Privacy preservation mechanisms in identity management with application to loT
- Antonio Skarmeta Gómez Director
- Jorge Bernal Bernabé Director
Defence university: Universidad de Murcia
Fecha de defensa: 29 July 2024
- Chafika Benzaid Chair
- Antonio Ruiz Martínez Secretary
- Fernando Pereñiguez García Committee member
Type: Thesis
Abstract
El objetivo principal de esta tesis es el diseño de soluciones de manejo de identidad digital seguras, utilizables y que preserven la privacidad tanto de individuos como dispositivos, aplicándolas para abordar retos del mundo real. Para alcanzar esta meta, se han definido varios objetivos específicos: - Analizar soluciones de manejo de identidad del estado del arte y sus principales limitaciones. - Diseñar, desarrollar y evaluar soluciones criptográficas dedicadas a la preservación de la privacidad, especialmente en relación con las credenciales basadas en atributos. - Especificar métodos y frameworks que permitan una gestión de identidad eficaz, utilizable y comprehensiva a través de las credenciales basadas en atributos. - Integrar las soluciones desarrolladas con especificaciones y tecnologías emergentes como los registros distribuidos (DLT) o las credenciales verificables (Verifiable Credentials), evaluando el impacto bidireccional. - Estudiar, diseñar e implementar la extensión de las nociones de gestión de identidad con preservación de la privacidad a entornos IoT que abarquen el ciclo de vida completo de los dispositivos en función de retos específicos como la heterogeneidad o las limitaciones de recursos. - Validar las soluciones desarrolladas en diferentes casos de uso y escenarios reales, demostrando su viabilidad. Metodología La metodología del trabajo ha sido iterativa e incremental y ha estado guiada por los objetivos marcados. En cada ciclo se ha realizado un análisis del estado del arte y el diseño, implementación y evaluación de soluciones técnicas. Además, los resultados han sido continuamente validados en el contexto de tres proyectos europeos de Horizonte 2020: OLYMPUS, CyberSec4Europe y ERATOSTHENES. En el desarrollo de la tesis, se han estudiado y aplicado múltiples tecnologías. Entre ellas destacan las p-ABC, en particular el esquema basado en multi-firmas Pointcheval-Sanders introducido por Camenisch et al. En el desarrollo de esta tesis, hemos trabajado en la creación de sistemas de identidad empleando y mejorando p-ABCs con emisión distribuida, estableciendo vínculos con marcos de identidad y confianza relevantes, y garantizando la interoperabilidad y la aplicación eficiente a escenarios IoT. Otra tecnología relevante por sus características de descentralización ha sido los registros distribuidos, como soporte del marco de confianza de ecosistemas de identidad. Del mismo modo, las especificaciones vinculadas a la identidad autosoberana, como las credenciales verificables del W3C, han sido parte del foco por su impacto en las tendencias actuales en materia de identidad. Por último, otras tecnologías como los documentos MUD (Manufacturer Usage Description) han desempeñado un papel complementario a las técnicas de identidad investigadas. Esto ha dado lugar a múltiples resultados publicados en cuatro publicaciones principales que forman el compendio. Estos se han desarrollado en el marco de los retos y lagunas identificados en la bibliografía tras un análisis exhaustivo conforme al Objetivo 1. Como parte de los resultados, hemos propuesto y evaluado diversos avances en sistemas criptográficos que preservan la privacidad, en particular en el ámbito de las credenciales distribuidas basadas en atributos, cumpliendo así el Objetivo 2. Además, en línea con los Objetivos 3 y 4, se ha integrado las soluciones desarrolladas con tecnologías emergentes como los registros distribuidos o las Credenciales Verificables, logrando soluciones de autenticación y autorización en el ámbito de las arquitecturas de confianza cero e identidad autosoberana. Estos desarrollos se han ampliado para cubrir las necesidades de los entornos IoT, como la eficiencia o la adaptabilidad a las características heterogéneas de estos ecosistemas, logrando soluciones de gestión de identidad que preservan la privacidad y abarcan el ciclo de vida de los dispositivos, tal y como se recoge en el Objetivo 5. Por último, se ha validado la viabilidad de estas aplicaciones a través de varios casos de uso reales en el contexto de tres proyectos europeos de H2020, alcanzando el Objetivo 6. Conclusiones Las principales conclusiones obtenidas se pueden resumir en: - Las credenciales basadas en atributos con emisión distribuida (dp-ABC) pueden aplicarse para abordar la gestión de identidad de forma eficiente y utilizable, mitigando al mismo tiempo el problema del punto único de fallo del proveedor de identidad. - El uso de dp-ABC favorece alcanzar nociones de privacidad, seguridad y funcionalidad inherentes a los ecosistemas basados en la autorización de confianza-cero. - La modificación del proceso de presentación de las p-ABC, basada en ligar atributos a compromisos y el uso de técnicas del tipo "comprometer-y-probar", permite la extensibilidad modular del esquema conservando las garantías formales de seguridad y privacidad. - En particular, este resultado se utilizó para alcanzar de forma eficiente características avanzadas de p-ABCs relevantes en casos de uso contemporáneos, a saber, inspección, pseudónimos, revocación y pruebas de rango numérico. - El concepto de bb-ABC, que permite la intransferibilidad de credenciales mediante biometría sin dispositivos dedicados por usuario, se formaliza mediante la definición de variantes de las propiedades de seguridad tradicionales de las p-ABC: corrección, solvencia e inconexibilidad. - La relevancia práctica de las bb-ABCs se demostró a través de la definición de dos construcciones complementarias y su instanciación con primitivas concretas, mostrando su eficiencia a través de micro-benchmarks. - La aplicabilidad de las dp-ABC en casos de uso relevantes, y en particular en entornos IoT, mejoró con su integración efectiva en la especificación de Verifiable Credentials de W3C. - Es fundamental contar con un framework para la gestión de identidad de los dispositivos IoT a lo largo de su ciclo de vida que sea flexible, comprehensivo y plantee garantías de privacidad. Las dp-ABC pueden ser una piedra angular para su consecución. - Las soluciones desarrolladas se aplicaron con éxito para resolver retos en múltiples casos de uso relevantes, demostrando su relevancia en el panorama actual de identidad digital.