Identidade Auto-Soberana — Parte 3

Em busca de soluções

Por Juan Meleiro

No primeiro post da série exploramos rapidamente o conceito de “identidade”. No segundo post, buscamos encontrar os problemas rodeando sistemas de identidades físicas e digitais de hoje. Agora, vamos olhar para as soluções que a criptografia tem a nos oferecer.

Ao contrário de tecnologias novas que vem crescendo, como blockchain e smart-contracts, as soluções para a questão da identidade já existem a muito tempo. De fato, desde os anos 70 já se falava em esquemas de assinaturas digitais. Mas antes de falar sobre os detalhes criptográficos, vale a pena retomar os problemas que a solução deve de fato resolver.

Como definimos no primeiro post, identidades são compostas de afirmações e provas. Afirmações são pedaços de informação associados a quem porta a identidade. Provas são atestados, i.e. confirmações por uma parte terceira competente (uma universidade atestando um diploma; uma empresa atestado emprego; etc).

Também vimos no segundo post que os sistemas de identidade atuais sofrem com uma série de problemas que buscamos resolver com novas soluções. Resumidamente, buscamos um sistema que permita soberania do indivíduo sobre sua identidade (ou seja, nada de centralização em provedores de identidade); um sistema escalável, flexível (que permita eventuais novas aplicações) e que facilite mudanças de dados (não é necessário informar múltiplos hubs de informação); afinal, um sistema que funcione na Internet. Isto é, à distância.

Mas como tudo isso se traduz na prática? Podemos primeiro pensar nas afirmações: para ser escalável e flexível, é necessário que a informação seja estruturada. Assim, sistemas automatizados podem utilizar essas informações, o que, claro, permite muito mais escala. Além disso, convenções sobre esses formatos podem garantir possibilidade de uso em diversas situações, independente dos detalhes. Provas, por outro lado, não podem ser falsificáveis e devem ser verificáveis à distância. Se esperamos que o sistema empodere o usuário e garanta sua soberania sobre sua identidade, a informação deve ficar nas suas mãos. A maneira como podemos juntar todas essas exigências é usando assinaturas digitais.

Antony Lewis (2017) descreve o funcionamento do sistema da seguinte forma. Um aplicativo, chamado a carteira de identidade, seria iniciado e geraria um conjunto de chaves pública e privada. A seguir, qualquer que seja a informação que deseje atestar seria enviada à autoridade adequada, que então a verificaria e a assinaria digitalmente, retornando a mensagem assinada para a sua carteira. Por exemplo, poderia ter a informação “o dono desta chave pública tem mais de 18 anos”. Como está assinada digitalmente pelo governo, seria reconhecida como válida da mesma forma como um RG é reconhecido como válido. Nesse sistema, é possível ter uma granularidade muito maior das informações que se desejam enviar a qualquer terceira parte, e a informação é sempre guardada na carteira de seu dono.

É uma funcionalidade simples, de fato, mas resolve grande parte dos problemas que colocamos. Um usuário guarda suas próprias informações, e portanto é soberano sobre elas. É um sistema escalável e flexível, pois com uma porção de padrões técnicos definindo seu funcionamento qualquer organização poderia utilizá-los. Além disso, é muito fácil alterar informações; afinal, só existe uma cópia: a que está na carteira. E, finalmente, funciona a distância, pois depende somente de assinaturas digitais, e não de uma foto num documento.

Se você quiser comprovar que é dono de um CPF específico, basta pedir esse certificado à Receita. Se quiser seu diploma, pode conseguí-lo com a sua universidade. A melhor parte é que não é um sistema que requer implementação, no estrito senso, mas sim a definição de um padrão técnico e normas que o reconheçam. A partir daí, sua incorporação pode ser gradual, e usuários iniciais não teriam grandes custos — o sistema só se tornaria mais útil com o tempo e com a adoção.

A última lição que tiramos disso tudo é que às vezes não são necessárias tecnologias disruptivas para a inovação, mas apenas um olhar diferente para tecnologias que já estão muito bem estabelecidas.

¹ Algumas autoridades, possivelmente o governo, exigiriam inicialmente um atendimento presencial onde se associaria essa chave pública ao registro que já existe nos sistemas.

² O que Antony Lewis (2017) chama de “need to know, but no more”.

Referências

Antony Lewis. 2017. “A Gentle Introduction to Self-Sovereign Identity. Bits on Blocks.” May 16, 2017. https://bitsonblocks.net/2017/05/17/a-gentle-introduction-to-self-sovereign-identity/.