Escrito por:

Robson Machado

Robson Machado, diretor de Riscos Operacionais da Via Internet S/A , proprietário da Nação Digital Tecnologia, presidente da OSCIP Nação Digital e coordenador do Comitê de Identidades Digitais Confiáveis da camara-e.net

Artigos de Identidades Digitais Confiáveis

publicado em 17/07/2017

A BlockChain é mesmo esse substituto milagroso à ICP-Brasil como certos segmentos defendem?

Outros Artigos

09

NOV

publicado 09/11/2021
Por Thaís Covolato*

Veja Também

13

MAR

publicado 13/03/2024
Associações manifestam preocupação com as sinalizações de setores do Governo Federal de acabar com a modalidade Saque-Aniversário do FGTS.

02

FEV

publicado 02/02/2024
O Conselho Consultivo Regional do PCI Security Standards Council (PCI SSC) reúne 34 empresas líderes no Brasil para promover a educação e conscientização sobre padrões e práticas recomendadas para a segurança de dados de pagamentos.

28

NOV

publicado 28/11/2023
Leia abaixo as informações sobre a Assembleia Geral Ordinária.

É fácil para alguém que vislumbra um conceito como o do “BlockChain” olhar para a ICP-Brasil, uma infraestrutura que vem sendo construída há 16 anos, e dizer que ela foi “construída em cima de um modelo excludente” ou que “cria um sistema discriminatório inaceitável”.

Também é fácil dizer que “Novas tecnologias como BlockChain permitem criar outros modelos de certificação digital, mais seguros, baratos, auditáveis e inovadores que o atual”.

O fato que é preciso ser entendido por todos é o de que a “BlockChain” não é uma solução milagrosa, mas uma mera ferramenta tecnológica para prover repositório e/ou confiança distribuídos.

A “BlockChain”, assim como outras tecnologias existentes, até pode ser utilizada com algumas vantagens para processos que envolvam transações que não necessitem centralização por algum ente, entretanto, está longe de possuir qualquer vantagem como mecanismo de identificação, principalmente quando se fala em identificação civil.

Antes de iniciar as explicações sobre a BlockChain precisamos entender que um repositório nada mais é do que o local onde armazenamos algo e fazer a comparação entre o conceito de repositório distribuído utilizado pela BlockChain com os de repositórios centralizados e descentralizados.

Quando você tem um único ponto de armazenamento em que todas as transações são guardadas, dizemos que se trata de um repositório centralizado. Esse modelo tem riscos pois, se esse ponto central for comprometido, todas as transações podem ser perdidas.

No caso de grandes corporações, bancos, seguradoras e, mais recentemente com o advento da “nuvem”, qualquer empresa que deseje manter cópias seguras de seus dados, vários repositórios são criados e interligados de forma descentralizada, garantindo que uma transação feita em um ponto, seja replicada para todos os demais pontos e mantendo múltiplas cópias dos dados. No caso de um ou mais repositórios serem comprometidos ou destruídos pode-se recuperar as informações das cópias mantidas nos demais.

No modelo distribuído, um usuário comum com seu microcomputador pode se tornar um ponto do repositório interligado aos demais, permitindo que todos repliquem entre si as transações realizadas ou armazenadas em qualquer um deles.

Nos dois primeiros modelos, o domínio do repositório é em sua totalidade, da organização que o detém. No modelo distribuído, o domínio do repositório é público, e por isso, faz-se necessário que haja um mecanismo que garanta que o detentor da cópia do repositório não o altere em benefício próprio ou de terceiros. É aqui que entra na verdade a “BlockChain”, que implementa um modelo de blocos encadeados matematicamente, garantindo a integridade dos dados contra a tentativa de alterações fraudulentas.

Precisamos agora, entender outro importante conceito utilizado tanto na BlockChain quanto na ICP Brasil: o de criptografia assimétrica.

Sem adentrar os detalhes matemáticos, o conceito geral é que através de um algoritmo criptográfico, podemos criar duas chaves matematicamente interligadas. Uma denominada chave pública e outra, denominada chave privativa, onde tudo o que uma encripta apenas a outra consegue desencriptar. A chave privativa, você mantem sempre segura consigo, sem nunca divulgá-la, já a chave pública é para ser distribuída a qualquer interlocutor.

Sabendo-se que o dado que uma chave encripta, apenas a outra desencripta, e, observando o conceito de que uma chave é pública e a outra é privativa, fica fácil entender que, a encriptação realizada com a chave pública tem por objetivo a confidencialidade, sigilo ou posse, já que qualquer pessoa pode encriptar algo com sua chave pública, mas apenas você é capaz de desencriptar o conteúdo e ter acesso a ele.

Por outro lado, utilizando os mesmos conceitos, a encriptação realizada por uma chave privativa tem por objetivo a identificação ou autenticação. Como apenas eu conheço minha chave privativa, sou o único que pode criar uma encriptação com ela, mas todos os meus interlocutores possuem acesso à minha chave pública, podendo utilizá-la para desencriptar minha mensagem e comprovar que ela foi enviada por mim.

De posse desse conhecimento, podemos agora entender, como e porque a “BlockChain” pode ser interessante para realizarmos transações, mas inadequada para processos de identificação civil.

Para Transações:

-----------------------

Para exemplificar o modelo de transações, podemos usar o caso de uso mais conhecido da BlockChain, que é a Bitcoin. A seguir temos uma resumida explicação de como ela funciona e como uma pessoa comum entra no mundo das Bitcoins.

Assim como na certificação digital, o primeiro passo é você criar um par de chaves (que vai servir como se fosse a sua “carteira digital”), uma chave pública, que você vai distribuir para que qualquer pessoa no mundo possa lhe enviar Bitcoins e outra privativa, que você vai guardar a “7 chaves” para que apenas você seja capaz de ter acesso àqueles bitcoins enviados por alguém.

Note que não há restrição de quantas “carteiras virtuais” você pode criar. Se você quiser, poderá gerar gratuitamente milhares de carteiras virtuais para seu próprio uso. Note também que, como é você quem cria seu par de chaves, e não há nenhum tipo de vinculação daquela chave à sua pessoa, isso gera anonimato, impedindo que qualquer ente ou sistema possa rastrear suas transações.

Feito isso, você já pode começar a transacionar bitcoins, basta que você divulgue uma de suas chaves públicas para alguém que possua bitcoins e esta pessoa poderá enviar bitcoins para você.

Detalhe: até aqui, tudo é feito independentemente da existência ou não da BlockChain, usando os mesmos conceitos de criptografia assimétrica usados pela ICP-Brasil.

Bem, então, onde entra a “BlockChain” nisso tudo? Nesse momento, a “BlockChain” nada mais é do que um repositório distribuído com segurança criptográfica para o registro das transações entre dois usuários.

Se João possui 10 bitcoins e deseja transferir 3 para Antônio, isso ocorreria da seguinte forma:

1) João acessa o endereço da Bitcoin que é um repositório descentralizado que utiliza o conceito da BlockChain e busca seus bitcoins.

2) Com a chave privativa de sua carteira ele descriptografa seus valores (nesse momento, ele passa a ter acesso a todos os seus bitcoins guardados por aquela chave criptográfica)

3) Então, João cria 2 transações de transferência, uma de João para Antônio, no valor de 3 bitcoins e outra de João para João (ele mesmo) no valor da diferença/saldo no valor de 7 bitcoins. (desta forma o sistema saberá que ele sacou todos os seus 10 bitcoins, transferiu 3 para Antônio e os outros 7 do saldo, para ele mesmo, eliminando a necessidade de controle dos saldos anteriores).

4) João então criptografa os 3 bitcoins com a chave pública de Antônio e os 7 bitcoins restantes com sua própria chave pública e envia de volta para a BlockChain do Bitcoin. Note que, se essa não fosse uma regra de negócio da Bitcoin, nada o impediria de enviar esse registro para qualquer outro repositório, mesmo um repositório centralizado por um banco, por exemplo.

5) Por fim, Antônio acessa o endereço do repositório BlockChain da Bitcoin, e lá pode verificar que há uma transação de João para ele no valor de 3 bitcoins, transação esta que estará disponível independentemente de uma instituição única que a represente.



Identificação e Autenticação:

---------------------------------------

No caso de identificação e autenticação, a BlockChain utiliza um conceito de cadeia de confiança denominado “Web of Trust”, o que é bastante semelhante ao conceito de repositórios distribuídos explicado anteriormente.

Precisamos, portanto, entender esse novo conceito antes de podermos formar nossa opinião final.

Comparando-se as possibilidades de cadeias de confiança, temos 3 tipos básicos: A confiança Centralizada (utilizada para objetivos internos em empresas ou organizações), a confiança em Hierarquia (utilizada pela ICP-Brasil e por governos ao redor do mundo) e a confiança Distribuída (também conhecida como “Web of Thurst” utilizada pela BlockChain).

 

Na confiança Centralizada, não há necessidade de procedimentos de identificação muito rígidos, já que a própria organização identifica seu membro e lhe concede um certificado de confiança.

A confiança em Hierarquia, por sua vez, atente a vários requisitos legais necessários à Identificação Civil. O mais importante, diz respeito ao fato de que a identificação civil do cidadão é de competência estatal, o que justifica o fato de a AC Raiz da ICP Brasil ser gerida por órgão ligado à Casa Civil da Presidência da República. Além disso, este modelo permite um rígido controle de toda a cadeia pela AC Raiz, mantendo total domínio do delegante sobre seus delegados no processo de identificação.

Já na confiança Descentralizada, a identificação é baseada nos relacionamentos de um indivíduo e suas redes sociais, em princípio, sem qualquer tipo de conferência documental, coleta biométrica ou mesmo, reconhecimento legal do processo de identificação pelo Estado.

Ressalta-se que, mesmo que algum provedor de identificação que utilize a BlockChain tenha a intenção de incluir entidades de conferência no processo, a mesma teria que estar subordinada aos requisitos formais, bem como aos entes estatais que detém a competência para realizar a identificação civil. Isso, de certa forma, apenas criaria uma estrutura paralela à da ICP-Brasil utilizando um modelo tecnológico semelhante.

Considerando-se os fatos apresentados, em lugar de imaginar esses modelos tecnológicos como concorrentes, poderíamos vê-los como complementares, já que um usuário que possui certificado digital ICP Brasil não precisaria criar novos pares de chaves ou carteiras virtuais para suas transações em qualquer sistema que utilize BlockChain. Bastaria que fossem utilizadas, dentro de tais sistemas, as mesmas chaves pública e privativa criadas para o certificado ICP Brasil e para as quais houve uma confiável identificação do usuário. Ou ainda, ao realizar uma assinatura digital ICP Brasil e armazená-la na BlockChain, juntamente com os artefatos que permitem validá-la, criaríamos a garantia inequívoca de que aquela assinatura ocorreu naquele momento ou em momento anterior à armazenagem, fazendo com que a BlockChain funcionasse como uma “âncora” temporal semelhante à dos carimbos de tempo.

O fato é que, do ponto de vista da identificação civil, o mais relevante a se considerar é que, independentemente do uso de uma ICP ou de uma BlockChain, há problemas específicos que não são de cunho meramente tecnológico, mas que devem ser tratados para garantir a segurança jurídica às respectivas identificações. E para cada um desses problemas, há a necessidade de se manter estruturas processuais que garantam a integridade ao modelo, tais como: identificação presencial, conferência documental, coleta biométrica, controle de validade do certificado (que evite que um certificado comprometido continue sendo utilizado por terceiros), controle de óbito (que evite que outras pessoas continuem utilizando os certificados de pessoas falecidas), conferência documental para pessoas jurídicas e reconhecimento de seus representantes, enfim, há uma infinidade de mecanismos que precisam ser providos. Todos esses mecanismos possuem custos para sua manutenção, seja para manter uma dezena ou 200 milhões de certificados ativos, e a escalabilidade é o mais importante fator que pode diluir o custo final envolvido.

Portanto, precisamos entender que o grande problema a ser discutido não é o modelo tecnológico adotado, a quantidade de usuários que possuem certificados, ou mesmo, o custo que a certificação digital possui para ser fornecida a 2,5% da população (que apenas a utiliza para se relacionar com a Receita). O grande desafio é identificar o que pode ser feito para que novas aplicações de serviços públicos e privados que utilizem a certificação digital sejam disponibilizados aos cidadãos, tornando a certificação digital popular, aumentando esse volume para até 100% da população e, consequentemente, diluindo progressivamente os custos das infraestruturas utilizadas e das que venham a ser identificadas como necessárias à garantia de segurança jurídica do modelo.

* Por Robson Machado, diretor de Riscos Operacionais da Via Internet S/A , proprietário da Nação Digital Tecnologia, presidente da OSCIP Nação Digital e coordenador do Comitê de Identidades Digitais Confiáveis da camara-e.net.

comments powered by Disqus
Nossos
Selos
Clique Valide
Nossos Associados
Associe-se

Conheça as vantagens de ser nosso associado.

Câmara Brasileira da Economia Digital (camara-e.net) | CNPJ: 04.481.317/0001-48
Edifício Paulista - Av. Paulista, 2202. 7º andar. Conjunto 73, CEP 01310-300 - Consolação – São Paulo/SP
Contato: (11) 3237-1102 | E-mail: info@camara-e.net
Camaranet todos os direitos reservados - 2024