Se você está interessado no mundo das identidades digitais, provavelmente já ouviu algumas das palavras-chave que circulam há alguns anos: “credencial verificável”, “carteira digital”, “carteira de motorista móvel” ou “mDL”. Esses termos, entre outros, fazem referência a um ecossistema crescente em torno do que chamamos de “credenciais digitais verificáveis”. Mas o que exatamente é uma credencial digital verificável? Pegue qualquer credencial física que você usa na vida cotidiana – sua carteira de motorista, seu cartão de seguro médico, uma certificação ou diploma – e transforme-a em um formato digital armazenado em seu smartphone que pode ser apresentado e verificado criptograficamente online ou pessoalmente. Essa é uma credencial digital verificável (VDC).
Crédito:
NIST
Embora o conceito pareça simples, implantar VDCs e entender seu impacto na segurança, privacidade e usabilidade na prática pode ser um desafio. Se você deseja implementar VDCs para sua organização ou empresa, pode achar difícil navegar pela terminologia, tecnologia, formatos de dados e protocolos que sustentam esse ecossistema novo e em rápida evolução. Por esse motivo, o Centro Nacional de Excelência em Segurança Cibernética do NIST (NCCoE) está publicando uma nova série de blogs para ajudar a desmistificar e destacar alguns dos padrões e tecnologias que compõem o ecossistema VDC. Esta série de blogs aproveitará a experiência coletiva das partes interessadas do governo e da indústria, incluindo parceiros que colaboram com o NCCoE em um projeto para acelerar a adoção de padrões e melhores práticas em torno de VDCs.
Em geral: as peças e partes do ecossistema VDC
Antes de entrarmos no âmago da questão de como o ecossistema de VDC funciona, é melhor definir alguns dos principais componentes e terminologia que você pode encontrar durante sua exploração no ecossistema de VDC.
|
Crédito: NIST |
Credenciais digitais verificáveis – Os VDCs são uma representação digital criptograficamente verificável de uma credencial ou atributos protegidos em um aplicativo dedicado, geralmente chamado de carteira digital. Os VDCs vêm em várias formas, incluindo credenciais do governo (por exemplo, carteiras de motorista), credenciais educacionais (por exemplo, diplomas), comprovante de cobertura, como seguro saúde, ou comprovante de certas características ou atributos pessoais (por exemplo, idade acima de 21 anos). Os VDCs podem ser apresentados online e pessoalmente. Por exemplo, você pode usar uma carteira de motorista móvel em seu smartphone para verificar sua identidade com um agente da TSA antes de embarcar em um avião ou apresentá-la a um navegador da Web online para verificar sua identidade antes de abrir uma conta. Fundamentalmente, os VDCs são sustentados pela criptografia de chave pública, tornando a credencial e as informações do usuário que ela contém criptograficamente verificáveis. |
|
Crédito: NIST |
Carteira Digital –Uma carteira digital é um aplicativo nativo em seu dispositivo móvel – embora, no futuro, também possa ser armazenado na nuvem – que armazena e protege seus VDCs. Se você estiver usando um dispositivo iOS ou Android, talvez já tenha uma carteira instalada da Apple, Google ou Samsung, mas carteiras adicionais também podem ser baixadas da sua loja de aplicativos. Dependendo da entidade que emite o VDC, os usuários podem precisar baixar um aplicativo de carteira compatível com o emissor da credencial antes que um VDC possa ser emitido para o telefone. |
|
Crédito: NIST |
Emissor –A entidade que emite o VDC para um usuário é geralmente chamada de “emissor”. Essa entidade provisiona a credencial e geralmente é a fonte autorizada que prova a identidade do usuário antes da emissão da credencial. O emissor assina criptograficamente o VDC para que ele possa ser verificado quando um usuário o apresentar a uma terceira parte confiável. |
|
Crédito: NIST |
Verificador –quando um VDC é apresentado a um site ou aplicativo, o verificador é responsável por duas etapas principais: primeiro, verificar criptograficamente a autenticidade e a integridade da própria credencial e, segundo, validar e avaliar as declarações ou informações específicas contidas na credencial. Esse processo de duas etapas garante a legitimidade da credencial e a relevância e aplicabilidade de seu conteúdo ao Relying Requisitos do partido. Antes que um VDC possa ser verificado, a chave pública do emissor deve ser obtida pela terceira parte confiável. O verificador pode se comunicar com um serviço de confiança para obter essas chaves públicas. Os verificadores também podem converter declarações de VDC em outros formatos baseados em padrões para consumo posterior por aplicativos de terceira parte confiável e sistema de gerenciamento de identidade. |
|
Crédito: NIST |
Serviço de confiança –Os serviços de confiança podem assumir várias formas, mas, em geral, atuam como um ponto de integração centralizado que permite que as partes confiáveis acessem mais facilmente as chaves criptográficas geradas pelos emissores. Em vez de cada parte confiável se comunicar com cada emissor, os serviços de confiança podem atuar como um modelo hub and spoke, permitindo que as partes respondentes se integrem a um único serviço e obtenham acesso a chaves criptográficas de vários emissores. |
|
Crédito: NIST |
Parte confiável –uma terceira parte confiável é uma entidade que depende da declaração de um VDC por um verificador, normalmente para processar uma transação ou conceder acesso a informações ou a um sistema. Exemplos de terceiras partes confiáveis incluem bancos, agências governamentais, instituições de saúde e muitas outras entidades que podem solicitar que você apresente seu VDC como parte de uma transação online ou presencial. NOTA: Os padrões no ecossistema VDC geralmente falam sobre verificadores e partes confiáveis de forma intercambiável. Nesta série de blogs, nós os discutimos separadamente para destacar a distinção entre as funções técnicas que os Verificadores fornecem ao processar um VDC e os processos e tecnologias de negócios da Parte Confiável (incluindo o IDMS) que dependem da saída do verificador. Consideramos essa distinção útil mesmo que, na prática, o verificador possa ser executado ou residir em sistemas de terceira parte confiável. |
|
Crédito: NIST |
Sistema de gerenciamento de identidade –Sistema de gerenciamento de identidade (IDMS) é um termo geral que se refere ao software responsável por lidar com uma variedade de diferentes funções relacionadas à identidade. Criação de contas, emissão de autenticadores, gerenciamento de acesso e recuperação de contas são apenas algumas das funções que podem se enquadrar no IDMS. No ecossistema de VDC, o IDMS geralmente é um serviço de back-end para um aplicativo Web e pode conter o código do verificador, integrar-se a um serviço confiável ou lidar com ações de conta que exigiriam que o usuário apresentasse seu VDC. |
Juntando tudo
Agora que definimos algumas terminologias, vamos falar sobre como todas essas peças e partes se juntam.
Crédito:
NIST
O diagrama acima é uma representação nocional de como as tecnologias dentro do ecossistema VDC podem se conectar e se comunicar. Agora vamos considerar um exemplo usando carteiras de motorista móveis (mDLs) para ter uma ideia melhor dos VDCs em ação. Os mDLs são um tipo de VDC que atua como uma representação digital da sua carteira de motorista física. Eles são emitidos pelo DMV do seu estado e contêm as mesmas informações de identidade da sua licença física, incluindo sua imagem que está arquivada no DMV. O exemplo abaixo descreve como você pode usar um mDL e destaca com quais componentes no diagrama acima você pode estar interagindo.
VDCs em ação
Imagine que você está tentando abrir uma conta bancária online. Quando você inicia a inscrição online, o banco solicita que você verifique sua identidade. Em vez de visitar uma agência, você pode optar por usar sua carteira de motorista móvel (VDC). Como você já possui uma carteira de motorista registrada em seu estado, o DMV do seu estado (Emissor) pode facilmente emitir um mDL por meio do aplicativo de carteira (Carteira Digital) que vem com seu sistema operacional móvel. Depois de seguir as instruções na tela e concluir uma correspondência de selfie, o aplicativo de carteira envia uma solicitação ao DMV do seu estado para que seu mDL seja emitido. Alguns momentos depois, você recebe um e-mail dizendo que seu mDL está pronto para uso e foi provisionado para seu aplicativo de carteira.
Voltando ao site do banco, o banco (Parte confiável) pede que você apresente seu mDL e mostra um código QR. Quando você escaneia o QR, seu telefone redireciona para o aplicativo de carteira, onde você executa uma autenticação biométrica e seleciona seu novo mDL para ser apresentado ao site do banco. Usando um serviço central (Serviço de confiança) o site do banco já baixou chaves públicas para mDLs válidas emitidas pelo seu DMV. Quando você present seu mDL para o site do banco, ele verifica criptograficamente (Verificador) seu mDL sem “telefonar para casa” para o DMV ou informar ao DMV que seu mDL foi usado para criar uma conta no banco. Por meio de uma conexão segura, suas informações de identidade contidas no mDL são fornecidas ao site do banco. O banco agora tem informações suficientes para confirmar sua identidade e agora você pode criar sua conta financeira (IDMS).
Embora você tenha concluído esse processo visitando o site do banco em um navegador de desktop, você poderia ter usado facilmente um navegador móvel ou baixado e usado o aplicativo móvel do seu banco.
Mas espere! Tem mais!
O cenário acima elucida como os VDCs se parecem na superfície, mas por baixo do capô, existem vários protocolos, formatos de dados e padrões de design que estão evoluindo atualmente dentro dos órgãos de padronização em todo o mundo. Em nossas futuras postagens no blog, detalharemos os vários elementos do ecossistema VDC para destacar onde esse trabalho está acontecendo, os diferentes padrões que estão sendo desenvolvidos, quais partes do ecossistema esses padrões abordam e as oportunidades e desafios abertos que ainda existem dentro do ecossistema VDC.
Se você quiser ser notificado quando nossas postagens de blog forem publicadas, considere Visitando nossa página e juntar-se à nossa comunidade de interesse para obter atualizações regulares sobre o trabalho do NCCoE.