Arquitectura DID y componentes principales
El diseño DID tiene como objetivo proporcionar identidades digitales verificables, escalables y sostenibles en el tiempo, sin depender de proveedores de identidad centralizados. Su arquitectura no almacena directamente información de identidad completa, sino que recurre a una combinación de identificadores, resolución y credenciales.
En términos generales, un sistema DID típico suele incluir varios componentes clave:
- Identificador DID: identifica de manera única a una entidad, normalmente con el formato did:método:identificador
- Documento DID: describe la clave pública, métodos de verificación, puntos de acceso a servicios y otra información relevante para esa identidad
- Credenciales verificables: declaraciones sobre atributos concretos emitidas por terceros
- Almacenamiento descentralizado o mecanismos de anclaje en cadena: garantizan la inmutabilidad y disponibilidad permanente de la información de identidad
El principio fundamental de esta arquitectura es minimizar los datos en cadena: las blockchains solo almacenan información crítica e inmutable, mientras que los datos detallados pueden conservarse de forma flexible fuera de la cadena o en soluciones de almacenamiento descentralizado, logrando así un equilibrio entre seguridad y escalabilidad.
Claves públicas/privadas, resolución y mecanismos de registro
En el marco DID, la criptografía es la base de la confianza en la identidad. A diferencia de los modelos tradicionales de usuario y contraseña, DID utiliza pares de claves públicas y privadas para el control y verificación de la identidad, eliminando la necesidad de nodos de validación centralizados.
En concreto, la generación y utilización de un DID suele seguir estos pasos:
- El usuario genera localmente uno o varios pares de claves públicas y privadas
- La clave privada la gestiona de forma segura el propio usuario y se utiliza para firmar y acreditar la identidad
- La clave pública se registra en el Documento DID para su verificación externa
- El identificador y el documento DID se anclan mediante registros en cadena o contratos de registro
Cuando un sistema externo necesita verificar un DID, consulta el Documento DID correspondiente mediante un Resolutor DID y valida la firma con la clave pública proporcionada. Este proceso de resolución es abierto y estandarizado, sin depender de ninguna organización en particular.
Es importante destacar que un DID no equivale a una dirección de blockchain: un solo DID puede estar asociado a varias claves, permite la rotación y revocación de claves, así como permisos jerárquicos, lo que hace que las identidades sean más seguras y flexibles a largo plazo.
Métodos DID y estándares principales
Para responder a las distintas redes subyacentes y casos de uso, no existe una única implementación de DID. En su lugar, las extensiones de Método DID definen cómo se registran, actualizan y resuelven las identidades en cada contexto.
Actualmente, los Métodos DID más representativos son:
- did:ethr: implementación DID basada en direcciones de Ethereum y contratos inteligentes
- did:key: DID ligero derivado directamente de claves públicas, sin necesidad de registro en cadena
- did:web: aloja Documentos DID a través de nombres de dominio y HTTPS para una integración fluida con sistemas web existentes
- did:ion: solución altamente escalable construida sobre la red Bitcoin mediante el protocolo Sidetree
A nivel de estándares, W3C lidera el desarrollo de DID y credenciales verificables. Su principal valor incluye:
- Garantizar la interoperabilidad entre diferentes Métodos DID
- Permitir una lógica universal de verificación de identidad entre plataformas y ecosistemas
- Proporcionar interfaces unificadas para Web3, sistemas empresariales y servicios públicos
A medida que estos estándares evolucionan, los DID están pasando de ser una tecnología experimental a convertirse en una infraestructura fundamental y escalable.
