No início deste verão, milhões de pessoas começaram a usar uma nova tecnologia que pode remodelar a forma como gerenciamos, compartilhamos e usamos nossos dados.
Essa tecnologia é fundamental para a Certificado digital COVID da União Europeia (às vezes erroneamente chamado de "passaporte de vacinação" da Europa).
Em apenas alguns meses, essa identidade distribuída por tecnologia (ou 'identidade descentralizada') e credenciais especificamente verificáveis - foi disponibilizado para quase todos na UE. Por outro lado, demorou cerca de uma década para que Federação de Identidade ou Identidade Federada-o método de aplicação de padrões de identidade e protocolos de autenticação - para se estabelecer como uma prática recomendada de segurança cibernética.
Apesar do fato de que milhões de pessoas estão usando essas tecnologias para ajudar a controlar a disseminação da COVID, muitas pessoas - até mesmo muitos especialistas em identidade - não conhecem a identidade distribuída e as credenciais verificáveis. É por isso que eu estava tão animado para discutir essas inovações em uma palestra na KuppingerCole's Conferência Europeia de Identidade e Nuvem.
Porque, por mais importante que a identidade distribuída e as credenciais verificáveis sejam para o Certificado Digital COVID da UE, a verdade é que não chegamos nem perto de realizar seu potencial.
A identidade distribuída ajuda a resolver um problema que é quase tão antigo quanto a Internet: como um usuário pode compartilhar com segurança determinadas informações (talvez confidenciais) com visualizadores específicos?
É um problema que se tornou mais urgente à medida que a Web continuou a crescer: hoje, nossos dados e identidades tendem a estar sob o controle das grandes empresas de tecnologia que operam aplicativos e serviços centralizados. Esses dados tendem a ser comprados, vendidos e usados sem nosso conhecimento ou permissão, o que gerou preocupações significativas e novas regulamentações. Tim Berners-Lee, que é frequentemente creditado como o inventor da Internet, "lamentou a estado da web e como ela tem se desviado constantemente de sua visão original de um espaço digital com liberdade e igualdade."
A identidade distribuída muda essa dinâmica. Ela permite que os usuários especifiquem quais informações desejam compartilhar e com quem desejam compartilhá-las.
O Certificado Digital COVID da UE usa identidade distribuída para compartilhar uma prova digital de que uma pessoa foi vacinada contra a COVID-19, recebeu um resultado negativo no teste ou se recuperou da COVID-19.
É importante ressaltar que a identidade distribuída permite que o usuário somente compartilhar seu certificado e compartilhá-lo apenas com especificado usuários. O usuário - e somente o usuário - decide quem pode ver o quê.
A identidade distribuída ajuda os usuários a obter o controle de seus dados e compartilhá-los como e com quem quiserem. No caso do Certificado Digital COVID da UE, ele permite que os cidadãos da UE afirmem digitalmente que foram vacinados, receberam um teste negativo ou se recuperaram da COVID-19.
Mas, nesse caso, o controle da uso de nossas informações por si só não é suficiente. Também temos que verificar as precisão de uma reivindicação.
Credenciais verificáveis são especificamente a tecnologia que alimenta o Certificado Digital COVID da UE. Quando uso uma identidade distribuída para afirmar que fui vacinado e compartilho essa informação com outra pessoa, as credenciais verificáveis permitem que eu faça essa afirmação.
Estabelecer o modelo de confiança para isso é bastante simples e segue o clássico Infraestrutura de chave pública (PKI): o sistema permite que algumas questões autorizadas, como órgãos governamentais, emitam as credenciais.
Por exemplo, na Alemanha, o Robert Koch Institut (aproximadamente o equivalente aos Centros de Controle de Doenças nos EUA) emite a credencial verificável do meu Certificado. A credencial verificada condensada (e fictícia) a seguir mostra o tipo de informação que estaria em um Certificado: a alegação (recebi duas doses da vacina contra o coronavírus); sobre quem é a alegação (eu); quem emitiu a alegação (o Instituto Robert Koch); e uma "assinatura" (prova) que impede que qualquer outra pessoa modifique ou crie a alegação.
Posso adicionar essa reivindicação a um aplicativo de carteira digital e exibi-la quando necessário por meio do meu smartphone. Posso até imprimir o código QR e levá-lo comigo em um papel
Esta é a aparência de uma credencial verificada como um código QR que comprova que fui vacinado contra a COVID-19:
A RSA e a Janeiro Digital já usaram instâncias semelhantes dessa tecnologia anteriormente, inclusive em um grande piloto na Serviço Nacional de Saúde (NHS). Lá, usamos identidade distribuída e credenciais verificáveis para ajudar pacientes com demência, seus cuidadores e sistemas hospitalares a vincular e compartilhar registros de pacientes.
Devemos simplesmente usar o blockchain como base para afirmar que recebi a vacina contra o coronavírus? Em resumo: não.
Identidade distribuída pode trabalho em blockchain. De fato, a UE tentou originalmente usar vários blockchains sobrepostos e interdependentes como base do modelo de confiança. Mas para algo como um certificado de vacinação contra a COVID, é melhor e muito mais simples usar o modelo clássico de PKI. Isso permite restringir quem tem e quem não tem permissão para emitir um registro verificado: as agências de saúde podem, mas os indivíduos não. Esse mesmo modelo pode ser aplicado a outras documentações, como passaportes, carteiras de motorista ou outros certificados.
Ignorei alguns problemas fundamentais ao descrever a identidade distribuída e as credenciais verificáveis. Basta dizer que nenhum sistema é inerentemente perfeito: há maneiras pelas quais esse processo pode dar errado, geralmente como resultado de erro do usuário. Eu mesmo já me deparei com esses erros, geralmente quando alguém me pede para mostrar o código QR do meu certificado de vacinação, mas não consegue realmente digitalizá-lo com um aplicativo que possa validar o certificado de vacinação. Não tenho certeza sobre suas habilidades de leitura de código QR, mas, por mais que eu tente, não consigo decodificar um código QR e verificar a assinatura digital do comprovante em minha cabeça.
O outro erro típico é não verificar se o certificado de vacinação é de fato da pessoa que faz a declaração. Quando uso meu código QR, também preciso mostrar alguma identificação (como um passaporte) para estabelecer que a alegação sobre a vacina se aplica a mim. A pessoa que verifica meu código QR e meu passaporte deve verificar se o certificado realmente pertence ao indivíduo que está diante dela.
Mas há um valor real no fato de tantas pessoas usarem identidade distribuída e credenciais verificáveis: elas demonstram que há uma nova maneira de os usuários controlarem e compartilharem seus dados, que não precisamos nos contentar com os "jardins murados" do passado e que podemos criar algum nível de confiança na Internet. Elas indicam mudanças de atitudes sobre quem deve ter permissão para controlar, usar e compartilhar nossas informações.
O mais importante é que elas revelam que a identidade não é estática e, em vez disso, continua evoluindo.
