Gerenciamento de identidade Blockchain: desencadeando uma revolução na segurança de dados

Dos 3 bilhões de contas de e-mail do Yahoo comprometidas em 2013 aos dados de crédito e identidade de 143 milhões de americanos roubados do escritório de crédito Equifax (e uma infinidade de outros ataques), violações de dados em massa se tornaram muito familiares.

A frequência e a gravidade desses ataques, combinadas com o alto nível de segurança e sofisticação tecnológica de suas vítimas, provocaram indignação pública e questionamentos sobre a possibilidade de proteção suficiente contra futuras violações. A Gemalto, uma empresa internacional de segurança de dados, resumiu esse sentimento em seu Breach Level Index Report do primeiro semestre de 2017: “Cada vez mais organizações estão aceitando o fato de que, apesar de seus melhores esforços, as violações de segurança são inevitáveis”.

Enquanto criptomoedas e redes de criptomoedas como Bitcoin e Ethereum continuam inundando as manchetes, as futuras aplicações da tecnologia blockchain podem ser o que, em última análise, resolverá uma série de problemas perniciosos que afetam empresas e pessoas.

Alguns viram uma solução futura promissora para esse problema na ascensão da tecnologia blockchain. Como um artigo recente da Toptal Insights explica, a tecnologia blockchain refere-se a um registro de informações imutável e distribuído ponto a ponto. Cada “bloco” de informações contém um registro completo e preciso de cada transação, que não pode ser alterado uma vez verificado e é protegido criptograficamente. Uma característica definidora dessa tecnologia é sua estrutura distribuída, ponto a ponto, que teoricamente elimina a necessidade de intermediários como Yahoo ou Equifax para armazenar dados. Enquanto criptomoedas e redes de criptomoedas como Bitcoin e Ethereum continuam inundando as manchetes, as futuras aplicações da tecnologia blockchain podem ser o que, em última análise, resolverá uma série de problemas perniciosos que afetam empresas e pessoas.

Com relação à proteção de identidade, alguns argumentaram que a tecnologia blockchain pode eliminar a necessidade de intermediários e permitir que os indivíduos controlem totalmente suas identidades digitais, enquanto outros sugeriram que as empresas ainda podem processar dados pessoais, mas usam a tecnologia blockchain para acessar e verificar esses dados sem usar servidores facilmente invadidos. Este artigo explorará cada uma dessas soluções em maior profundidade, concentrando-se em um exemplo de cada abordagem. Ao fazer isso, obteremos uma compreensão da abordagem que cada empresa avança, seus desafios e seus méritos relativos.

O problema: centralização

Para entender como a tecnologia blockchain pode servir como uma solução de gerenciamento de identidade, é importante primeiro entender, em um nível básico, como as fraquezas do sistema atual se manifestaram.

A internet foi originalmente projetada como uma rede de conexões descentralizada ponto a ponto, o que significa que qualquer usuário pode se comunicar e se conectar com qualquer outro usuário sem depender de um intermediário. À medida que a internet se tornava cada vez mais privatizada, no entanto, intermediários terceirizados surgiram e se tornaram mais fundamentais para a estrutura da internet.

Os servidores podem (e, como sabemos, foram) invadidos, e a concentração de dados pessoais nas mãos de um pequeno grupo de empresas aumenta o risco dessas violações continuarem.

Um pequeno grupo de empresas ganhou controle sobre tudo, desde a emissão de certificados de segurança de sites até o patrulhamento do acesso à rede mundial de computadores e a curadoria de identidades online individuais. Essa centralização do controle permitiu que essas empresas acumulassem enormes volumes de dados pessoais, alojados em servidores, de todos que usam a internet. Esses servidores podem (e, como sabemos, foram) hackeados, e a concentração de dados pessoais nas mãos de um pequeno grupo de empresas aumenta o risco dessas violações semelhantes ocorrerem no futuro.

Blockchain Identity Management: uma solução teórica

A tecnologia Blockchain fornece uma solução potencial para o problema descrito ao permitir que as pessoas armazenem dados em um blockchain, em vez de servidores hackeáveis. As informações, uma vez armazenadas em uma blockchain, são protegidas criptograficamente e não podem ser alteradas ou excluídas, tornando as violações de dados em massa muito difíceis, se não teoricamente impossíveis.

Embora o armazenamento de dados em um blockchain como uma solução geral de alto nível pareça claro, existem várias abordagens teóricas para implementá-lo. Uma estratégia é eliminar a necessidade de intermediários, permitindo que os indivíduos armazenem suas identidades e dados diretamente em uma blockchain que um usuário carrega com ele em qualquer lugar online. Com as identidades digitais dos usuários armazenadas criptograficamente diretamente em um blockchain dentro de um navegador de internet, os usuários teoricamente não precisariam mais fornecer dados confidenciais a terceiros. Outra abordagem é permitir que os usuários codifiquem seus dados pessoais em um blockchain que possa ser acessado por terceiros. Essa abordagem não elimina totalmente a necessidade de intermediários, mas elimina a necessidade de os intermediários armazenarem dados pessoais confidenciais diretamente em seus servidores.

Abaixo estão dois estudos de caso que destacam essas estratégias.

Blockstack: Construindo uma Internet Nova e Melhorada

Em 2013, Ryan Shea e Muneeb Ali fundaram o Blockstack (originalmente chamado de aplicativo Onename). Usando a tecnologia blockchain, o Blockstack visa resolver os desafios de segurança mencionados acima, eliminando a necessidade de intermediários digitais e permitindo que os indivíduos mantenham controle total sobre seus dados. Em vez de depender de terceiros externos para armazenar dados, os indivíduos podem usar o navegador do Blockstack para executar aplicativos descentralizados, e as informações do usuário são criptografadas e armazenadas nos dispositivos pessoais dos usuários.

A missão mais ampla e fundamental do Blockstack é facilmente definida, mas dificilmente poderia ser mais ambiciosa: criar uma nova internet descentralizada. Como começa o white paper técnico da Blockstack, “A internet foi projetada há 40 anos e está mostrando sinais de idade”. O Blockstack visa substituir o que atualmente consideramos a Internet por um sistema mais seguro e, na verdade, mais alinhado com o que os designers da Internet originalmente imaginaram.

“A internet antecedeu o que chamamos de web… e isso foi projetado para ser descentralizado”, diz Shea. Um artigo recente da New York Times Magazine fornece uma explicação útil da arquitetura original da internet. A internet foi inicialmente projetada usando protocolos abertos – a comunicação entre computadores via internet era gratuita e não pertencia a nenhum órgão centralizado.

Mas, como descreve o New York Times, os arquitetos da internet “não incluíram alguns elementos-chave que mais tarde se mostrariam críticos para o futuro da cultura online”. Em particular, “eles não criaram um padrão aberto seguro que estabelecesse a identidade humana na rede”. Sem um mecanismo de marcação de identidade pessoal embutido na estrutura da internet, empresas privadas intervieram para preencher esse vazio.

“Mesmo os designers originais da internet agora concordam que perderam certas coisas importantes na arquitetura central. A maioria dessas coisas basicamente gira em torno da segurança.”

Como certos aplicativos, como Google e Facebook, permitiram que as pessoas estabelecessem e comunicassem identidades individuais online e ganhassem popularidade, a internet tornou-se cada vez mais centralizada em torno de um pequeno grupo de jogadores poderosos. Essa concentração de poder teve implicações econômicas óbvias e, mais relevante para a Blockstack, um impacto profundo em como os dados pessoais são armazenados, transmitidos e usados.

“Mesmo os designers originais da internet agora concordam que perderam certas coisas importantes na arquitetura central”, diz Ali. “A maioria dessas coisas basicamente gira em torno da segurança.”

O Blockstack corrige a falha de design da Internet original, criando a identidade individual diretamente no navegador Blockstack, permitindo que as pessoas se comuniquem diretamente sem o uso de terceiros, como o Facebook. Por meio de seu sistema de identidade descentralizado, sistema de nome de domínio e rede de armazenamento, a Blockstack visa dar às pessoas a propriedade total sobre sua pegada digital. Ao fazer isso, violações de dados centralizadas em massa podem teoricamente ser evitadas no futuro, pois não haverá mais a necessidade de terceiros armazenarem dados ou facilitarem a comunicação.

“Nos últimos anos, houve muitas violações, e essas violações ficaram maiores e mais graves ao longo do tempo”, diz Shea. “Nos próximos anos, veremos mais disso surgindo e ficará muito, muito claro para todos que, uma vez que você permita que os dados saiam, eles não poderão ser colocados de volta na caixa.”

A tecnologia Blockchain forma a base do produto e da visão da Blockstack. Conforme descrito no white paper mencionado acima, o blockchain “fornece o meio de armazenamento para operações e fornece consenso sobre a ordem em que as operações foram escritas”. O Blockstack usa especificamente o Bitcoin (a rede, não a moeda) como seu blockchain subjacente sobre o qual o restante da arquitetura do Blockstack é construído. Simplificando, a tecnologia blockchain permite que a internet do Blockstack permaneça descentralizada e segura.

No entanto, um desafio importante, conforme descrito no white paper, que a Blockstack enfrenta ao usar a tecnologia blockchain é o risco de que a blockchain possa ficar sob o controle de uma única entidade – em outras palavras, ela pode passar de descentralizada para centralizada.

O dimensionamento da rede Blockstack representa outro obstáculo. De fato, o sucesso da nova internet da Blockstack depende dos efeitos positivos da rede – quantas pessoas a usam e, mais especificamente, quantos aplicativos são desenvolvidos para ela. Atualmente, existem cerca de 15.000 desenvolvedores na comunidade Blockstack e mais de 76.000 nomes de domínio foram registrados. Em última análise, o Blockstack precisará de um ecossistema muito maior para atingir seu objetivo declarado.

A Blockstack levantou financiamento convencional de capital de risco e concluiu recentemente sua Oferta Inicial de Moedas, com tokens Blockstack de US$ 50 milhões alocados para investidores credenciados e outros US$ 50 milhões que serão alocados para investidores não credenciados que têm a opção de comprar tokens posteriormente. Embora ainda em sua relativa infância, o Blockstack apresenta uma solução potencialmente revolucionária não apenas para os problemas atuais de gerenciamento e segurança de identidade, mas também para a estrutura de poder monopolizada da Internet atual.

Civic: uma solução de proteção de identidade direcionada

A Civic, fundada em 2016, apresenta uma solução diferente de gerenciamento de identidade baseada em blockchain. Em vez de eliminar a necessidade de terceiros e criar um ecossistema de internet totalmente novo, como o Blockstack pretende fazer, o Civic procura trabalhar dentro de uma estrutura existente e se concentra especificamente no gerenciamento e segurança de identidade. Por meio da tecnologia blockchain, o Civic permite que indivíduos e empresas verifiquem suas identidades sem precisar armazenar esses dados em servidores centralizados e invioláveis.

Um artigo recente da Forbes explica esse processo. Um indivíduo primeiro se inscreve no aplicativo do Civic, que verifica a identidade do usuário por meio de registros oficiais (por exemplo, do governo). O Civic então criptografa criptograficamente essas informações e as armazena em uma blockchain. A partir daí, outras entidades que solicitam esses dados pessoais podem verificar as informações fornecidas por um indivíduo em relação às informações no blockchain da Civic, evitando assim a necessidade de qualquer parte armazenar dados confidenciais em um servidor centralizado.

Vinny Lingham, CEO e cofundador da Civic, também explica esse processo em seu blog, onde escreve frequentemente sobre criptomoedas e o futuro da tecnologia blockchain:

“Basicamente, o Civic valida suas informações pessoais e identidade, armazena em seu celular e somente você pode ver ou usar essas informações. Nunca é armazenado em nossos servidores! Isso significa que, se o Civic fosse hackeado, suas informações nunca seriam divulgadas porque simplesmente não as temos”.

O Civic enfrenta muitos dos mesmos obstáculos que o Blockstack: seu blockchain pode falhar e seu sucesso depende da adoção do usuário. Mas qual abordagem é mais promissora?

Alguns podem preferir a solução proposta pelo Blockstack, pois o objetivo extremamente ambicioso de criar uma Internet totalmente nova tem implicações profundas muito além do campo de segurança ou gerenciamento de identidade. O Blockstack apresenta uma solução elegante para muitos dos problemas mais urgentes da Internet. Sua abordagem tem o potencial de redefinir fundamentalmente a economia da internet e a forma como as pessoas interagem virtualmente.

Mas o escopo relativamente limitado e direcionado do objetivo do Civic pode ter o mesmo ou mais apelo para outros. O Civic não pretende mudar completamente ou substituir a arquitetura da internet. Ao evitar esse objetivo e, em vez disso, se concentrar no problema específico do gerenciamento de identidade – uma questão complicada e ambiciosa por si só, mas mais restrita do que criar uma nova internet – alguns podem argumentar que o Civic tem uma chance melhor de realizar com sucesso o que tem Disposto a fazer.

O crescimento e desenvolvimento deste espaço – e o mero fato de que essas soluções potenciais existem – devem fornecer àqueles que se preocupam com a segurança de nossos dados privados uma esperança de um futuro melhor na proteção de identidade.

A questão de qual abordagem acabará sendo mais bem-sucedida permanece indefinida. Ainda assim, o crescimento e desenvolvimento deste espaço – e o mero fato de que essas soluções potenciais existem – devem fornecer a nós, preocupados com a segurança de nossos dados privados, uma esperança de um futuro melhor na proteção de identidade.

A importância dos tokens

Blockstack e Civic oferecem soluções de gerenciamento de identidade baseadas no uso da tecnologia blockchain para descentralizar e proteger dados pessoais. Ambos também usam tokens (suas próprias criptomoedas) para alimentar e incentivar a utilização de suas plataformas. No caso do Blockstack, os desenvolvedores consomem tokens na criação de aplicativos na rede Blockstack e os usuários consomem tokens ao registrar nomes de usuário do Blockstack. Para o Civic, os usuários podem receber tokens para utilizar o aplicativo do Civic.

Esses tokens serviram como fonte de financiamento para cada empreendimento – US$ 50 milhões até agora para o Blockstack (a ser acessado assim que uma série de marcos de crescimento forem alcançados) e US$ 33 milhões para o Civic. Mas, à medida que reguladores e países inteiros reprimem a negociação de criptomoedas, o impacto total em projetos como Blockstack e Civic permanece uma questão em aberto.

Como Muneeb Ali observou em uma entrevista de dezembro de 2017, a Securities Exchange Commission (SEC) permaneceu em grande parte à margem durante o recente frenesi de criptomoedas: “Na verdade, sinto que a SEC está sendo muito inteligente sobre esse espaço… , e até agora todos os passos que eles deram... na verdade parecem ser a coisa certa a fazer”, disse Ali.

O ambiente regulatório, no entanto, permanece incerto, e a possibilidade de que os tokens não possam ser negociados tão livremente no futuro surge como um risco potencial que não deve ser ignorado para empreendimentos como Blockstack e Civic.

Ainda assim, esse risco não deve impedir a exploração do gerenciamento de identidade baseado em blockchain. É claro que é importante notar que a tecnologia blockchain não é uma panacéia. De fato, como Ali diz na entrevista mencionada anteriormente, a tecnologia blockchain funciona muito bem em alguns tipos de aplicativos e pode ser totalmente inadequada em outros. A segurança de dados e o gerenciamento de identidade representam casos de uso adequados para essa tecnologia e áreas que precisam desesperadamente de melhorias no futuro.