1

IBM desarrolla apps que autentican sin datos personales

La tecnología Identity Mixer desarrollada por IBM utiliza una “prueba de conocimiento cero”‘ en vez de datos identificatorios potencialmente sensibles.

Durante la celebración del Día de la Privacidad de datos en el mes de enero, IBM anunció que trabajaba en Identity Mixer, una nueva tecnología para la protección de los datos personales de los usuarios durante la autenticación. Finalmente, esta tecnología ya está disponible para los desarrolladores en la plataforma cloud bluemix de la empresa.

Identity Mixer intenta resolver que sea común que las aplicaciones de hoy requieran de los usuarios para probar que son los portadores de sus credenciales de identidad, junto con otros requerimientos, porque, con demasiada frecuencia, ese proceso de autenticación expone en forma potencial e innecesaria información personal sensible.

Cambio de paradigma

Así, para acceder a la aplicación de un servicio de streaming de películas de línea, por ejemplo, los usuarios tienen que demostrar que tienen una suscripción de pago y son máyores de18 años de edad. Tradicionalmente, eso significaría revelar su fecha de nacimiento completa, junto con otros datos personales surtidos que no son realmente necesarios para la prueba, tales como nombre y apellido, dirección, etc. Por ello, cuando ocurre una violación de seguridad, la información expuesta es potencialmente sensible.

Identity Mixer está diseñado para proteger la privacidad de los usuarios al centrarse sólo en lo esencial de la prueba.

Gracias a un conjunto de algoritmos basados ​​en el trabajo de la criptografía hecha por IBM Research, la herramienta permite a los desarrolladores crear aplicaciones que pueden autenticar las identidades de los usuarios utilizando lo que se conoce como una “prueba de conocimiento cero” que no recoge ningún dato personal.

Específicamente, Identity Mixer autentica a los usuarios pidiéndoles que proporcionen una clave pública. Cada usuario tiene una única clave secreta, y se corresponde con múltiples claves públicas o identidades. Cada transacción que el usuario realiza recibe una clave pública diferente y no deja “rastros” sobre la privacidad .

Así, en el ejemplo de servicio de streaming, los usuarios tendrían ambas credenciales de identidad y de suscripción almacenados en una cartera de credenciales personales. Para acceder a una película, podrían utilizar esa cartera electrónica para demostrar que tienen derecho a ver el contenido seleccionado sin tener que exponer cualquier otro detalle.

Sin rastro

El resultado, de acuerdo con IBM, es que la privacidad de los usuarios se conserva mejor, y el servicio proveedor se ahorra la necesidad de proteger y asegurar todos esos datos de los ataques de hackers.

“Uno de los principios fundamentales para la protección de la privacidad es el concepto de minimización de los datos”, dijo Paul Stephens, director de Políticas y Promoción en el Centro de Información de Derechos de Privacidad.

“Todo lo que se puede hacer para reducir la cantidad de datos que se recogen como parte del proceso de autenticación es, sin duda, psitivo; una buena idea”.