0
0
A identidade descentralizada (DID) desafia algumas suposições fundamentais sobre como a autenticação online funciona. Em particular, a ideia de que uma autoridade terceirizada é necessária para gerenciar os dados confidenciais que compreendem a identidade. A DID mantém a promessa de reduzir a dependência de tal autoridade e devolver algum grau de controle dos dados ao proprietário dos dados, com possíveis vaias de privacidade e acessibilidade.
Tradicionalmente, a identidade digital é mantida por organizações confiáveis para proteger essas informações em suas lojas de dados. Este modelo, ao longo do tempo, revelou-se sujeito a várias deficiências. Essas deficiências podem ser superadas da seguinte forma:
- As organizações estão sujeitas a hacking;
- As organizações nem sempre podem lidar com as informações em alinhamento com os desejos dos usuários;
- As informações do usuário estão espalhadas entre muitos provedores, aumentando o risco e reduzindo a conveniência;
- Os usuários não controlam seus próprios dados, incluindo a capacidade de revogar o acesso aos dados.
É claro que essas deficiências não são novidade, e muitas tentativas foram feitas para enfrentá-las. Em particular, o monoinstre-on federado (F-SSO ou identidade federada) é uma técnica que aborda alguns desses problemas. Quando um usuário acerta “Login com o Google”, por exemplo, ele está pelo menos reduzindo o inconveniente e o risco de manter suas contas em um nível fino em uma infinidade de serviços. Eles podem pelo menos esperar que o único provedor de login (SSO) em que eles estão confiando ofereça um grau consistente de proteção e privacidade.
No final, porém, tais abordagens são meias medidas porque existem dentro do mesmo quadro conceitual. Em vez de estabelecer quem somos e quais fatos são válidos sobre nós com diferentes organizações, poderíamos estabelecer essas coisas com a única organização que está legitimamente encarregada da validade de cada ponto de dados e, em seguida, usar esses fatos na interação com os provedores de serviços.
Para fazer esse esquema funcionar, precisaríamos de um armazenamento de dados globalmente disponível, mas seguro, ao qual todos os atores poderiam se referir ao estabelecimento de fatos acordados. Acontece que tal coisa existe na forma de tecnologias blockchain. O ID descentralizado depende dos recursos introduzidos pelas plataformas web3.
Identidade tradicional versus identidade descentralizada
Compare as figuras 1 e 2 abaixo para uma noção de alto nível de como esses dois modelos se contrastam. A Figura 1 é um olhar idealizado sobre como as coisas funcionam no modelo convencional, e a figura 2 é uma visão igualmente simplificada do processo DID.
A principal vantagem nesta comparação é que as informações de identidade são persistindo para o blockchain público, onde podem ser usadas de forma zero-conhecimento. Como zero confiança, zero conhecimento como termo é uma espécie de exagero. Significa mesmo: conhecimento mínimo.[ INSCREVA-SE AGORA para CIO 100: Conferência de Simpósio & Prêmios, 15 a 17 de agosto ]
Como funciona a identidade descentralizada
Sua identidade pode incluir o fato de sua cidadania; Digamos que você é um cidadão britânico. Esse simples fato de ser um cidadão britânico lhe dá direito a certos direitos. Os serviços podem conceder certas capacidades com base nessa verdade.
O modelo DID permite estabelecer um relacionamento entre sua chave privada (sua carteira blockchain) e sua cidadania. A autoridade emissora assina a verdade de sua reivindicação e, depois disso, terceiros podem verificar sua chave pública para ver que o titular da chave privada é de fato um cidadão britânico.
Ao estabelecer sua reivindicação de identidade desta forma, você pode fazer solicitações finas e anônimas aos serviços. Você pode obter quaisquer direitos e habilidades que dependem apenas da cidadania, revelando apenas que você é um cidadão britânico. Nenhuma outra informação acompanha essa afirmação (como seu passaporte, por exemplo). Além disso, nenhuma informação, mas sua chave pública é obtida pelo serviço no processo.
Em geral, os usuários podem fornecer sua chave pública (ou seja, seu endereço de carteira) e os provedores de serviços podem validar reivindicações com a autoridade emissora. É possível também que o sistema confirme com o usuário que deseja que seu endereço seja acessado para uma determinada reclamação de uma determinada entidade, bem como posteriormente revogar esse acesso. Tudo isso passa pela rede blockchain global, deixando o controle dos dados nas mãos do usuário através de suas chaves privadas.
Este é o sentido no qual o DID também é referido como identidade auto-soberana (SSI).
Potenciais desvantagens da identidade descentralizada
Curiosamente, a ID descentralizada não elimina a autoridade centralizada. De certa forma, dá mais ênfase a ele. Em certo sentido, a autoridade de identidade está mais intimamente integrada ao funcionamento da verificação de identidade em toda a web. Em outro sentido, apesar de sua natureza distribuída e resistente a adulterações, a rede blockchain ou redes que existem neste modelo são eles mesmos uma espécie de datastore central. Os computadores que executam esta rede são imaginados para serem distribuídos heterogêneamente, tornando-os fora do controle de uma única entidade. Ainda assim, arquitetônicamente esse datastore torna-se um repositório central de identidade.
Além disso, uma blockchain de identidade é um animal curioso, pois parece não ter um mecanismo claro para motivar operadores de nó, ao contrário de uma rede de criptomoedas, por exemplo. Esse pensamento leva a perguntas reais sobre o quão vulnerável uma blockchain de identidade pode ser para ataques bizantinos (como um ataque de 51%). Especialmente considerando a sensibilidade dos dados e o tipo de atores de estado-nação que possam estar interessados em comprometer tais redes, implementá-los com segurança não é trivial, para dizer o mínimo.
Algum tipo de modelo híbrido, no qual a premissa básica do blockchain de um livro distribuído está unida a um fornecedor confiável de identidade distribuída é mais provável. Talvez no futuro, os governos tenham uma mão nisso, mas por enquanto a big tech já está preenchendo esse espaço — testemunham Microsoft, IBM, Okta, bem como esforços para padronizar o W3C.
Ainda mais fundamental, além das questões de implementação, a ideia de atribuir uma identidade a cada indivíduo e, em seguida, usá-lo para fornecer uma compreensão universal de quem é capaz de fazer o que bate um pouco de fantasia totalitária. Em mãos erradas, tal coisa é o cenário potencial para um pesadelo distópico.
Claro, tais preocupações são remotas hoje. Questões de implementação grandes e pequenas são abundantes. Provavelmente, veremos uma gama de diferentes redes blockchain que são patrocinadas e dedicadas a diferentes indústrias e interesses. Uma rede de seguros de automóveis, por exemplo, na qual as seguradoras de automóveis participam para fornecer a comprovação do seguro de forma DID.
A interoperabilidade entre cadeias mantém a promessa de negociar entre diferentes blockchains, mas este novamente é um problema técnico não trivial.
Os defensores do DID apontam para uma potencial democratização da identidade, com uma melhoria concomitante no acesso a serviços para comunidades carentes. Uma bela apresentação desse argumento é encontrada aqui.
De outra visão, a filosofia do livre-como-na-fala infundida no ethos de software de código aberto pode ter uma influência poderosa sobre o DID. Esta é uma área interessante de interação entre alta matemática, alta tecnologia e a mente alta. Um princípio frequentemente visto nos movimentos descentralizados é a ideia de código como lei. Isso significa simplesmente que os detalhes de uma transação são logicamente explícitos e disponíveis aos participantes como incorporado no código-fonte.
Tal ideal espera que o código como lei elimine os bastidores de travessuras por maus atores no governo e em outros lugares. Mas o código como a lei já viu falhas proeminentes. Por exemplo, quando a rede Ethereum reverteu a blockchain para reverter um hack de US$ 50 milhões.
O estado de DID
Já hoje o DID está ativamente em uso com moeda digital. Pode-se provar e fazer uso de tokens com base em chaves privadas de carteira. Serviços como login com Ethereum (SIWE) tornam possível aproveitar as mesmas carteiras para autenticar com aplicativos web que usamos hoje como uma substituição de drop-in para credenciais padrão, como e-mail ou telefone.
Outra realidade do DID de hoje: a perda de chaves privadas tem graves consequências. A parte-chave pública do modelo DID é notavelmente resistente à adulteração — ela pode ser basicamente compartilhada livremente com quem quer que seja, estabelecendo suas reivindicações sem medo de que ele vaze informações. Esse é o ponto feito neste artigo onde o escritor descreve “chaves criptográficas não-phishable”. Em certo sentido, isso é verdade, mas se voltarmos nossa atenção para as chaves privadas, outra coisa é totalmente evidente: quando as chaves privadas de uma carteira são perdidas (um alvo tentador para phishers), a perda é severa.
O que quer que seja protegido por essa chave privada é iminentemente vulnerável. Mecanismos podem ser criados para mitigar isso, com certeza, mas então começamos a reverter um pouco da conveniência e poder que esperávamos alcançar com o DID em primeiro lugar.
Como grande parte da promessa do Web3, a realidade do ID descentralizado ainda está entrando em foco, e o que se vê é uma colaboração da tecnologia mais antiga com a mais nova, uma integração de pontos fortes e uma mitigação da fraqueza entre diferentes abordagens. Como Brendan Eich disse coloridamente, web3 é muito parecido com os primeiros dias da própria web, cheio de promessas e perigos, como “cidades fronteiriças são, antes de pavimentar as ruas e colocar as lâmpadas da rua”.
O DID certamente vai desempenhar um papel na identidade digital daqui para frente. Não é algo que possa ser ignorado com segurança. Também não vai simplesmente substituir o que é familiar da noite para o dia. É um ótimo momento para começar a olhar para as possibilidades inerentes ao DID.
FONTE: CSO ONLINE