# DEMO:Manejo de Credenciales verificables centralizado y descentralizado

Acontinuacion realizaremos una demostracion que ilustra el manejo de credenciales verificables uno centralizado y otro descentralizado.Utilizamos criptografia de clave publica para firmar y verificar estas credenciales.

Simularemos la emisi√≥n, verificaci√≥n, falsificaci√≥n y revocaci√≥n (en el caso centralizado) de credenciales digitales.

### Importacion de librerias a trabajar: Importacion de modulos y librerias





In [None]:
import json  # para manejar JSON
import uuid  # para generar identificadores uÃÅnicos
import time  # para obtener el tiempo actual
from typing import Dict, Any, Tuple, Set, Optional # para definir tipos

# para crear widgets interactivos ,para mostrar y limpiar salidas
import ipywidgets as widgets 
from IPython.display import display, clear_output 

# para manejar criptografia
from cryptography.hazmat.primitives import hashes, serialization 
from cryptography.hazmat.primitives.asymmetric import ec
from cryptography.hazmat.primitives.asymmetric.ec import EllipticCurvePrivateKey, EllipticCurvePublicKey
from cryptography.exceptions import InvalidSignature

#### Constantes

In [None]:
# Se designan los nombre a los campos usados en los diccioarios que representan credenciales

CREDENTIAL_ID = "credential_id"
USER_ID = "user_id"
SUBJECT = "subject"
CLAIM = "claim"
VALUE = "value"
TIMESTAMP = "timestamp"
MAYOR_DE_EDAD_CLAIM = "mayor_de_edad"

#### Claves y Estructuras Globales

In [None]:
# --- Claves de la autoridad (modo centralizado) ---
authority_private_key: EllipticCurvePrivateKey = ec.generate_private_key(ec.SECP256R1())
authority_public_key: EllipticCurvePublicKey = authority_private_key.public_key()

# Lista (set) de credenciales revocadas (identificadas por su UUID)
revoked_credentials: Set[str] = set()

# Para ‚Äúdescentralizado‚Äù, guardamos la clave p√∫blica del usuario en este diccionario simulado de "ledger"
# ledger_users = { usuario_id_str (UUID) : public_key_object }
ledger_users: Dict[str, EllipticCurvePublicKey] = {}

#### Funciones criptogr√°ficas genericas

In [None]:

def generate_credential_id_and_json(credential_data: Dict[str, Any]) -> Tuple[str, bytes]:
    """
    Genera un ID √∫nico para la credencial, lo a√±ade al diccionario y serializa a JSON.
    """
    cred_id = str(uuid.uuid4())
    credential_data[CREDENTIAL_ID] = cred_id
    credential_json = json.dumps(credential_data, sort_keys=True).encode('utf-8') # sort_keys para consistencia
    return cred_id, credential_json

In [None]:
def sign_credential_data(private_key: EllipticCurvePrivateKey, data_bytes: bytes) -> bytes:
    """
    Firma los bytes de datos proporcionados con la clave privada.
    """
    return private_key.sign(data_bytes, ec.ECDSA(hashes.SHA256()))

In [None]:
def verify_credential_signature(public_key: EllipticCurvePublicKey, data_bytes: bytes, signature: bytes) -> bool:
    """
    Verifica la firma de los datos con la clave p√∫blica.
    Retorna True si la firma es correcta, False si no lo es.
    """
    try:
        public_key.verify(signature, data_bytes, ec.ECDSA(hashes.SHA256()))
        return True
    except InvalidSignature:
        return False

WIDGETS Y L√ìGICA ‚Äì MODO CENTRALIZADO

In [None]:
# Variables de estado para centralizado
# Usamos Optional para indicar que pueden ser None inicialmente
current_central_cred_data: Optional[Dict[str, Any]] = None
current_central_cred_json: Optional[bytes] = None
current_central_signature: Optional[bytes] = None
current_central_cred_id: Optional[str] = None

In [None]:
# Widgets para el flujo ‚ÄúCentralizado‚Äù
nombre_input_c = widgets.Text(description="Usuario:", placeholder="Escribe un nombre")
edad_check_c = widgets.Checkbox(description="¬øEs mayor de edad?", value=True)
btn_emitir_c = widgets.Button(description="Emitir y Verificar", button_style='success')
btn_falsif_c = widgets.Button(description="Simular Falsificaci√≥n", button_style='danger')
btn_revoke_c = widgets.Button(description="Revocar Credencial", button_style='warning')
output_central = widgets.Output()

In [None]:
def emitir_y_verificar_central(btn: widgets.Button) -> None:
    """
    - Crea un objeto credencial.
    - Firma con la clave de la autoridad.
    - Verifica inmediatamente la firma y estado de revocaci√≥n.
    - Muestra estado: v√°lido/inv√°lido/revocado.
    """
    global current_central_cred_data, current_central_cred_json, current_central_signature, current_central_cred_id
    with output_central:
        clear_output(wait=True)
        usuario = nombre_input_c.value.strip()
        es_mayor = edad_check_c.value

        if not usuario:
            print("‚ö†Ô∏è Debes ingresar un nombre de usuario.")
            return

        current_central_cred_data = {
            SUBJECT: usuario,
            CLAIM: MAYOR_DE_EDAD_CLAIM,
            VALUE: es_mayor,
            TIMESTAMP: time.time()
        }

        current_central_cred_id, current_central_cred_json = generate_credential_id_and_json(current_central_cred_data)
        current_central_signature = sign_credential_data(authority_private_key, current_central_cred_json)

        print("‚úÖ [CENTRALIZADO] Credencial generada y firmada por la autoridad:")
        print(json.dumps(current_central_cred_data, indent=2))
        print(f"\n   ID de Credencial: {current_central_cred_id}")

        print("\nüîç Verificando firma y estado de la credencial...")
        is_signature_valid = verify_credential_signature(
            authority_public_key,
            current_central_cred_json,
            current_central_signature
        )

        if not is_signature_valid:
            print("‚ùå ¬°ERROR CR√çTICO! La firma de la credencial reci√©n emitida es INV√ÅLIDA.")
            print("   Esto no deber√≠a ocurrir y podr√≠a indicar un problema en la l√≥gica de firma/verificaci√≥n.")
            return

        if current_central_cred_id in revoked_credentials:
            print(f"‚ùå REVOCADA: La credencial (ID: {current_central_cred_id}) ha sido revocada.")
            print("   Aunque la firma sea v√°lida, el acceso no se permite.")
            return

        print("‚úÖ Firma de la credencial V√ÅLIDA.")
        if current_central_cred_data[VALUE]:
            print("‚úÖ ACCESO PERMITIDO: La credencial es v√°lida y el usuario cumple los requisitos (es mayor de edad).")
        else:
            print("‚ùå ACCESO DENEGADO: La credencial es v√°lida, pero el usuario NO cumple los requisitos (no es mayor de edad).")


In [None]:
def falsificar_credencial_central(btn: widgets.Button) -> None:
    """
    - Simula una alteraci√≥n de la credencial centralizada actual.
    - Intenta verificar la firma con el JSON modificado; debe FALLAR.
    """
    with output_central:
        clear_output(wait=True)
        if current_central_cred_data is None or current_central_signature is None:
            print("‚ö†Ô∏è Primero debes generar una credencial (Emitir y Verificar).")
            return

        # Simular modificaci√≥n maliciosa
        cred_falsa_data = current_central_cred_data.copy()
        cred_falsa_data[VALUE] = not current_central_cred_data[VALUE] # Invertimos el valor

        # Es importante recalcular el JSON porque el orden de las claves podr√≠a cambiar
        # o si se a√±ade/quita el cred_id_central, aunque aqu√≠ lo mantenemos igual
        # por simplicidad de la falsificaci√≥n.
        # Para una falsificaci√≥n "perfecta" que intente reutilizar el ID, el falsificador
        # tendr√≠a que asegurarse que el JSON es id√©ntico excepto por el valor.
        # Aqu√≠, simplemente generamos el JSON a partir del diccionario modificado.
        _ , cred_falsa_json = generate_credential_id_and_json(cred_falsa_data)
        # Pero usamos la firma ORIGINAL

        print("üõë [CENTRALIZADO] Intentando verificar una credencial falsificada:")
        print("   Contenido Original:")
        print(json.dumps(current_central_cred_data, indent=2))
        print("   Contenido Falsificado (solo 'value' cambiado):")
        print(json.dumps(cred_falsa_data, indent=2))


        is_falsa_signature_valid = verify_credential_signature(
            authority_public_key,
            cred_falsa_json, # Usamos el JSON de la credencial alterada
            current_central_signature # Pero la firma de la original
        )

        if is_falsa_signature_valid:
            print("üö® ¬°FALLO DE SEGURIDAD! La verificaci√≥n de la credencial falsificada fue EXITOSA.")
            print("   Esto NO deber√≠a pasar y sugiere un error en la l√≥gica o una debilidad.")
        else:
            print("‚úÖ DETECCI√ìN CORRECTA: La firma de la credencial falsificada es INV√ÅLIDA, como se esperaba.")


In [None]:
def revocar_credencial_central(btn: widgets.Button) -> None:
    """
    - Revoca la credencial centralizada actual a√±adiendo su ID a `revoked_credentials`.
    """
    with output_central:
        clear_output(wait=True)
        if current_central_cred_id is None:
            print("‚ö†Ô∏è Primero debes generar una credencial para poder revocarla.")
            return

        if current_central_cred_id in revoked_credentials:
            print(f"‚ÑπÔ∏è La credencial (ID: {current_central_cred_id}) ya estaba revocada.")
        else:
            revoked_credentials.add(current_central_cred_id)
            print(f"üõë REVOCADA: La credencial (ID: {current_central_cred_id}) ha sido a√±adida a la lista de revocaci√≥n.")

        print("\n   Cualquier intento futuro de verificar esta credencial indicar√° que est√° revocada,")
        print("   incluso si la firma criptogr√°fica sigue siendo t√©cnicamente v√°lida.")

In [None]:
# Conectar botones
btn_emitir_c.on_click(emitir_y_verificar_central)
btn_falsif_c.on_click(falsificar_credencial_central)
btn_revoke_c.on_click(revocar_credencial_central)

In [None]:
# Contenedor visual para centralizado
central_box = widgets.VBox([
    widgets.HTML("<h2>MODO CENTRALIZADO (Autoridad Emisora √önica)</h2>"),
    nombre_input_c,
    edad_check_c,
    widgets.HBox([btn_emitir_c, btn_falsif_c, btn_revoke_c]),
    output_central
])

WIDGETS Y L√ìGICA ‚Äì MODO DESCENTRALIZADO

In [None]:
# Variables de estado para descentralizado
current_user_private_key: Optional[EllipticCurvePrivateKey] = None
current_user_public_key: Optional[EllipticCurvePublicKey] = None
current_user_id_str: Optional[str] = None # UUID del usuario en nuestro ledger simulado

current_decent_cred_data: Optional[Dict[str, Any]] = None
current_decent_cred_json: Optional[bytes] = None
current_decent_signature: Optional[bytes] = None
# current_decent_cred_id no es tan crucial aqu√≠ como en centralizado para revocaci√≥n,
# pero se sigue generando y guardando en la credencial.

In [None]:
# Widgets para el flujo ‚ÄúDescentralizado‚Äù
btn_gen_keys = widgets.Button(description="1. Generar Mi Identidad (Claves)", button_style='info')
lbl_user_info = widgets.HTML("")
nombre_input_d = widgets.Text(description="Atributo 'Sujeto':", placeholder="Escribe un nombre (opcional)")
edad_check_d = widgets.Checkbox(description="Atributo '¬øMayor de edad?':", value=True)
btn_sign_d = widgets.Button(description="2. Firmar Mi Credencial", button_style='success')
btn_verify_d = widgets.Button(description="3. Verificar Credencial (Como Verificador)", button_style='primary')
btn_falsif_d = widgets.Button(description="4. Simular Falsificaci√≥n", button_style='danger')
output_decent = widgets.Output()

In [None]:
def generate_user_keys_decentralized(btn: widgets.Button) -> None:
    """
    - Genera un par de claves para el usuario (self-sovereign).
    - Simula el registro de la clave p√∫blica en un "ledger".
    """
    global current_user_private_key, current_user_public_key, current_user_id_str
    with output_decent:
        clear_output(wait=True)
        current_user_private_key = ec.generate_private_key(ec.SECP256R1())
        current_user_public_key = current_user_private_key.public_key()
        current_user_id_str = str(uuid.uuid4()) # Este ID es para nuestro "ledger" simulado

        ledger_users[current_user_id_str] = current_user_public_key

        pem = current_user_public_key.public_bytes(
            encoding=serialization.Encoding.PEM,
            format=serialization.PublicFormat.SubjectPublicKeyInfo
        ).decode('utf-8')

        lbl_user_info.value = (
            f"<b>Identidad Generada:</b><br>"
            f"<b>ID de Usuario (en Ledger):</b> {current_user_id_str}<br>"
            f"<b>Clave P√∫blica (PEM format):</b><br><pre style='font-size:10px; word-wrap:break-word;'>{pem}</pre>"
        )
        print("‚úÖ Identidad (par de claves) generada y clave p√∫blica 'registrada' en el ledger.")
        print("   Ahora puedes crear y firmar tu propia credencial.")

def sign_credential_decentralized(btn: widgets.Button) -> None:
    """
    - El usuario firma su propia credencial con su clave privada.
    - La credencial incluye el ID del usuario para que el verificador pueda buscar su clave p√∫blica.
    """
    global current_decent_cred_data, current_decent_cred_json, current_decent_signature
    with output_decent:
        clear_output(wait=True)
        if current_user_private_key is None or current_user_id_str is None:
            print("‚ö†Ô∏è Primero debes generar tu identidad (par de claves) en el paso 1.")
            return

        usuario_declarado = nombre_input_d.value.strip()
        es_mayor_declarado = edad_check_d.value

        current_decent_cred_data = {
            USER_ID: current_user_id_str, # Importante: para que el verificador encuentre la clave p√∫blica
            SUBJECT: usuario_declarado,   # El usuario decide qu√© sujeto incluir
            CLAIM: MAYOR_DE_EDAD_CLAIM,
            VALUE: es_mayor_declarado,
            TIMESTAMP: time.time()
        }

        _ , current_decent_cred_json = generate_credential_id_and_json(current_decent_cred_data)
        current_decent_signature = sign_credential_data(current_user_private_key, current_decent_cred_json)

        # Extraer el ID de la credencial del diccionario despu√©s de que generate_credential_id_and_json lo a√±ada
        cred_id_display = current_decent_cred_data.get(CREDENTIAL_ID, "N/A")


        print("‚úÖ [DESCENTRALIZADO] Credencial auto-firmada por el usuario:")
        print(json.dumps(current_decent_cred_data, indent=2))
        print(f"\n   ID de Credencial: {cred_id_display}")
        print(f"   Firma (hex):\n   {current_decent_signature.hex()}")
        print("\n‚û°Ô∏è A continuaci√≥n, un verificador puede comprobar esta credencial (paso 3).")