No atual contexto, muitos serviços incorporaram a digitalização e validação de identidade, frequentemente utilizando endereços de e-mail ou número de telefone para transações pessoais e profissionais, como compras, consultas médicas e pedidos de refeições. A responsabilidade pelo atributo "e-mail" ou número de telefone recai sobre os provedores e o acesso indevido pode resultar em roubo de identidade, gerando impactos significativos em fraudes. Com a crescente digitalização, observa-se um aumento notável no risco de roubo de identidade e violação de dados, com consequências incalculáveis nas esferas pessoal e profissional.
A identidade descentralizada é um paradigma em evolução que requer padrões em todo o ecossistema e que desafia a centralização tradicional. No âmbito corporativo, a coleta de informações sensíveis exige uma gestão cuidadosa da identidade, sujeita a riscos e regulamentações de privacidade, como LGPD ou GDPR.
O que é identidade descentralizada (decentralized identity)?
A identidade descentralizada é uma abordagem que identifica e autentica pessoas, entidades, organizações sem um figura de autoridade central como provedor de identidade, no qual possui identificadores globalmente únicos (Decentralized Identifiers - DIDs). Nessa abordagem o titular consegue provar sua identidade fornecendo estritamente os dados necessários para determinado contexto, evitando assim o compartilhamento de todos os dados da identidade. Por exemplo: em uma determinada loja que oferece descontos para funcionários da empresa XPTO, só precisa verificar o e-mail e a empresa da pessoa, não sendo necessário compartilhar e exibir o CPF ou registro único.
O DID é armazenado em um registro dado verificável (Verifiable Data Registry (VDR), que é descentralizado e usa tecnologias como blockchain ou alguma outra rede pública que permite entradas únicas que representam uma identidade, utilizando identificadores descentralizados controlados pelo indivíduo, garantindo autonomia sobre seus dados. Vale lembrar que o Blockchain é uma tecnologia descentralizada que utiliza blocos públicos encadeados criptograficamente para garantir a integridade e a imutabilidade do registro, no qual a informação do bloco atual possui uma referência a informação do bloco anterior. Os dados que são armazenados no registro do dado verificável são relacionados ao esquema DID, identificadores e provas criptográficas. Dessa forma, nenhum dado pessoal é inserido, por exemplo, na rede Blockchain. Os dados pessoais ficam armazenados nas credenciais verificáveis que são armazenadas na wallet (carteira digital) do dono da identidade. A partir disso, o usuário pode definir quais dados e período que será compartilhado, criando assim uma Apresentação Verificável.
Abordagens comuns para DIDs incluem a especificação principal do W3C, transformando cada DID em dados criptográficos gerenciados por uma cadeia de texto de três partes: scheme, DID Method e o Identificado único.
Imagem 1 - um simples exemplo de Decentralized Identifier (DID). Fonte http://w3.org/TR/did-core
A Identidade Descentralizada por vezes pode ser chamada de Identidade Autossoberana (Self-sovereign identities - SSI), porém existem diferenças conceituais sutis entre elas. A identidade descentralizada é um conceito maior que foca no armazenamento descentralizado e distribuído, enquanto a identidade autossoberana enfatiza no controle e propriedade dos dados pelo titular. É possível ter uma identidade descentralizada que não seja autossoberana. Mas não se pode ter uma identidade autossoberana centralizada. Sempre será descentralizada. Na prática, ambos os conceitos têm sido implementados de maneira unificada, sendo que o termo "Identidade descentralizada" ou simplesmente "DID" tem sido conhecido e utilizado mais amplamente unificando ambos os conceitos.
Gestão de Identidade Tradicional Centralizada vs Descentralizada
No conceito de gerenciamento de identidade tradicional, é utilizado a gestão de atributos como nome, número de registro, número de documento, data de nascimento, endereço de e-mail etc para verificar um sujeito e autorizar algo. Aplicando esse mesmo conceito na identidade digital, trata-se de uma persona online que representa uma pessoa. Esse processo normalmente é realizado de forma centralizada, no qual é isolado por uma única autoridade, onde é feita a criação, utilização e validação. Em contraste a isso, a abordagem de identidade descentralizada permite que sujeitos gerenciem sua própria identidade com abordagem distribuída utilizando como base, tecnologias como blockchain, carteira digital e infraestrutura de chave pública (PKI).
É crucial distinguir a identidade descentralizada de abordagens centralizadas, como: identidade federada ou logon único (Single Sign On) e identidade digitalizada.
Single Sign On (SSO) / Logon único: permite que os usuários acessem vários serviços com um único login, garantindo assim credenciais únicas e centralizadas.
Federated Identity Management (FIM) / Identidade Federada: permite conectar sistemas de gerenciamento de identidade entre domínio ou organizações distintas, realizando assim a federação através da criação de relações de confiança entre as organizações, permitindo o compartilhamento seguro de dados de autenticação.
Identidade descentralizada: permite acesso distribuído autenticando uma identidade emitida por uma autoridade externa, armazenada em uma carteira digital.
Identidade Digital: representação digital de uma identidade, podendo ser a tradicional ou a identidade descentralizada (que por natureza é digital). O modelo tradicional possui informações estáticas e compartilham todas as informações da identidade, sem a possibilidade de selecionar qual dado será compartilhado.
[Para saber mais a diferença entre SSO e FIM, leia nosso artigo anterior.]
Como funciona a Identidade Descentralizada?
Para o funcionamento da Identidade Descentralizada, alguns elementos são essenciais no ecossistema. Dentre eles, estão:
Emissor (Issuer): emite a credencial ao usuário, atestando as reivindicações e concessões de credenciais assinadas digitalmente.
Dono da Identidade / Titular / Usuário: recebe e aprova a solicitação de credenciais obtidas do emissor e apresenta ao verificador. As informações (claims) das credenciais são assinadas por criptografia através da chave privada do usuário.
Verificador (Verifier): responsável por validar a credencial do titular de acordo com suas políticas de aceitação e verifica se a assinatura digital da credencial é autêntica
Descentralized Systems Trust Systems / Public Ledger: sistema onde os dados de um DID são armazenados como registro do dado verificável: esquema DID, identificadores e provas criptográficas. Dessa forma, nenhum dado pessoal é armazenado nessa rede (podendo ser, por exemplo, a rede Bitcoin, Ethereum ou Sovrin, baseada em blockchain). Dados pessoais não são registrados no Ledger, mas apenas na carteira digital do usuário.
O diagrama abaixo, retirado no site da Microsoft, ajuda a entendermos esse fluxo.
O titular/usuário solicita uma credencial verificável (VC - verifiable credentials) para um emissor (Issuer).
O emissor da credencial atesta que a prova fornecida pelo titular é legítima e precisa. Com isso, é criada uma credencial verificável assinada com o respectivo DID. Nesse contexto, o emissor pode ser representado, no exemplo acima, pela empresa Woodgrove que atesta que o usuário Alice é uma funcionária. Com isso, é emitido a credencial verificável (VC) para ela.
O titular define quais dados serão apresentados ao verificador, assinando uma apresentação verificável (VP - verifiable presentation) e envia ao verificador. A apresentação verificável é o conjunto de dados que o titular escolhe para ser apresentado ao verificador, preservando assim a privacidade dos dados. Por exemplo: para o contexto de uso pode ser necessário apenas o nome e data de nascimento, ocultado o CPF. Dessa forma, embora a credencial verificável contenha todos os dados, o titular escolhe apenas o que quer apresentar (VP) ao verificador e por qual período.
O verificador valida a credencial comparando com a chave pública existente no DPKI (Decentralized Public Key Infrastructure). Nesse exemplo, o verificador é representado pela empresa Proseware, que não precisa expandir seu limite de confiança para validar se Alice é um funcionário da Woodgrove. A Proseware pode usar o VC que Woodgrove fornece.
Se você desejar ver na prática uma demonstração de como funciona para o usuário, consulte o link abaixo no site da Ping Identity para ver passo a passo e simular um cenário:
Conclusão
A identidade descentralizada é uma abordagem disruptiva que ainda possui desafios para ser utilizado massivamente por se tratar de uma mudança de paradigma. Porém essa nova abordagem tem amplo potencial para tornar a gestão de identidades mais precisa e dar a autonomia necessária a quem é devido: ao dono e responsável da identidade.
Referências:
