Identidade Digital

A identidade digital é um tópico com muitos desenvolvimentos nos últimos anos, e a prova disso é a blockchain. Apesar de não ter sido concebida inicialmente com esse objetivo, apresenta-se como uma forte candidata para a representação digital dos dados relacionados a um cidadão, empresa, corporação ou até mesmo a um sistema. Tudo isto é conseguido num formato seguro, de confiança, com confidencialidade e integridade, e ainda extrema eficiência. A identidade digital, se devidamente implementada, pode proporcionar mais segurança e diminuir os custos e riscos de roubos de identificação.

A complexidade da validação de identidade nos dias que correm é um processo de identificação extraordinariamente complexo. Além disso, está sujeito a fraudes, e isso é um problema ainda sem resolução. Quando é enviado um e-mail, efetuada uma transação de valores, realizada uma compra online, ou até mesmo quando viajamos de avião, é indispensável comprovar a nossa identidade junto desses serviços.

Mas o quão complexo é este processo?

Uma identidade é uma informação que descreve uma “entidade”, ou até pode ser descrito como um pedaço de informação que valida uma “entidade”. Costumam enunciar-se três tipos de entidades:

• Os indivíduos (pessoas / cidadãos)
• As entidades legais (as empresas, corporações, entre outros); e
• Os bens (o carro, a bicicleta, os documentos, as bases de dados, etc).

Estas entidades têm os seus próprios atributos. Alguns exemplos para o caso de um indivíduo:

• Inerentes: A data de nascimento, a idade, a cor do cabelo, etc.
• Acumulados: O historial de um feito, as suas conquistas, referência músical, as preferências pessoais, os seus amigos, entre outros.
• Atribuídos: Passaporte, o número de telemóvel, as palavras-passe, isto é, atributos que não são de natureza intrínseca.

Esta pipeline de validação é composta também pelos sistemas que se propõem validar uma identidade. E eles têm regras. Por exemplo:

• Têm utilizadores: a entidade para quem o serviço fornece identidade (p.ex., o pedido de passaporte efetuado por um indivíduo).
• Provedor de identidade: A entidade que valida os atributos do cidadão a fim de emitir o seu passaporte (p.ex.: o governo português).
• Parceiros de confiança: A entidade que aceita a entidade com base nos provedores de identidade (check in e segurança no aeroporto).
• Órgãos de Governança: Acordo e legislação entre todas as entidades — Aceitação generalizada.

No exemplo acima, percebe-se que um o sistema de validação de identidade digital, no seu todo, é extremamente complexo, e mesmo assim, sujeito a falha humana. Um exemplo disso é a falsificação de passaportes.

Mas não ficamos por aqui, o processo de validação é difícil e demorado. As transações sem fronteiras (do inglês, border-less) são outro claro exemplo. Se uma entidade A, localizada em Portugal, transacionar um valor para uma entidade B, essa localizada em Espanha, e se essa transação for realizada diante a banca portuguesa e espanhola, a transação só será consumada depois de alguns dias e passando por uma pipeline bastante rigorosa. Apesar da demora, este tipo de transações tem um historial fraudulento, talvez por erro humano ou até computacional, ou ainda pela falta de capacidade de reunir um registo completo e eficiente de forma a que os sistemas tomem as decisões acertadas.

Qual será o próximo passo?
Minimizar a falha humana e computacional.

A Blockchain

Existe a necessidade de construir um historial de confiança, um registo íntegro, autêntico e de confiança. Um exemplo para ilustrar o que foi dito é uma entidade aceder a uma base de dados para validar uma identidade, e ter conhecimento de antemão que essa base de dados não foi comprometida algures no tempo, e que toda a informação representada é legítima e totalmente validada — true data.

A blockchain parece ser uma solução para esta problemática da identidade digital. Ela representa uma cadeia de confiança, segura, imutável e partilhada, i.e., qualquer tentativa de fraude é automaticamente identificada. Com isso, as entidades poderiam validar de forma quase imediata identidades, transações border-less e a emissão de passaportes também poderia ser acelerada. Esta tecnologia tem imensas aplicações hoje em dia. A melhor representação de uma identidade digital é a cadeia DNA de um indivíduo. Atualmente ainda existem muitos esforços nesta vertente. Não tanto de como introduzir a informação de DNA na blockchain, mas sim, como introduzir grandes quantidades de dados na cadeia (o DNA tem cerca de 6 GB de informação). Esta acaba por ser ainda uma problemática da blockchain — a capacidade de armazenamento.

Mais informação sobre a capacidade de armazenamento:

Inicialmente ela foi concebida para transações monetárias, portanto o valor a guardar das transações são pequenas contas de somar e subtrair. O tamanho inicial das transações foi desenhado para ter 1 MB. Depois de algum investimento por parte da IBM, já foram validadas transações com tamanho até 8 MB na cadeia. No entanto, isso traz um outro problema que é o tempo que uma transação demora para ser validada (ficam cada vez mais transações na mempool — à espera para ser validadas). Por exemplo, uma transação monetária em Portugal, entre carteiras do mesmo banco, pode demorar várias horas para ser validada e consumada. Com a evolução e os rápidos desenvolvimentos do tema, estão sendo encontradas soluções, como é o caso p.ex. do IPFS, de forma a permitir que a blockchain seja um modelo genérico para todo o tipo de paradigmas. A identidade digital é um deles.

Contudo, com a implementação da blockchain para a validação de identidades, as entidades podem consultar todo o historial de um indivíduo na cadeia, validar a sua identidade em segundos, com segurança, total eficiência, e principalmente com a minimização do erro humano.

A gestão da identidade digital tem levantado muitos problemas legais às sociedades contemporâneas. É fácil, para indivíduos ou instituições, interferir com a identidade digital de um cidadão. Os dados pessoais, apesar de salvaguardados, podem estar sujeitos a interferências criminosas – roubo de identidade, em que a persona virtual é utilizada por terceiros sem conhecimento do cidadão, roubo de dados tendo em vista a aquisição de dados que permitam acesso a contas bancárias, entre outros. O papel dos estados e instituições é por vezes pouco claro. Num mundo em que a identidade digital cada vez mais se sobrepõe à identidade física, torna-se cada vez mais fácil vigiar e controlar os cidadãos. A blockchain irá ter um papel preponderante nesse sentido.

_{[Artigo inicialmente publicado pelo autor aqui.]}

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks.  He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.

Read more here.