Image for post
Image for post
Juan José Domingo Miranda | Digital Architecture Director | everis Perú

Identidade digital e padrões

Ao contrário do que somos levados a pensar, a identidade não se limita a um número atribuído por um governo — é muito mais amplo e significa de forma simples “Quem é você? Há muitas respostas para essa pergunta, o que depende de quem está perguntando e o que se espera entre pergunta e resposta.

Além disso, a fonte da resposta desempenha um papel importante no resultado da conversa: em alguns contextos você pode afirmar “Tenho 21 anos”, enquanto em outros haverá a possibilidade dessa afirmação vir de um terceiro.

A explicação abaixo mostra três aspectos que comprovam a identidade diariamente.

Um sujeito identificado que faz uma alegação sobre si mesmo e espera um certo resultado em resposta a essa alegação. O sujeito pode ser um indivíduo, uma organização ou até mesmo um objeto.
Exemplo: “Eu (como um estabelecimento) estou autorizado a vender álcool. Eu espero que a aplicação da lei me permita fazer isto”.

· Um terceiro que vai tomar a decisão final em relação a essa expectativa. Esse terceiro pode ser um indivíduo, uma organização ou um objeto.
Exemplo: “Eu (como um oficial da lei) autorizo este estabelecimento a venda de álcool”.

· Uma credibilidade que é utilizada para provar tal alegação. Isto pode ter qualquer formato, desde o tom de voz por telefone (“Oi querida, aqui é a mamãe!”) até um certificado em papel emitido pelo governo, um ingresso para concerto ou uma combinação de nome de usuário/senha. O método utilizado por uma terceira parte para verificar a prova depende do tipo de prova.

Quer você esteja pegando um táxi, entrando em um prédio, comprando remédios, dirigindo uma motocicleta, se candidatando a um emprego, este padrão está presente em quase todos os lugares, todos os dias. Ainda assim, os emissores muitas vezes têm que reinventar a roda e criar novos formatos para as credenciais, para as informações dentro deles, para os métodos de verificação e até mesmo para como os sujeitos são identificados (nome, foto, identificação emitida pelo governo, endereço de e-mail, nome de usuário, número de funcionário etc.). Isto leva a uma grande perda de tempo, quase nenhuma reutilização de ferramentas e pouca interoperabilidade.

É aqui que surgem os padrões!

Um grupo de pessoas tomou a iniciativa de construir uma linguagem comum e formou 2 grupos de trabalho no W3C: Credenciais Verificáveis (conhecidas como VCs) e Identificadores descentralizados (conhecidos como DIDs). Pelo fato da identidade ser sensível, um importante ponto focal desses grupos de trabalho é que ninguém é colocado em uma posição de domínio. Em outras palavras, manter tudo o mais descentralizado possível para que possa ser adotado com segurança como um padrão da Internet.

O papel das empresas privadas

A everis é uma empresa de consultoria que ajuda grandes organizações a tornar a inovação digital parte de suas propostas de negócio e de sua própria cultura interna. Nós fazemos parte do grupo NTT Data.

Nos últimos anos, ficou evidente que a colaboração com uma mentalidade baseada em padrões abertos, em vez de uma estratégia de silos, é a nova abordagem à concorrência — muitas vezes chamada de “coopetição”. Contribuir enquanto empresa de consultoria é mais interessante, pois temos a oportunidade de participar, simultaneamente, do ponto de vista de um grande grupo de importantes negócios em todo o mundo.

Ao adotarmos a coopetição, e assim aumentamos nossa atividade em torno de uma área tecnológica especificamente projetada para a colaboração entre os atores com interesses divergentes: Blockchain, Tecnologia de Registro Distribuído (DLT, na sigla em inglês) e, de forma mais geral, arquiteturas digitais confiáveis.

Quando analisamos o que a Blockchain poderia oferecer às empresas, percebemos que a maioria dos casos de uso poderia ser construída sobre dois pilares: Identidade Digital e Tokenização. O tema deste artigo é sobre Identidade Digital uma vez que esta é a base para a capacitação das empresas através da colaboração.

Padrões de Identidade + DLTs para organizações

Os padrões de identidade do W3C chamaram a atenção da everis desde o ínicio (o DID ainda não era um grupo de trabalho adequado do W3C). Percebemos que existiam alguns aspectos interessantes que poderiam ser alcançados através da combinação de tecnologias de blockchain. Este é um enorme potencial para as empresas e organizações utilizarem o processo KYC (Know Your Client), fornecendo informações confiáveis para todo o mundo, possibilitando a criação de novos modelos de negócios, assim como o intercâmbio de informações entre organizações.

É interessante observar que tanto as Credenciais Verificáveis quanto os padrões de Identificadores Distribuídos são definidos de tal forma que você pode facilmente desenvolvê-los — pense nesses padrões como uma estrutura em vez de protocolos fechados — então decidimos contribuir não somente utilizando os padrões, mas também ampliando-os.

Na próxima seção explicaremos como as especificações VC e DID foram projetadas para serem ampliadas, e como a everis está desenvolvendo este trabalho.

Extensão de Credenciais Verificáveis com tipos de provas

Uma Credencial Verificável (VC) é um conteúdo legível por máquina composto pelos seguintes elementos:

· Um identificador único do emissor da credencial (por exemplo, seu DID, veja abaixo)

· Um conjunto de informações sobre o assunto. Por exemplo, data de nascimento, nacionalidade ou nome.

· O identificador do emissor da credencial.

· Uma prova (ou possivelmente várias provas) para tornar a credencial realmente verificável. Pode ser uma assinatura criptográfica ou qualquer mecanismo determinístico. O mecanismo atual é chamado tipo e é listado como um atributo do elemento de prova.

A especificação do VC não define realmente o tipo de prova. Ao contrário, ela deixa margem para qualquer pessoa documentar, publicar e implementar seus próprios tipos. Na everis, estamos definindo alguns tipos de prova. Uma das abordagens é aproveitar a blockchain Ethereum, e especificamente os contratos inteligentes. Isto é documentado formalmente, mas a idéia simplificada é que as credenciais de hash são armazenadas pelo emissor em um contrato inteligente seguro. Alguns dos benefícios dessa abordagem são que o emissor pode revogar a credencial a qualquer momento (adeus mecanismos CRL complexos), e é possível auditar sucessivas mudanças de status. Como somente hashes são armazenados na blockchain, a verificação somente é possível caso o conteúdo da credencial seja fornecido através de algum outro canal — nenhuma informação atual é vazada na blockchain.

O uso de apenas um hash por credencial introduz limitações em termos de escalabilidade, por isso estamos estudando algumas abordagens como o uso de árvores de Merkle ou assinaturas delegadas. Também estamos considerando o uso apenas de contratos inteligentes para revogação, uma vez que estes normalmente são muito menos frequentes do que as assinaturas originais.

Ampliação de Identificadores Distribuídos com métodos

As credenciais fazem afirmações sobre indivíduos, organizações, objetos etc. Isto significa que em algum momento você precisa de uma maneira de se referir a essas entidades por algum tipo de identificador único. Exemplos de onde os identificadores aparecem:

· Emissor de uma credencial

· Sujeito(s) de uma credencial

· Como opção, entidades adicionais são envolvidas, dependendo da semântica da credencial. Por exemplo, uma certidão de casamento pode apresentar a identidade das duas pessoas que se casam, mas também as testemunhas, o oficial religioso envolvido ou talvez uma igreja como organização etc.

Credenciais Verificáveis podem usar qualquer tipo de identificador. Entretanto, o problema com a maioria dos esquemas de identificação é que eles são geralmente controlados por uma outra pessoa. Por exemplo, o número de seu passaporte é atribuído por um governo. Assim como seu nome. Seu apelido provavelmente não é único, ou tem garantia de se manter único para sempre. Seu endereço de e-mail é atribuído e controlado por um provedor de e-mail (parte esquerda) e pela hierarquia DNS da Internet (parte direita), ambos podem tecnicamente tirar seu endereço de você.

E quanto aos DIDs? Um DID é um identificador global único que é garantido pelo controle de seu sujeito (graças aos ledgers distribuídos e à criptografia).

Assim como para as provas de VC, a especificação DID é como um meta-padrão. Ela não define um algoritmo atual para gerar identificadores descentralizados. Em vez disso, ela cria uma estrutura para que qualquer pessoa possa descrever novos métodos capazes de fazer isso. Tudo o que você precisa fazer é nomear seu método, descrevê-lo formalmente como um padrão que vai se sobrepor ao DID, publicá-lo para o mundo e começar a usar DIDs. E pontos bônus se você conseguir construir um software que realmente o implemente para ajudar outros a compreenderem os seus identificadores.

Na everis, criamos um método DID baseado no Ethereum e o chamamos de “GID”, ou “Global ID”. Quanto à prova de propriedade, estamos definindo um protocolo separado chamado “DID Connect”, derivado do OpenID Connect, porém descentralizado. Este um trabalho em desenvolvimento, então esperamos que você dê uma olhada, utilize, critique e contribua!

Nós acreditamos que a Identidade Digital é uma base poderosa para o fortalecimento das empresas através da colaboração.

Na everis, acreditamos que o código atual também é importante, assim, criamos o KayTrust, uma plataforma de segurança que reúne credenciais, DIDs e lógica de negócios.

O KayTrust é destinado a organizações privadas e públicas que gostariam de alavancar a Identidade Digital. Sua estrutura é super modular, pois sabemos que cada negócio tem necessidades diferentes.

Vamos apresentar os principais membros do pacote KayTrust.

A KayTrust Hub é uma loja de credenciais super inteligente e colaborativa. Que é capaz de armazenar e compartilhar credenciais para clientes e outras instâncias do KayTrust Hub, formando uma rede mesh, com base em critérios de busca e/ou regras específicas de compartilhamento. Isto possibilita modelos de negócios organizados assim como o compartilhamento de credenciais entre organizações — sempre com o consentimento do usuário por meio do OAuth 2.0.

O KayTrust Provider emite credenciais, desde a solicitação à aprovação, até a emissão efetiva — incluindo APIs e interfaces. O KayTrust Provider é capaz de emitir novos DIDs em tempo real, bem como emitir credenciais para os DIDs existentes dos usuários, e tem a capacidade de gerenciar o processo de recuperação para que os usuários nunca percam o controle de sua identidade, mesmo em caso de roubo de seu dispositivo.

O KayTrust Wallet é um aplicativo móvel descentralizado para manter suas credenciais sempre à mão. Está disponível para Android e iOS, e permite que você armazene suas credenciais e as compartilhe com facilidade. Sem utilizar serviço em nuvem! Também pode gerenciar múltiplas identidades, assim, suas estrelas do rock, seus gerentes entediantes e escritores de poemas ficarão alegremente separados.

O KayTrust Suite também inclui componentes como um visualizador gráfico de credenciais e SDKs, para que todos fiquem felizes.

Na everis, estamos entusiasmados por fazer parte deste movimento histórico. Além de ajudar nossos clientes, também estamos envolvidos em comunidades maiores como Alastria e LACChain, que buscam uma aliança de esforços e a adoção de padrões abertos para ajudar no desenvolvimento social e de negócios em qualquer lugar do mundo.

Saiba mais em: https://kaytrust.id/

Written by

Exponential intelligence for exponential companies

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store