Ethereum lanza OpenAC, credenciales digitales que no dejan rastros 

PSE, el equipo de la Fundación Ethereum (EF) que desarrolla herramientas centradas en privacidad, presentó OpenAC, un diseño criptográfico de código abierto para emitir pruebas que representen credenciales digitales «anónimas, transparentes y ligeras».  

El sistema, compartido en X el 29 de noviembre, ya está operativo para que desarrolladores lo implementen en sus proyectos.  

OpenAC es una propuesta de documentos digitales que acreditan condiciones o permisos del usuario (como ser mayor de edad), pero que pueden presentarse mediante pruebas criptográficas que no revelan datos personales.  

Además, conseguiría eso sin dejar rastros que permitan seguir las acciones de los usuarios. 

El equipo PSE destacó en el anuncio lo siguiente sobre OpenAC:  

OpenAC describe una construcción de identidad basada en pruebas de conocimiento cero (ZK) diseñada para funcionar con pilas de identidad existentes y creada deliberadamente para ser compatible con el Marco de Referencia y Arquitectura de Identidad Digital Europea (EUDI ARF). 

Equipo PSE en X. 

Eso significa que OpenAC está diseñado para integrarse con sistemas de identidad ya implementados, tanto públicos como privados.  

Un diseño pensado para integrarse con identidades existentes 

Su libro blanco explica que OpenAC utiliza pruebas de conocimiento cero (ZK, zero-knowledge proofs), un método criptográfico que permite demostrar que un atributo es válido sin revelar el dato original que lo prueba. 

En el contexto de la identidad digital, esto permite que un usuario muestre una credencial sin exponer el documento completo ni permitir que un tercero rastree su historial de uso. 

El funcionamiento de OpenAC se organiza en tres roles que intervienen en el ciclo de emisión y uso de una credencial: 

• Emisor: la entidad que crea y firma la credencial: puede ser una empresa, un organismo estatal, una universidad o cualquier institución que tenga autoridad para certificar un dato. 

• Usuario: guarda esa credencial y produce la prueba ZK cuando se la solicitan. 

• Verificador: aplicación o entidad que necesita confirmar que la prueba es válida, pero sin acceder al contenido real del documento ni obtener información adicional sobre la identidad del usuario. 

Para que este esquema funcione, el emisor debe manejar de forma segura sus claves criptográficas y firmar únicamente atributos correctos.  

OpenAC parte de ese supuesto de confianza inicial: si el emisor certifica información falsa o si su clave privada se ve comprometida, todas las credenciales que emitió pierden validez. 

El documento también aclara que OpenAC no incorpora un mecanismo propio de revocación. Por eso, si un emisor necesita invalidar una credencial por error o por caducidad, debe apoyarse en sistemas externos.  

Este requisito introduce un punto de dependencia en el modelo, ya que la gestión de la revocación queda en manos de un tercero.  

Según PSE, esas herramientas deben ser listas criptográficas que permitan verificar si una credencial sigue vigente sin revelar la identidad del titular ni rastrear sus actividades. 

Posibles implicancias para Ethereum  

OpenAC posicionaría a Ethereum como una plataforma apta para manejar identidades digitales sin sacrificar la privacidad, aunque el diseño requiere componentes off-chain y depende de emisores confiables. 

La posibilidad de emitir documentos digitales que no puedan rastrearse y que funcionen con estándares internacionales podría abrir un espacio para aplicaciones como registros educativos, permisos administrativos, certificaciones profesionales o accesos a servicios que requieren validación sin exponer la identidad. 

¿Cómo evita OpenAC que una credencial pueda rastrearse? 

Para que una credencial no pueda vincularse entre distintos usos, cada vez que el usuario la presenta debe generar una prueba completamente distinta.  

Si dos pruebas repiten algún valor, un verificador podría darse cuenta de que ambas vienen de la misma persona, aunque no sepa quién es. 

Para evitar esa posible vinculación, OpenAC obliga a que el usuario o la aplicación que gestione la credencial incorpore semillas aleatorias en cada presentación. Esta aleatorización garantizaría que dos pruebas sobre un mismo atributo se vean completamente distintas. 

Implementación y límites prácticos para OpenAC 

La generación de las pruebas de OpenAC ocurre fuera de la cadena (off-chain).  

Eso significa que todo el cálculo pesado (crear la prueba criptográfica que demuestra un atributo sin revelar datos) se realiza en el dispositivo del usuario o en una aplicación externa, y no dentro de Ethereum.  

Al evitar ejecutar ese proceso en la red, se reduce el costo y se evita saturar la cadena. 

La verificación de la prueba, en cambio, puede hacerse tanto fuera de la cadena como dentro de un contrato inteligente. Aquí aparece el motivo por el que PSE describe estas credenciales como «ligeras»: el equipo reportó un tiempo de verificación de «0,129 segundos», lo que hace que el sistema sea manejable para aplicaciones que requieren respuestas rápidas.  

De todos modos, el rendimiento dependerá del hardware. En dispositivos con menos capacidad o en escenarios con mucha carga, los tiempos pueden aumentar. 

El diseño busca minimizar la información que llega a Ethereum, pero aun así OpenAC necesita componentes adicionales para operar en entornos reales.  

Se requieren emisores que manejen claves, wallets que soporten el formato de las credenciales y sistemas externos que administren mecanismos como la revocación. 

Sin esa infraestructura, el esquema no puede desplegarse a escala.