Nesta apresentação que fiz na 5ª Bitconf em Brasilia em outubro de 2017 discorro sobre a maturidade do mercado de certificação digital no Brasil, a partir da Infra Estrutura de Chaves Públicas do Brasil (ICP-BRASIL) e as dificuldades de adoção dos primeiros sistemas de identidade baseados em diversas tecnologias Blockchain.
2. De onde falo ?
• Da perspectiva de uma profissional da industria de tecnologia atuante
deste os anos 70, expectadora curiosa das transformações do mercado
• Que conviveu com a Reserva de Mercado e a proibição de compra de
equipamentos, a integração nacional pelas telecomunicações e a criação da
Telebrás, os 5 dragões e a terceirização da industria americana na Ásia
• Que viu o fim da reserva de mercado, a privatização das
telecomunicações, a chegada da Internet, do sistema de pagamentos
brasileiro, a criação e desenvolvimento da ICP-BRASIL
• Que acompanha o mercado de criptografia e segurança em INTERNET
desde 1997 e se encantou com a chegada do BITCOIN e é entusiasta
das muitas potencialidades do BLOCKCHAIN
3. Porque esta palestra ?
• Refletir sobre a possibilidade de sucesso das muitas iniciativas de
gestão de identidades por Blockchain
• Comentar algumas das iniciativas mais interessantes de sistemas
baseados em Blockchain que prometem criar uma identidade global
independente de governos, nichos de negócio e redes sociais
• Informar sobre a Certificação Digital no Brasil, a Certisign e as
dificuldades e funcionalidades que a CD/PKI oferecem
4. ITI e ICP-Brasil
O ITI é a AC Raiz da ICP-Brasil. É a primeira autoridade
da cadeia de certificação, executora das Políticas de
Certificados e normas técnicas e operacionais
aprovadas pelo Comitê Gestor
Instituída pela Medida
Provisória 2.200 e demais
instrumentos normativos
“Criada para garantir a autenticidade, a
integridade e a validade jurídica de
documentos em forma eletrônica, das
aplicações de suporte e das aplicações
habilitadas que utilizem Certificados
Digitais, além da realização de transações
eletrônicas seguras.”
Instituto Nacional de Tecnologia
da Informação (ITI) é uma
autarquia federal vinculada à Casa
Civil da Presidência da República
5. Indústria
Mercado de
R$ 1 BI
por ano
7 milhões de
Certificados válidos
Previsão de
crescimento de
10% em 2017
10 mil
empregos
(55% PJ / 45% PF)
6. Aplicações
Mais de 2 mil aplicações
Governos
Estaduais
e Municipais
Governo
Federal
Sistema
Judiciário
Cartório
Eletrônico
Sistema de
Saúde
7. 2 data centers
A Certisign
750 funcionários
diretos
3.000 funcionários
indiretos
Mais de 2.200 pontos
de atendimento
Mais de 10 milhões
Certificados emitidos
39% de Market share 7 filiais
8.
9.
10. Identidade ?
• Para o governo – RFB, INSS e FGTS; para banco, na escola, no
hospital, no clube
• CoIeção de minúcias para identificação pela máquina: biometria
facial, impressão digital,
• Definição antropológica: o que é específico de uma cultura, de um
grupo, de uma comunidade
• Quem opera o sistema, quem é reconhecido ou operado por ele
11. Infraestrutura de Chave Pública - PKI
• A ideia de um diretório de todas as coisas – o X.500 / X.509 – baseado
em um sistema de criptografia de chave pública
• Country Name/State/Locality/Organization/Name
• Identificador Pessoal e Pseudônimos
• Um terceiro de confiança assinando com sua chave privada, guardada
em um ambiente de alta segurança, todas as chaves públicas – o
certificado digital
• Regulamentos e leis que definem os processos de identificação,
guarda de evidências e controles físicos e digitais para criação, uso,
renovação e revogação de certificados
12. Trabalhos realizados pelo Certificado
• Autenticação sem teclar nome de usuário
• Proteção contra alterações das informações agregadas a chave
publica pela assinatura do terceiro de confiança
• Possibilidade de guarda de chave privada em hardware específico
• Senha Local, Assinatura Digital, dispositivo de assinatura sob controle
do usuário
13. Problemas com a certificação
• A publicidade dos dados adicionais do certificado
• A não uniformização do tratamento de criptografia de chave pública
para usuários nos navegadores Internet e a padronização parcial dos
dispositivos de guarda de chaves
• O uso da chave privada para produzir uma assinatura depende da
execução de programas não visíveis ou verificáveis pelo individuo – o
problema do visualizador: esta a maquina assinando o que vejo ?
• As diferenças de leis entre os países impede a utilização dos
certificados de um país em outro e até a uniformização dos processos
de identificação de indivíduos e empresas.
14.
15. Identidade na Internet
• As grandes plataformas: Google, Facebook, Twitter, Linkedin,
Whatsapp, Telegram, SKYPE, Signal....
• Seus frameworks: OpenID, OATH, SAML, OAUTH,FIDO
• As chaves primárias: endereço de email e numero de celular
• Com o celular e as redes sociais temos mais chaves primárias: a
biometria facial, elementos de identificação do celular e seu grafo de
relacionamento com indivíduos, assuntos, marcas, causas .....
17. Identidade no Blockchain - Bitnation
• Surge em 2014 como um sistema de identidade para uma cidadania
global. Marca temporal no Blockchain do Bitcoin e inicio de uma teia
de confiança através de assinaturas PGP. O primeiro registro de
casamento.
• Seu sistema PANGEA, implementado em Ethereum registra títulos de
propriedade de terras e certificados de nascimento. Cria e executa
acordos entre pares e resolve disputas com arbitragem de terceiros.
• Sistema de apoio a refugiados através de uma Blockchain ID com
funcionalidades para Cidadãos e Embaixadas. Junto com a Estonia cria
um sistema de notario público e registro de residência eletrônica.
18. Identidade no Blockchain - Blockstack
• Uma plataforma de desenvolvimento de aplicações em BLOCKCHAIN
que permite construir aplicações descentralizadas e sem servidor
usando seus serviços de identidade, nomes, armazenamento e
autenticação.
• O Blockchain é usado para manter um sistema de identidade cruzado
entre aplicações, mapeando Identificadores de Usuário comseus
nomes, chaves públicas e URIs de armazenamento de dados.
• Pode-se registrar identidades de pessoas, empresas, sites, softwares e
muito mais. Perfis podem conter informações privadas e publicas,
atestados pelo usuário e verificadas por pares ou autoridades.
• Reputado como o mais popular sistema de identidade em Blockchain
com 50 mil usuários registrados.
19. Identidade no Blockchain – uPort
• Sistema de Identidades “auto soberano” baseado em contratos no
blockchain Ethereum. Tem 3 componentes: um conjunto de contratos
inteligentes, biblioteca para desenvolvedores e uma APP para celular
• A App guarda as chaves do usuário. Os contratos inteligentes
Ethereum operam a identidade do usuário na rede e tem lógica para
recupera-la em caso de perda do dispositivo.
• Pode-se registrar identidades de pessoas, empresas,entidades e
instituições. Estas são criadas e controladas por seus usuários e não
dependem de validação ou verificação de terceiros.
• Usuários individuais podem controlar sua reputação e ativos digitais,
podendo revelar seus dados seletivamente, controlar e enviar valores
em um blockchain, interagir com aplicações descentralizadas,...
20. Identidade no Blockchain - CIVIC
• Uma plataforma de identificação segura para proteção contra roubo
de indentidade (B2C), vazamento de dados (B2B) e gestão de
identidade de funcionários. Tecnologia de verificação de identidade
descentralizada com tecnologia Blockchain.
• Contas Freemium: seguro de 1 milhão de dolares contra Identity Thef
e Monitoração do mercado negro de identidades
• Contas Premium por 2,95 dolares por mês oferecem adicionalmente:
Alertas de Monitoração de Bureaux de Crédito, Alerta por criação de
novas contas, suporte 24/7 nos EUA para restauração de Identidade.
• Seu ICO levantou 33 milhões de dólares.
21. O que todos tem em comum
• Dependem de uma massa critica de aplicações para atrair usuários
• Precisam de uma massa critica de usuários para atrair aplicações
• É o clássico problema do “Ovo ou a Galinha” das plataformas de
múltiplos lados que implementam sistemas de MATCHMAKING.
• Por enquanto o caso de uso CRIPTO-MOEDA encontrou esta solução
e o fez abstraindo a identidade e deixando-a fora do sistema.