Controle de ID on-line: Plataformas Blockchain versus governos e Facebook

Estamos vivendo em um momento de preocupação sem precedentes sobre identidade. Há muitos temores de que nossos dados pessoais estão sendo abusados ​​por terceiros distantes, enquanto esses dados se tornaram mais valiosos para nós em um momento em que nossas identidades e as políticas de identidade que baseamos em torno deles tornaram-se mais centrais para nossas vidas. É nesse contexto que a tecnologia blockchain apareceu e, embora sua aplicação além das criptomoedas ainda seja limitada, proteger nossas identidades e dados on-line com mais segurança parece ser um de seus aplicativos mais centrais.

Em seu esboço mais básico, o uso de blockchains na área de segurança de dados pessoais é simples: nossos dados são armazenados em forma criptografada em uma rede descentralizada, e podemos conceder a outras partes acesso (alguns) a esses dados pelo uso de nossas chaves privadas, da mesma maneira que usar nossas chaves nos permite enviar criptomoedas para outra pessoa. Em virtude dessa estrutura básica, a blockchain tech promete colocar o controle sobre nossos dados de volta em nossas mãos, numa época em que o Facebook e outros gigantes da tecnologia vêm abusando e usando-os mal. E vendo como as gigantes cripto como a Coinbase entraram recentemente na área de ID descentralizada, parece que já tem forte apoio e suporte dentro da indústria de criptomoedas.

No entanto, por mais sólido que isso seja em princípio, há uma variedade de desafios - alguns técnicos, alguns comerciais - que precisam ser superados antes que blockchains possam ser usados ​​em grande escala para proteger dados pessoais. As empresas que trabalham nessa área estão abordando esses problemas de diferentes ângulos, mas parece que, ao resolvê-los, é necessário um afastamento (parcial) dos ideais de descentralização "completa".

E mesmo quando os desafios técnicos forem superados, ainda haverá a questão do desmame das pessoas em plataformas como o Facebook, que — graças aos lucros da centralização — pode oferecer ao público um serviço sedutoramente "gratuito" e polido.

Controle e privacidade

Alastair Johnson, CEO e fundador da plataforma de e-commerce e ID Nuggets, Johnson entende as armadilhas de armazenar massas de dados de identificação em siloes centralizados muito bem.

"Hoje, a realidade é que os indivíduos não controlam seus dados pessoais de maneira significativa. Em média, uma pessoa tem dados pessoais — na forma de detalhes de cartão de pagamento, endereços residenciais, endereços de email, senhas e outros detalhes pessoais — espalhados por cerca de 100 contas on-line. Eles podem acessar esses dados, mas eles não possuem."

Por outro lado, o uso de tecnologia blockchain concede controle recém-descoberto ao usuário, que terá o poder de compartilhar seus dados de identificação apenas com as partes que eles aprovarem. Isto é conseguido principalmente através da utilização de "identificadores descentralizados" (DIDs), como explicado pela Sovrin Foundation, que está construindo uma plataforma blockchain destinada a fornecer aos indivíduos "identidade autossoberana" (ou seja, um ID que podem levar com eles plataforma para plataforma). Como observa em seu livro branco, "identificadores descentralizados" (DIDs) não apenas codificam informações que identificam alguém como, por exemplo, mulheres, 35 anos e residentes na França, mas também evitam a necessidade de uma autoridade centralizada para verificar a identidade. reivindicações.

"Um DID é armazenado em um blockchain juntamente com um documento DID contendo a chave pública para o DID, quaisquer outras credenciais públicas que o proprietário da identidade deseje divulgar e os endereços de rede para interação. O proprietário da identidade controla o documento DID controlando o associado. chave privada."

Em outras palavras, um protocolo para um blockchain adequado é criado, os usuários registram seus dados de ID nesse blockchain e, em seguida, usam suas chaves privadas para descriptografar esses dados para as partes escolhidas. Esse é o tipo de sistema também empregado pelo Nuggets, embora em seu caso ele seja chamado de "armazenamento de conhecimento zero", já que ninguém mais sabe o que seus dados dizem sobre você. E também é o sistema que está sendo trabalhado pela Coinbase, que em 15 de agosto anunciou a aquisição de sistemas distribuídos de inicialização com foco em ID. Tendo comprado a empresa sediada em São Francisco por uma taxa não revelada, ela agora desenvolverá um sistema de login descentralizado para sua própria plataforma de câmbio de cripto que permitirá aos usuários manter a propriedade de suas credenciais de identificação.

"Uma identidade descentralizada permitirá que você prove que possui uma identidade, ou que tem um relacionamento com a Administração da Seguridade Social, sem fazer uma cópia dessa identidade", escreveu em seu comunicado à imprensa.

Com essa configuração, há poucas chances de um escândalo ao estilo da Cambridge Analytica, em que os dados são compartilhados com grupos ou indivíduos indesejados, ao mesmo tempo em que concede um poder sem precedentes ao usuário individual, que provavelmente será tratado com muito mais respeito pelas empresas. os dados estão em oferta tão escassa. Conforme explicado por Johnson, isso proporciona uma grande melhoria em relação ao estágio atual dos negócios.

“[Os dados pessoais] são armazenados e controlados em uma série de bancos de dados centralizados controlados por instituições como varejistas, empresas de marketing, empresas de serviços públicos e empresas de relatórios de dados. Para fazer compras on-line, os indivíduos simplesmente autorizam esses diferentes órgãos a conectarem as diferentes informações que possuem para autorizar uma transação ”.

No entanto, embora o usuário individual dependa atualmente de centenas de empresas diferentes para armazenar e transmitir seus dados a fim de obter acesso aos serviços, a introdução da tecnologia blockchain reverte completamente o equilíbrio de energia. Ações de Johnson com Cointelegraph:

"As soluções baseadas em blockchain invertem esse modelo, para que os indivíduos possam armazenar e controlar seus dados associados a uma identidade digital. Ele não é armazenado em bancos de dados centralizados de organizações terceirizadas, pode ser armazenado no blockchain de forma descentralizada. Com o indivíduo controlando seus dados dessa forma, eles estão em total controle para idealmente não ter que compartilhar ou armazenar nada usando atestados, tokens ou referências e compartilhá-los somente se e quando eles decidirem fazê-lo."

No entanto, essa é apenas a ponta do iceberg, já que o uso da tecnologia blockchain para confirmar quem somos fornece muitos benefícios adicionais além do controle do usuário. Por um lado, aumenta a privacidade, uma vez que com muitas das plataformas sendo propostas, nossas credenciais de identificação nem serão reveladas para as partes e organizações que necessitam de sua verificação.

"As soluções baseadas em blockchain invertem esse modelo, para que os indivíduos possam armazenar e controlar seus dados associados a uma identidade digital. Ele não é armazenado em bancos de dados centralizados de organizações terceirizadas, pode ser armazenado no blockchain de forma descentralizada. Com o indivíduo controlando seus dados dessa forma, eles estão em total controle para idealmente não ter que compartilhar ou armazenar nada usando atestados, tokens ou referências e compartilhá-los somente se e quando eles decidirem fazê-lo. "

No entanto, essa é apenas a ponta do iceberg, já que o uso da tecnologia blockchain para confirmar quem somos fornece muitos benefícios adicionais além do controle do usuário. Por um lado, aumenta a privacidade, uma vez que com muitas das plataformas sendo propostas, nossas credenciais de identificação nem serão reveladas para as partes e organizações que necessitam de sua verificação.

Isso é habilitado por meio do uso de provas de conhecidmento zero (ZKPs), um método criptográfico que pode provar uma afirmação sem realmente compartilhar os dados ("conhecimento") através dos quais a reclamação é comprovada. As ZKPs estão sendo implementadas pelo Sovrin e também estão planejadas para uso por startups como Civic, Verif-y e Blockpass. Ao usá-los, essas empresas tornarão o processo de verificação de ID mais simples e eficiente, enquanto abrem a possibilidade de armazenar ID biométrico no blockchain. Eles pouparão as organizações que verificam nossos IDs a dor de cabeça de ter que armazenar dados pessoais com segurança depois de validá-los, o que elimina uma possível vulnerabilidade, já que essas organizações normalmente teriam mantido os dados recebidos em um banco de dados centralizado.

E embora nem todas as plataformas de identidade descentralizadas empreguem ZKPs, outras ainda usarão métodos funcionalmente semelhantes. Por exemplo, a SelfKey utiliza uma técnica que descreve como "minimização de dados", que "permite ao proprietário da identidade fornecer o mínimo de informações possível para satisfazer a parte confiável ou o verificador". Isso evita a necessidade de desenvolver tecnologias avançadas, como as ZKPs, apesar de levantar questões sobre o que significa "mínimo". SelfKey escreve que "as reclamações podem ser assinadas de forma que se possa escolher divulgar apenas um mínimo de informação". Mas sem uma especificação mais formal de "mínimo" e "escolha", é concebível que tais aproximações funcionais de ZKPs possam acabar revelando mais dados do que alguns usuários desejariam.

Segurança

Além de fornecer maior controle de usuário e privacidade, as plataformas baseadas em blockchain para verificação de ID são mais seguras do que suas contrapartes centralizadas. Isso porque, sendo distribuídos entre vários nós, eles não sofrerão com um único ponto de falha, como os sistemas de identificação tradicionais - por exemplo, bases de dados governamentais, redes sociais. Como tal, um ou dois nós de um blockchain podem se tornar inativos e os usuários ainda poderão usá-lo, enquanto a criptografia envolvida impede que quaisquer dados disponíveis publicamente sejam coletados para informações confidenciais.

Ao remover o ponto único de falha, as plataformas de ID descentralizadas formam uma grande quantidade de recursos do estilo Yahoo! quase impossível de hackear. Em vez de penetrar em um banco de dados centralizado que abriga todas as informações do usuário em um único local, os invasores terão que obter as chaves privadas para cada indivíduo, uma a uma, o que é extremamente improvável na prática. Alastair Johnson concorda:

"O principal benefício de um registro descentralizado de dados pessoais em um banco de dados centralizado é a segurança contra hackers. Todos nós estamos familiarizados com as principais violações de dados ocorridas nos últimos anos, como a da Equifax em 2017. os bancos de dados centralizados agem como imãs para os hackers, que geralmente precisam apenas aproveitar uma única vulnerabilidade para derrubá-los ou extrair dados deles. "

Por outro lado, os ledgers descentralizados não são tão sensíveis aos ataques cibernéticos. "O seqüestro de um único nó não interromperá o funcionamento contínuo do razão, já que os outros nós podem continuar a operar sem o envolvimento do nó comprometido e a rede exige consenso para provar os bloqueios".

Segurança é parte da razão pela qual o governo indiano, por exemplo, está se voltando para o blockchain para seu banco de dados AADHAAR — o maior sistema de identificação biométrica do mundo, contendo os registros de mais de um bilhão de pessoas — como o país tem sido vítima de hacks repetidamente desde o ano passado.

Com uma plataforma renovada, haverá uma variedade de benefícios de segurança. A transparência e a imutabilidade de blockchains significariam que os usuários podem ver quando seus dados foram acessados ​​e por quem, fornecendo assim um impedimento para qualquer hacker em potencial. Da mesma forma, essa transparência e imutabilidade podem ser violadas apenas no caso improvável de que um mau ator assuma o controle de 51% dos nós do blockchain, o que, em teoria, permitiria acessar dados e apagar os registros correspondentes desse acesso ilegítimo.

O AADHAAR atualmente não é baseada em blockchain, enquanto um projeto comparável do governo em Dubai para usar identificação baseada em blockchain no aeroporto internacional ainda está em construção. No entanto, um sistema de identificação liderado pelo governo do que a tecnologia de livro-razão distribuído (DLT) atualmente está na Estônia. Sua Blockchain KSI (Keyless Signature Infrastructure) forma a espinha dorsal de vários serviços eletrônicos, incluindo o sistema de e-Health Record, banco de dados de e-Prescrição, sistemas de e-Law e e-Court, dados e-Police, e-Banking, e-Business Cadastro e Cadastro Eletrônico.

Mais uma vez, o uso do KSI Blockchain fornece maior transparência do que os sistemas anteriores, pois detecta quando os dados do usuário foram acessados ​​e quando foram alterados. E como o FAQ do e-Estonia explica, é muito mais rápido que as plataformas tradicionais na detecção de mal uso de dados:

"Atualmente, as organizações demoram cerca de sete meses para detectar violações e manipulações de dados eletrônicos. Com blockchain [soluções] como a que a Estônia está usando, essas violações e manipulações podem ser detectadas imediatamente".

Não só as violações podem ser detectadas imediatamente ou rapidamente em um sistema de identificação baseado em blockchain, mas elas são mais prováveis ​​de serem detectadas mais rapidamente do que com uma plataforma centralizada devido ao seu acesso público e contínuo ao escrutínio de uma ampla gama de poltronas especialistas e profissionais, como destacou Paul Makowski, diretor de tecnologia da PolySwarm, em um postagem de blog de dezembro sobre inteligência de ameaças descentralizada:

"Geograficamente diversos especialistas em segurança proficientes em engenharia reversa ou capazes de fornecer uma visão única poderão exercitar seus conhecimentos a partir do conforto de sua própria casa ou onde (e sempre) escolherem trabalhar."

Padronização, interoperabilidade

No momento atual da história, os sistemas de identidade digital do mundo estão separados uns dos outros, separados de uma forma que força as pessoas a criar novas contas e novos dados para praticamente todos os serviços digitais que eles usam. Isso faz com que os dados pessoais prolifiquem em níveis perigosos, tornando as violações de dados e o cibercrime muito mais prováveis. Por exemplo, o custo do roubo de identidade chegou a US $ 106 bilhões só nos EUA entre 2011 e 2017, em um momento em que o consumidor médio tem um escalonamento de 118 contas on-line (pelo menos no Reino Unido, onde havia dados disponíveis).

Os sistemas de identificação digital baseados em blockchain oferecem uma saída para isso. Enquanto a maioria das cadeias estão atualmente separadas umas das outras, os padrões para identidade digital soberana estão sendo criados pela Digital Identity Foundation (DIF) e pelo World Wide Web Consortium (W3C). Da mesma forma, várias startups estão criando plataformas de interoperabilidade conectando blockchains separados, incluindo Polkadot, Cosmos e Aion. Ao trabalhar para alcançar um ecossistema no qual os padrões de uma plataforma de identidade sejam aceitos por todas as outras plataformas que exigem a verificação de ID, essas organizações poderiam reduzir drasticamente a quantidade de dados pessoais que as pessoas precisam produzir. Em vez disso, os usuários criariam uma conta com um serviço de ID baseado em blockchain, que eles usarão para registrar-se em uma série de outros serviços e sistemas.

INFOGRAPHICS

O CEO da Never Stop Marketing, Jeremy Epstein, disse em uma postagem de dezembro:

"Os padrões de interoperabilidade liberam capital e tempo para gerar valor. Além disso, oferece a possibilidade de agregar segurança (tornando todo o sistema mais robusto contra ataques) e permitir transações livres de confiança em cadeias".

A interoperabilidade do Blockchain ainda é um campo nascente, e diferentes organizações estão buscando diferentes abordagens para isso. No entanto, para citar um exemplo, a Polkadot pretende alcançar a interoperabilidade por meio de sua "multi-cadeia heterogênea", que possui três componentes fundamentais. Estes são "parachains", que são de facto os blockchains individuais ligados entre si, "pontes" que ligam cada parachain à rede Polkadot, e depois a própria rede Polkadot, que é uma "cadeia de retransmissão" das várias parachains a serem ligadas.

Outras rotas para a interoperabilidade divergem disso, com o Cosmos alcançando a comunicação entre as cadeias (interchain) através do uso do algoritmo consensual de Tendermint e com transações interchain monetizando da rede Aion. No entanto, supondo que uma plataforma de interoperabilidade receba adoção universal dentro do ecossistema de blockchain, os usuários descobrirão que precisarão registrar seus dados pessoais apenas uma vez. A partir de então, eles poderão fornecer a outras plataformas atestados de forma segura e rápida, sem precisar revelar seus dados às empresas e serviços que usam.

Escalando em direção a um novo tipo de blockchain

Os benefícios prometidos pelos sistemas de identificação baseados em blockchain - controle, segurança e padronização - são todos atraentes, mas ainda restam dúvidas sobre a viabilidade de tais sistemas e por quanto tempo teremos que esperar que eles sejam liberados em forma totalmente funcional. Somado a isso, há também a preocupação de que - apesar de todas as melhorias oferecidas pelas blockchains - como sociedade, ainda podemos permanecer ligados aos serviços on-line 'tradicionais' e às organizações responsáveis por eles, que podem resistir ativamente à adoção de plataformas descentralizadas que permitem nos manter os dados para nós mesmos.

Não é de surpreender que o maior problema com relação à viabilidade seja a escalabilidade, por isso muitas vezes os aquiles curam muitos projetos baseados em cripto. Dado que um serviço de identificação deve — por definição — ser capaz de atender a milhões de pessoas, qualquer blockchain que forme a base de tal serviço tem que ser significativamente escalável. No entanto, até agora, o blockchain mais popular para aplicativos descentralizados (DApps) — Ethereum — quase foi derrubado por um vídeogame popular no ano passado, o CryptoKitties. É por isso que a maioria das plataformas mencionadas acima não são construídas em nenhuma das blockchains mais conhecidas, mas em livros proprietários, alguns dos quais não atendem à definição convencional de blockchain descentralizado.

Por exemplo, Enigma é uma "plataforma de computação descentralizada" que foi projetada para uso com verificação de identidade, entre outras coisas. Conforme descrito em seu livro branco, ele resolve o problema de escalabilidade ao delegar todos os "cálculos intensivos para uma rede fora da cadeia". Essa rede também armazena todos os dados do usuário, enquanto o próprio blockchain armazena apenas "referências" a esses dados. Em outras palavras, a plataforma da Enigma não é realmente um blockchain — e enquanto sua rede off-chain ainda é distribuída (embora cada nó veja partes separadas dos dados gerais), isso não é descentralização da maneira que, digamos, o blockchain do Bitcoin é.

Algo semelhante poderia ser dito para outras plataformas de ID baseadas em blockchain: o KSI Blockchain da Estônia não é um blockchain completo que usa criptografia de chave assimétrica, mas sim um livro-razão-árvore baseado no Merkle. Enquanto isso, a rede Sovrin obtém consenso através de um conjunto limitado de "nós validadores", tornando-a menos descentralizada do que certas outras blockchains. Juntos, o que essas compensações revelam é que, se uma plataforma de ID deve ser escalonável (e também privada), ela precisa ser menos distribuída em certas áreas - e possivelmente menos segura como resultado. Mas o mais importante, do ponto de vista prático, também precisa redefinir e adaptar exatamente o que é uma 'blockchain', já que as cadeias mais familiares atualmente não estão à altura da tarefa de proteger e comunicar nossos dados pessoais em grande escala.

Interesses investidos

É por isso que até mesmo os projetos mais avançados têm roteiros que vão além de 2020, já que uma plataforma de ID viável exige um novo tipo de livro distribuído que preencha a necessidade de transparência criptográfica com a necessidade de privacidade individual. E mesmo que qualquer uma das plataformas acima atinja essa meta tão cedo, elas terão outro enorme obstáculo a ser esclarecido: o domínio de árbitros de identidade existentes, incluindo gigantes da mídia social como o Facebook, bem como governos nacionais.

Iniciativas governamentais

Por exemplo, os governos britânico e australiano têm investido milhões na construção de seus próprios sistemas centralizados de verificação de identidade nos últimos anos, tornando improvável que eles possam facilmente dar lugar a uma alternativa descentralizada. Da mesma forma, a ideia de o Facebook se renovar com uma plataforma verdadeiramente descentralizada - em que os usuários mantêm seus dados pessoais em segredo - é, francamente, impensável, já que a rede social fatura bilhões em lucro anual vendendo nossos dados ao maior lance. Ele também é amplamente usado para identificar pessoas on-line, por isso é improvável que ele abandone seu domínio para plataformas baseadas em blockchain facilmente.

Dito isto, um pequeno número de governos nacionais e estaduais (por exemplo, CIngapura, Illinois) vêm experimentando sistemas de identificação baseados em blockchain. Além disso, os números dentro da florescente indústria de cripto-ID estão esperançosos de que organizações públicas e privadas serão forçadas a descentralizar ou cair no esquecimento.

"Quando você opera um sistema centralizado que proporciona à sua organização controle e permite que você se beneficie dessa posição, é compreensível que você seja resistente a alterações", diz Alastair Johnson. "Mas quando há uma penalidade se essa informação for violada na forma de multas, perda de preço de ações e custo de recuperação da situação e todos os danos de PR que vierem com uma violação, as empresas começarão a ver que o modelo precisa fundamentalmente mudança."

Um fator-chave dessa mudança poderia ser o sentimento público, que já vem mudando na esteira do escândalo do Facebook-Cambridge Analytica. "A blockchain oferece benefícios claros para os clientes em termos de controle sobre dados pessoais e identidades digitais e eu espero que o reconhecimento público disso passe de uma coorte de early adopters para uma maioria inicial em um futuro próximo", diz Johnson. "Do outro lado, espero que as organizações que já sofreram violações em seus bancos de dados centralizados estejam entre as mais dispostas a adotar soluções baseadas em blockchain, à medida que buscam reconstruir a confiança com os consumidores."

Pode-se argumentar que serviços inteligentes, gratuitos e baseados em anúncios, como o Facebook, sempre serão mais atraentes para o usuário comum - uma visão fortalecida pelo fato de o Facebook ter registrado um aumento de 13% em relação ao ano anterior em abril, apesar de sua recente perda de usuários mais jovens, na esteira do escândalo de coleta de dados acima mencionado. No entanto, Johnson acredita que uma mudança gradual nas atitudes está em andamento.

"O movimento 'Delete Facebook' é um sinal de mudança, assim como o contínuo escrutínio de que a gigante de tecnologia está sendo submetida pelas autoridades americanas e européias. As pessoas estão começando a despertar para o fato de que seus dados pessoais são valiosos. Não apenas Se você puder bloqueá-los, ajude-os a monetizá-los por conta própria, isso também irá erradicar os tipos de perdas dispendiosas de dados pessoais que eu mesmo experimentei. "

E mesmo que a tecnologia blockchain ainda não seja amplamente comprovada fora do domínio das criptomoedas, ela começará a ganhar conversões assim que demonstrar sua superioridade em relação aos sistemas anteriores quando se trata de privacidade e segurança. "Neste momento, pode haver hesitação em adotar plataformas descentralizadas, mas seu senso comum de que informações pessoais devem ser possuídas e controladas pela pessoa e, por causa disso, elas prevalecerão".