional y europea (siendo IP en 13 de ellos). Es coautora de 2 libros y más de 150 artículos científicos (3 Best Paper Awards). Sus líneas actuales de investigación son la ciberseguridad (biometría, criptografía post-cuántica, blockchain), el diseño hardware y los sistemas inteligentes (neuronales y fuzzy).
Este proyecto promete innovar en la protección de identidades digitales, mejorando la seguridad en transacciones electrónicas y servicios web, y tiene un potencial significativo en un mercado en crecimiento, brindando beneficios a la sociedad en general.
0:00 Introducción
0:12 ENROLLMENT
0:56 AUTHENTICATION
1:44 UNLINKABILITY
2:09 REVOCABILITY
2:33 IRREVERSIBILITY
2:51 STOLEN-DEVICE SCENARIO
Referencia: PDC2021-121589-I00
Programa: Programa Estatal de I+D+i Orientado a los Retos de la Sociedad «Prueba de Concepto» 2021 – Agencia Estatal de Investigación (AEI).
Título: Proyecto I+D+i «Prueba de Concepto» 2021: Prueba de concepto de un esquema de reconocimiento facial descentralizado, que ofrece privacidad y seguridad post-cuantica (Mas+Cara).
Investigador: Iluminada Baturone Castillo.
Entidad beneficiaria: Universidad de Sevilla.
Área temática: Tecnologías de la información y de las comunicaciones (TIC).
Duración: 2 años.