Page tree
Skip to end of metadata
Go to start of metadata

Contextualização

Modelo Atual de Identidade Digital

No modelo atual centralizado, o usuário não é de fato dono de sua identidade digital. Ele não tem controle da mesma e pode, inclusive, ter o acesso à essa identidade negado ou bloqueado.

Há uma relação de poder, em que o usuário é sempre a parte menos favorecida.

O modelo atual pode ser basicamente dividido em dois:

Fig. 1 - Modelo de Identidade Digital Centralizado e Federado, adaptado de Preukschat e Reed, 2021.

Centralizado

O modelo centralizado apresenta diversos problemas e desafios, entre eles:

  • Fardo de lembrar e gerenciar diversos usuários e senhas;
  • Cada serviço tem suas próprias regras de privacidade e segurança;
  • Não há portabilidade de dados da identidade;
  • Bases de dados centralizadas que servem como honeypots para ataques e vazamentos;
  • ...

Federado

O modelo federado reduz a carga sob o usuário especialmente em questão ao número de contas necessárias para acessar serviços, mas também apresenta desafios:

  • Diversos IdPs;
  • “Nivelamento por baixo” de questões de segurança e políticas de uso;
  • Intermediador rastreando as atividades do usuário;
  • Não há portabilidade de dados;
  • Grandes IdPs são grandes;
  • Honeypots para crimes cibernéticos
  • ...


Modelo Pretendido para Identidade Digital:

Que a identidade digital do usuário exista de modo independente e que o mesmo tenha controle total sobre seus dados e compartilhamento dos mesmos: Modelo Centrado no Usuário.

Nesse modelo, a confiança é estabelecida entre pares e não há uma figura centralizadora das informações.


Fig. 2 - Modelo de Indentidade Digital Centrado no Usuário (Autor Desconhecido)

Nesse modelo distribuído/descentralizado, duas tecnologias são consideradas pilares para essa descentralização: Identificadores Distribuídos (DIDs) e Credenciais Verificáveis (VCs), apresentados nas próximas seções.


Identificadores Únicos

Conforme mencionado por Grüner et. al, 2020, a identidade digital descentralizada necessita de identificadores únicos, com um namespace global.  Nessa linha, os Identificadores Descentralizados ou Decentralized Identifiers (DIDs) são os identificadores que, segundo a recomendação proposta da W3C, possibilitam a identidade digital descentralizada.

De acordo com Drummond Reed (Reed, 2018), DIDs tem as seguintes características:

  1. São permanentes;
  2. São localizáveis (resolvable);
  3. São criptograficamente verificáveis;
  4. São descentralizados.

A especificação define uma sintaxe para esse identificador (o qual é uma URI), apresentada na Figura 3.. Diversos métodos DID podem existir, contanto que sigam as regras gerais de geração e que retornem um documento DID quando resolvidos.

Fig. 3 - Exemplo de um DID (W3C).

Métodos DID

Um método DID define como ler e escrever um DID (e seu documento) em uma blockchain ou rede descentralizada específica. Os métodos possuem uma especificação que define:

1. A sintaxe do identificador específico do método
2. Qualquer elemento específico do método do documento DID
3. As operações CRUD sobre os DIDs e documentos DID para o sistema alvo

Na tabela abaixo são apresentados categorias de DIDs, com uma breve descrição e exemplos.

Tabela 1 - Categorias de DIDs

CategoriaDescrição e exemplos
Baseados em Livros-Razão Distribuidos (DLTs)

Blockchain e outras DLTs - o objetivo é servir como um registro que não seja controlado por uma única autoridade. Ou seja, é normalmente público e globalmente acessível. As operações de CRUD de um DID são feitas através de transações no livro razão, assinados pelo controlador do DID.

Ex.: did:sov:WRfXPg8dantKVubE3HX8pw

Baseados em livros-razão middleware (Layer 2).

Adiciona uma camada adicional, como por exemplo um a tabela hash distribuída (DHT) ou um sistema de base de dados tradicional replicada, sob o topo da camada base da blockchain. As operações CRUD dos DIDs são feitas na segunda camada, sem precisar uma operação na camada base toda vez. Posteriormente são agrupadas em uma única transação na camada base, para reduzir custos e melhorar desempenho.

Ex.:  did:ion:EiClkZMDxPKqC9c-umQfTkR8vvZ9JPhl_xLDI9Nfk38w5w

Em pares (peer DIDs)

Não requer uma camada de registro globalmente compartilhada. O DID é criado e compartilhado com um par ou um grupo pequeno de pares. Esses DIDs são trocados via protocolo peer-to-peer, o que estabelece uma conexão privada entre os participantes.

Ex.: did:peer:1zQmZMygzYqNwU6Uhmewx5Xepf2VLp5S4HLSwwgf2aiKZuwa

Estáticos

DIDs são criados e localizados, mas não atualizados ou desativados. Normalmente não vão precisar de protocolos complexos ou infraestrutura de armazenamento.

Ex.: did:key:z6Mkfriq1MqLBoPWecGoDLjguo1sB9brj6wT3qZ5BxkKpuP6

AlternativosDIDs não classificados nas categorias anteriores

Documentos DID

Um documento DID contém os seguintes elementos:

  1. DID (para auto-descrição)
  2. Conjunto de chaves-privadas (para verificação) - descentralizando PKI com DID e documentos DID
  3. Conjunto de métodos de autenticação (para autenticação)
  4. Conjunto de endpoints de serviço (para interação) 
  5. Timestamp (para auditoria)
  6. Assinatura (para integridade)

Os Documentos DID são projetados para serem lidos por aplicações de identidade ou carteiras digitais, por exemplo.


Fig.4 -  Processo de resolução de um DID para recuperação do Documento DID associado.


A figura abaixo apresenta a conexão entre um Controlador e um DID/Documento DID.

Fig. 5 - Relacionamento entre Controloador, DID e Documento DID


DIDs representam apenas a camada inicial da pilha de identidade descentralizada (Reed, 2018).

Exemplos de Uso


Há diversas possibilidades de uso para DIDs e abaixo citamos duas delas, sendo a primeira relacionada ao seu uso com Credenciais Verificáveis.


Verificação de Credenciais Verificáveis:


Fig. 6 - Utilização de DID para verificação de VC.


Login de usuário sem utilização de usuário/senha:


Fig. 7 - Uso de DID para login de usuário.


Para uma lista mais completa de casos de uso, visite a página DID Use Cases.

Credenciais Verificáveis

Credenciais Verificáveis ou Verifiable Credentials (VC), de acordo com a recomendação Verifiable Credencials Data Model v1.1 da W3C, podem representar as mesmas informações que a credencial física representa: informação relativa ao sujeito da credencial (foto, nome, número de identificação, etc); informação referente  à autoridade que emitiu a credencial (agência governamental, cidade, etc.); informação do tipo de credencial (passaporte, carteira de motorista, ...) e assim por diante.

A ideia é que os emissores possam converter todas as credenciais que eles emitem hoje fisicamente em credenciais digitais (mas não limitado à isso), a fim de que o usuário possa carregar consigo em dispositivos digitais como os smartphones.

Observações:

  • Na especificação VC se utiliza a expressão propriedades do sujeito (subject properties), a qual tem o mesmo significado de atributos ou atributos da identidade ou informação pessoal utilizada em outros sistemas de gerenciament de identidade (Preukschat, A. e Reed, 2021).
  • VCs não necessitam de DIDs, porém combinar DIDs com VCs traz vantagem pra ambos


Fig. 8 -  Mapeamento de conceitos de Credenciais Verificáveis para o equivalente de credencial física, adaptado de Preukschat, A. e Reed,( 2021).

Exemplo mínimo de uma credencial verificável:


Fig. 9 -  Exemplo de uma credencial verificável mínima, na sintaxe JSON-LD

A especificação permite mais de um formato para representar VCs, desde que a sintaxe da credencial em si seja atendida:

  • Família JSON-LD, com LD Signatures ou BBS+ Signatures que possibilitam
    Zero Knowledge Proofs (ZKPs)
  • JSON com JSON Web Signatures, exatamente na forma de um JSON Web Token (JWT)
  • ZKP com Camenisch-Lysyanskaya Signatures (ZKP-CL) - Não explicado na especificação


Ao se comparar o gerenciamento federado de identidades com as credenciais verificáveis, se percebe que apesar de os termos das entidades envolvidas serem similares, a comunicação entre as partes é fundamentalmente diferente, conforme apresentado na figura abaixo. O usuário está no centro dessa comunicação, ao contrário do modelo federado, em que o IdP intermedia a comunicação.


Fig. 10 - Comunicação entre envolvidos nas Credenciais Verificáveis, adaptado de Preukschat, A. e Reed, 2021.

Na identidade federada, o Emissor (Issuer) das VCs pode ser considerado o equivalente ao IdP (Identity Provider); o Verificador (Verifier) ao SP (Service provider) e o Detentor (Holder)  ao usuário.

Além disso, a implementação de Credenciais Verificáveis precisa equilibrar  vários objetivos de preservação de privacidade. A especificação do Modelo de Dados V1.1 possui diversas considerações que devem ser analisadas sobre privacidade, considerando quanto mais ou menos a privacidade é considerada, conforme o espectro da privacidade apresentado na figura abaixo.


Fig. 11 - Espectro da privacidade, adaptado do Modelo de Dados de Credenciais Verificáveis v1.1

Concluindo

Fig. 12 - Pirâmide de confiança, adaptado de Preukschat e Reed, 2021.


As Credenciais Verificáveis são o ícone mais visível da infraestrutura de Identidade Autossoberana e DIDs permitem identificadores que possuam os atributos desejados de um identificador global único.


Um não depende do outro, mas juntos, são considerados os “pilares gêmeos” da padronização da Identidade Autossoberana. Conforme a FIgura 4, DIDs e Documentos DID estão relacionados ao estabelecimento de confiança, como no exemplo de recuperação de chave pública para validação de assinatura.

A Identidade Autossoberana é tanto ideologia quanto arquitetura: uma ideologia para reivindicar a dignidade e autoridade humanas no mundo digital e; uma arquitetura emergente de tecnologia projetada para dar suporte à esse movimento (Allen, 2020).

Identidade Autossoberana

Conforme apresentado na figura abaixo, diversas são as camadas que compõe uma arquitetura de Identidade Autossoberana.

Importante: Apesar do nome Autossoberana poder dar a impressão de que o próprio indivíduo certifica sua identidade, isso não é verdade. Embora o cidadão possa emitir credenciais para ele mesmo em determinadas situações, a identificação dos cidadãos continua sendo de soberania do Poder Público, para identifcações civis como nascimento, carteira de motorista, etc., assim como de instituições autorizadas a emitirem outras identificações como diplomas, por exemplo. Ou seja, a autossoberania do indivíduo está relacionada ao gerenciamento dos dados de sua identidade, não na emissão desses dados (López, 2021).

A Figura 13 abaixo apresenta um modelo em camadas para o modelo de Identidade Digital Autossoberana, destacando os pontos que foram trabalhados no presente estudo, os quais foram: DIDs (camada 1) e Credenciais Verificáveis (camada 3).

Fig. 13 - Pilha SSI, adaptado de Preukschat e Reed, 2021.


Links Complementares:

1) Lista de métodos DID registrados:  https://w3c.github.io/did-spec-registries/#did-methods

2) DIF Universal Resolver: https://dev.uniresolver.io/

3) Usos de Caso para DIDs: https://www.w3.org/TR/did-use-cases/#focalUseCases


Slides da apresentação: apresentacao-identidade-descentralizada.pdf

Link da apresentação:  https://eduplay.rnp.br/portal/video/165886

Referências:

Preukschat, A. e Reed, D. (2021). Self-sovereign identity. Manning Publications.

Tobin, A. e Reed, D. (2016). The inevitable rise of self-sovereign identity. The Sovrin Foundation.

Grüner, A., Mühle, A., Gayvoronskaya, T., e Meinel, C. (2020). A comparative analysis of trust requirements in decentralized identity management. 926:200–213. ISBN: 9783030150310 Publisher: Springer Verlag.

López, M.A. (2020). Self-sovereign identity: the future of identity: Self Sovereignity, Digital Wallets, and Blockchain. Inter-American Development Bank.

Reed, D. (2018). Decentralized Identifiers (DIDs): The Fundamental Building Block of Self-Sovereign Identity. SSI MeetUP. 

Allen, C. (2020). Ideology & Architecture of Self-Sovereign Identity | Odyssey Connect 2020. Disponível em: https://bit.ly/3AFD92X  . Acesso em: 27/04/2022. 

Young, Kalyia. Verifiable Credentials Flavors Explained, 2021. 

Verifiable Credentials Data Model v1.1. W3C. Disponível em: https://www.w3.org/TR/vc-data-model/. Acesso em: 21/04/2022. 


  • No labels
Write a comment…