Em uma época em que ocorrem grandes violações de dados com freqüência, como os usuários da Internet e os consumidores on-line dono de contas digitais podem proteger suas informações de identificação pessoal (PII)? De acordo com Phil Windley, ex-CIO do estado de Utah e arquiteto corporativo e diretor de laboratório do escritório do CIO na Universidade Brigham Young, uma solução é parar de compartilhar os IDs completamente. Isso é especialmente importante para os identificadores mais vulneráveis: números de cartão de crédito,banco digital, contas bancárias, Seguro Social e outros IDs do governo e números de telefone celular.
As redes que usam a tecnologia de conta digital – os sistemas de software criptografados e que legitimam mutuamente, conhecidos como blockchain – agora podem ser projetados para eliminar a necessidade de arriscar o roubo de identidade. Para identificações convencionais, elas substituem identificadores desvinculados, verificando-os por meio de um livro distribuído, compartilhado digitalmente entre todos os participantes do sistema, que mantém um único registro contínuo de transações sem exigir a supervisão de um governo.
Para entender como essa rede de confiança funcionaria, considere um barman verificando a prova da idade. Nos Estados Unidos, para mostrar que você tem 21 anos, você exibe sua carteira de motorista e está razoavelmente confiante de que o barman não está memorizando seu nome e número de licença. Mas no mundo digital, você não gostaria de compartilhar algo como uma carteira de motorista apenas para provar sua idade. Esse tipo de credencial portátil amplamente aceita é o tipo de identidade que os ladrões mais buscam. Em vez disso, usando a abordagem da rede Sovrin, um sistema baseado em blockchain que Windley codificou e supervisiona, você pode compartilhar uma reivindicação mais específica e à prova de violação. Essa seria uma afirmação assinada digitalmente em um de muitos bancos digitais que seu governo estadual ou outro grupo credível faz sobre a sua idade em seu nome.
A abordagem de Sovrin é conhecida como “identidade auto-soberana”, que é uma forma de legitimidade pessoal conferida pela escolha de cada indivíduo sobre quais dados revelar. Se você é um membro da rede Sovrin, pode criar e manter seu próprio portfólio de declarações de identidade. Você escolhe quais elementos você compartilha em qualquer situação. Com a ajuda do portfólio, com o tempo, você pode possuir, criar e controlar sua identidade online. Você evita o risco de conceder a alguém acesso não autorizado às suas contas bancárias e de crédito, porque essas contas nunca são identificadas, exceto pelas declarações de identidade que você libera. Assim, as organizações com as quais você negocia ficam isentas da responsabilidade de possuir e proteger seus dados de identidade mais confidenciais.
Sistemas como o de Sovrin também podem ser soluções para os problemas de identificação de pessoas sem comprometer sua autonomia – um problema predominante para iniciativas humanitárias, esforços antitráfico e organizações que ajudam refugiados. Essas novas formas de identidade baseada em blockchain não podem ser usurpadas ou roubadas; eles podem ser usados para garantir que as pessoas certas estejam recebendo ajuda; e eles não estão sujeitos aos caprichos de um governo específico.
A Sovrin não está sozinha em seu esforço para permitir que indivíduos controlem e gerenciem o acesso aos seus dados pessoais. A Microsoft, por exemplo, começou a defender identificadores descentralizados, assim como Sovrin. Ambas as organizações são membros da Fundação de identidade descentralizada.
Windley é o presidente da Sovrin Foundation, que orquestra a administração da rede Sovrin. A organização sem fins lucrativos Sovrin Foundation não é proprietária da rede Sovrin. Em vez disso, um grupo em evolução de membros, como a autoridade de certificação InfoCert, atua como mordomo. O interesse de Windley na identidade centrada no usuário remonta a 2005 e o primeiro Internet Identity Workshop (IIW), que ele fundou com o autor Doc Searls e o consultor de identidade Kaliya Hamlin.
Como parte de sua série de entrevistas com líderes digitais, a Strategy + Business conversou com Windley por telefone em dezembro de 2017.
S + B: Por que as empresas estão interessadas em uma abordagem de identidade descentralizada?
WINDLEY: O mundo da identidade corporativa está procurando soluções melhores do que aquilo que eles mesmos podem construir. O céu sabe que ninguém sustentará um sistema de identidade bancária ou de saúde como o exemplo brilhante de como fazer identidade. Mas, por outro lado, eles não confiam em mais ninguém para fazer isso. Essas instituições estão no centro de um dilema.
Muitas empresas permitem que os clientes efetuem login usando seus identificadores do Facebook, Google ou Twitter. Mas essa é uma situação desconfortável, porque torna as outras empresas dependentes delas. Por exemplo, se o Facebook percebesse um bom motivo comercial para eliminar gradualmente esse recurso de login, provavelmente o faria imediatamente. É assim que o mundo funciona.
S + B: Como funciona o sistema de identidade Sovrin?
WINDLEY: Na maioria das vezes, quando as pessoas ouvem “sistema de identidade”, elas pensam em um nome de usuário e senha. Depois que o sistema tiver autenticado uma pessoa dessa maneira, ele poderá ter autorizações, listas de controle de acesso e políticas associadas a esse identificador. Eles determinam o que essa pessoa tem permissão para fazer ou como eles podem ser alcançados nesse sistema.
Essa é uma visão muito estreita da identidade. Se você observar como a identidade funciona na vida real, e não na Web, é muito mais rico. Todos nós carregamos vários documentos de identidade que são usados para diferentes fins. Por exemplo, na minha carteira eu tenho uma carteira de motorista do estado de Utah. Eu tenho cartões de crédito de vários bancos e outras instituições financeiras. Eu tenho um cartão de seguro de saúde. Provavelmente, tenho um cartão de fidelidade no supermercado local. Cada um é de alguma forma um documento de identidade com seu próprio nível de confiança associado a ele. Por exemplo, meu cartão bancário transmite a confiança necessária para ir a um caixa eletrônico, inserir um código e sacar dinheiro.
On-line, não pensamos em identidade tão amplamente. Então, quando você olha para esses novos sistemas emergentes de identidade auto-soberana como Sovrin, muitos deles estão tentando definir a identidade como um sistema holístico. Você claramente precisa ter identificadores, porque é assim que você saberá que está falando sobre uma entidade específica, seja uma pessoa, uma organização ou outra coisa. Mas, além desses identificadores, é necessário criar maneiras de criar credenciais verificáveis e confiáveis que se ajustem a esse amplo espectro de casos de uso, desde cartões de fidelidade a passaportes de um governo soberano.
S + B: Como a abordagem Sovrin gerencia esses identificadores?
WINDLEY: Como opção padrão, a menos que o usuário especifique o contrário, emitimos um novo identificador para cada relacionamento. Isso reduz o risco de correlação. Digamos, por exemplo, que eu tenha um relacionamento com meu empregador e um com meu banco. Se eu tiver identificadores diferentes para cada um deles, eles não poderão se reunir pelas minhas costas e trocar informações sobre mim.
Obviamente, se eu der a ambos o meu número do Seguro Social porque as leis o exigem, eles poderão usar esse número para correlação. Mas eles não podem fazer isso apenas pelo que Sovrin lhes fornece.
Os números de celular são outro exemplo. Não há realmente nenhuma razão para que cada um de nós tenha um único número de celular. Foi assim que foi projetada há um século. Em vez disso, você pode imaginar um sistema no qual eu possa criar um número diferente para todos com quem eu falo. Ninguém se lembra mais dos números de telefone ou os discou diretamente de qualquer maneira. Todos nós apenas clicamos em contatos. Portanto, os números de telefone podem ser realmente longos e não correlacionáveis, e o sistema ainda funcionaria bem.
Agora que estão surgindo sistemas que criam identificadores que não são correlacionáveis e ainda realizam tudo o que você precisa fazer, você verá o uso de identificadores correlacionáveis diminuir. Pelo menos essa é a nossa esperança.
Gerenciamento de marcadores biométricos
S + B: Biometria [marcadores de identidade marcados no corpo humano, como imagens de retina ou impressões digitais] são outro exemplo de informações correlacionáveis. Como a biometria é tratada na rede Sovrin?
WINDLEY: Nossa arquitetura nunca armazena informações de identificação pessoal no próprio razão. Obviamente, as PII incluem biometria. Portanto, a biometria é apenas uma subcategoria de um grande grupo de coisas que não armazenaremos no livro.
A biometria é muito útil no nível do dispositivo. O Face ID para iPhone e o Touch ID no Android ou iOS são bons exemplos de uso da biometria para acessar um dispositivo. Mas a biometria nesse caso é armazenada no dispositivo. Os dispositivos não os enviam para a Apple ou outros fornecedores. Eles os mantêm no dispositivo, onde não podem ser roubados ou usados contra você.
Um de nossos parceiros é a iRespond, uma ONG que usa tecnologia biométrica para ajudar os serviços humanitários a rastrear as identidades das pessoas às quais prestam serviços. Peter Simpson, diretor executivo da iRespond, faz parte do conselho de administração da Sovrin. A iRespond ajuda a acompanhar as imunizações na África e na Ásia, por exemplo. Seus registros são baseados em biometria – especificamente, nos padrões da íris em um olho – porque as pessoas que são deslocadas não têm necessariamente nenhuma outra forma de identificação. Eles não têm telefones celulares ou cartões de identidade; A biometria é a solução perfeita para eles. Não armazenamos os dados biométricos no Sovrin. O Sovrin é usado essencialmente para armazenar as outras informações necessárias para fazer esse trabalho. Por exemplo, criamos um novo identificador para cada relacionamento para evitar correlações.
Por que a privacidade dos dados é importante
S + B: Alguns governos nacionais e estaduais estão começando a usar o Sovrin, correto?
WINDLEY: Sim. A Iniciativa Blockchain de Illinois, um esforço do governo, anunciou que começará a emitir registros de nascimento usando o Sovrin. As certidões de nascimento são um dos documentos de identidade fundamentais baseados no governo que todos usamos para vários fins.
O governo provincial da Colúmbia Britânica no Canadá iniciou um sistema de registro de empresas. Todos os registros comerciais que eles fazem, eles estão colocando no topo da Sovrin.
E estamos trabalhando com um consórcio de líderes de governo, universidade e indústria da Finlândia para ver como o Sovrin pode ser usado lá para criar documentos confiáveis para vários propósitos, alguns dos quais são governamentais.
S + B: Reduzir a correlação parece essencial para esse tipo de iniciativa.
WINDLEY: Sim. Temos muitas oportunidades para reduzir a correlação. E o motivo importante é que a redução da correlação protege a privacidade. As pessoas dirão que a privacidade não é um recurso pelo qual as pessoas estão dispostas a pagar. Eu concordo, mas acho que é um recurso que eles precisam ter para ter outros recursos importantes.
Se você perguntar às pessoas se elas querem privacidade, elas dirão não, mas se você perguntar se elas querem controle sobre como suas informações são usadas, elas responderão que sim. Depende de como você formula a pergunta. E você não pode ter controle sem privacidade. Quando seus dados estão lá fora, eles estão lá fora. Você não tem mais controle. Portanto, a privacidade é uma daquelas coisas obrigatórias para qualquer sistema que pretenda dar às pessoas soberania sobre seus dados.