Zero-Knowledge-Proof (ZKP) o Prueba de Conocimiento Cero es el nombre dado a un conjunto de técnicas que permiten la aplicación de dos medidas definidas en el artículo 25 del RGPD: La minimización y la restricción de acceso a los datos.
La particularidad de las ZKP es que permiten demostrar que cierta información está disponible sin revelarla. Por lo tanto, son una herramienta para aplicar el principio de minimización en contextos distribuidos como los servicios de Internet en general, la computación en la nube, el blockchain, etc.
Supongamos que un usuario de 19 años quiere demostrar a un servicio de Internet en línea que tiene más de 16 años sin revelar su edad o identidad reales. Esto podría hacerse mediante un procedimiento de programación informática.
Así, comprobando en ese procedimiento de algoritmos si el valor VERIFICA coincide con el valor EDAD, el servicio de Internet (en este caso llamado «verificador») puede establecer que el usuario (en este caso llamado «probador») es mayor de 16 años. Lo ha hecho sin que la persona revele sus datos concretos de edad o identidad al servicio de Internet y sin que esta información circule por la red.
Las ZKP se basan en técnicas criptográficas, que a su vez se basan en el uso de algoritmos y funciones muy difíciles de revertir, como los cifrados, las funciones hash o el uso de aritmética modular. Se trata, por tanto, de pruebas que no proporcionan una certeza absoluta, sino una certeza probabilística sobre la exactitud de la información.
Cuando se utiliza una ZKP en el diseño de un tratamiento, debe comprobarse si esta incertidumbre alcanza valores suficientemente bajos para que el riesgo sea aceptado en ese tratamiento concreto. Las debilidades de los sistemas ZKP surgen de la diferencia que siempre existirá entre el concepto teórico y la aplicación práctica.
En otras palabras, el riesgo para los derechos y las libertades resulta del desfase entre el planteamiento de los algoritmos y los procedimientos y su aplicación real en un contexto técnico, organizativo y jurídico concreto.
En última instancia, estas debilidades son el resultado de la falta de gestión de riesgos para los derechos y libertades más allá del concepto, que también tiene en cuenta el diseño y la aplicación de las ECC.
A su vez, estas debilidades pueden verse reforzadas por la falta de medidas de verificación y control (artículo 24.1 del RGPD), como las auditorías, que son indispensables en el contexto de una introducción y aplicación a gran escala y en un contexto específico.
La ZKP es una herramienta que permite la aplicación de dos medidas definidas en el artículo 25 del RGPD: minimizar y limitar el acceso a los datos. Estas medidas deben aplicarse tanto por defecto como por diseño. Las aplicaciones de esta técnica son muy diversas: verificación de límites de edad, verificación de condiciones como la nacionalidad, voto electrónico, compras, subastas, confidencialidad de las transacciones, análisis de fondos, prueba de solvencia, etc.
