IETF — formatos y protocolos
El Internet Engineering Task Force (IETF) es la organización que define los protocolos fundamentales de internet desde 1986. Para SSI, IETF es relevante por dos razones: muchos estándares base (JWT, JWS, JOSE, OAuth 2.0) son IETF, y SD-JWT VC se desarrolla en IETF también.
Qué es IETF
A diferencia de W3C (que es web-centric) o OIDF (que es OAuth-centric), IETF es el cuerpo más amplio que define cómo funciona internet a nivel protocolar. Cubre desde IP y TCP (bajo nivel) hasta DNS, HTTP, SMTP, OAuth, y casi cualquier protocolo cross-platform de internet.
Estructura:
- Sin membresía formal. Cualquiera puede participar.
- Working Groups específicos por tema. Aprueban drafts vía consenso.
- Publica RFCs (Request for Comments) como documentos estándar.
- Process abierto: todas las discusiones son públicas.
Los RFCs relevantes para SSI
| RFC | Tema | Por qué importa |
|---|---|---|
| RFC 7515 | JSON Web Signature (JWS) | Base de cualquier JWT |
| RFC 7517 | JSON Web Key (JWK) | Formato de claves |
| RFC 7519 | JSON Web Token (JWT) | El formato base |
| RFC 8037 | CFRG ECC Algorithms (Ed25519) | Algoritmo de firma moderno |
| RFC 8259 | JSON Specification | Base de todo lo anterior |
| RFC 6749 | OAuth 2.0 | Base de OID4VC |
| RFC 7636 | OAuth 2.0 PKCE | Anti-interception |
El status actual
Drafts activos relevantes para SSI (no son RFCs todavía pero están avanzando):
| Draft | Tema | Estado |
|---|---|---|
| draft-ietf-oauth-selective-disclosure-jwt | SD-JWT base | Draft 09 (estable) |
| draft-ietf-oauth-sd-jwt-vc | SD-JWT para VCs | Draft 06 (estable) |
| draft-ietf-oauth-status-list | Token Status List | Draft 04 |
Cuando estos drafts se conviertan en RFCs (esperado 2026-2027), serán el estándar formal para SD-JWT VC.
Por qué IETF importa para gov
Tres razones por las que un proyecto gob debería conocer IETF:
Estabilidad
Los RFCs llegan a producción después de iteración masiva. Adoptar un RFC significa adoptar algo robusto.
Open process
Cualquiera puede leer las discusiones, levantar issues, contribuir. Más transparente que estándares cerrados.
Compatibilidad horizontal
Todo lo que IETF estandariza es compatible con todo internet, no solo con SSI.
Cómo participar
Cinco formas de participar en IETF como argentina:
- 1Leer drafts. Subscribirse a mailings de working groups relevantes (OAuth WG, RATS WG, etc.).
- 2Comentar drafts. Cuando un draft está abierto, comentarios son bienvenidos sin afiliación.
- 3Asistir reuniones públicas. Working groups tienen Zooms abiertos (típicamente bi-weekly).
- 4Implementar tempranamente. Una implementación argentina de un draft IETF es input válido para el proceso.
- 5Hacerse miembro activo. Sin cuota, requiere compromiso de tiempo.
Argentina tiene presencia limitada en IETF. Mayor participación argentina sería beneficiosa para representar perspectivas LATAM.
El relación IETF ↔ W3C ↔ OIDF
Los tres organismos trabajan en áreas conexas pero con foco distinto:
| IETF | W3C | OIDF | |
|---|---|---|---|
| Foco | Protocolos internet | Web standards | OAuth + OIDC |
| Output | RFCs | Recommendations | Implementer's Drafts |
| Velocidad | Lenta | Lenta-media | Más rápida |
| Membresía | Sin requisitos | W3C Member | OIDF Member |
Para credenciales verificables:
- W3C define el modelo conceptual (VC Data Model).
- IETF define formatos (SD-JWT, JWT) + algoritmos (Ed25519).
- OIDF define protocolos (OID4VCI, OID4VP).
Todos son necesarios.
La importancia de los RFCs
Una vez que algo es RFC, es stable y production-ready. Los gobiernos pueden referenciar RFCs en sus regulaciones con confianza de que el estándar no va a cambiar drásticamente.
Por eso es importante esperar a que drafts se vuelvan RFCs antes de hacerlos mandatorios en regulación. Adoptarlos pre-RFC es válido (eIDAS 2.0 referencia drafts), pero el riesgo de cambios remains.
Las herramientas IETF
Recursos públicos útiles:
- datatracker.ietf.org: todos los drafts + RFCs.
- tools.ietf.org: herramientas para validar IETF docs.
- mailman.ietf.org: mailing lists.
- GitHub mirrors: muchos working groups mantienen repos GitHub.
Para SSI, datatracker.ietf.org/wg/oauth es el working group principal.
Referencias
Relacionados
- ¿Quién decide los estándares de identidad digital? — el contexto general
- W3C — Verifiable Credentials Working Group — el organismo complementario
- OIDF — OpenID Foundation — el organismo OAuth