Identidade digital, um setor longe de ser entediante
Când am început să lucrez în domeniul identității digitale, în urmă cu mai bine de zece ani, acesta era adesea descris ca un sector matur, stabil, chiar puțin dinamic. Astăzi este evident cât de limitată era această percepție. Trust management-ul se află, de fapt, într-o fază de evoluție profundă, determinată de schimbări tehnologice, de reglementare și geopolitice care îi redefineasc fundamentele esențiale.
Se é verdade que muitos dos protocolos que fundamentam a identidade digital se baseiam em padrões desenvolvidos nos anos 1990 (como a família PKCS) e que a criptografia assimétrica foi inventada nos anos 1970, o setor de trust management vive atualmente uma fase de grande efervescência. A importância dessas tecnologias como base de qualquer sistema de cibersegurança, a pervasividade do conceito de identidade digital e o efeito multiplicador dessas tecnologias sobre o crescimento econômico e social de um país inteiro certamente despertaram grande interesse e contribuíram para processos de inovação tecnológica que impactarão o futuro de todos nós.
O desafio da criptografia pós-quântica: proteger hoje o que terá valor amanhã
Um dos temas mais importantes que emergem nas discussões sobre o futuro do trust management é a transição para esquemas criptográficos capazes de resistir a ataques de computadores quânticos. Para quem tiver interesse em aprofundar o tema, na Namirial já falamos sobre isso nestes dois artigos:
Towards Quantum-Safe Trust Services: the race against time to prevent the Quantum Meltdown
Treinamento em crypto-agility para vencer o giant slalom entre ameaças Quânticas
Agora começa a ficar claro para muitos que no futuro teremos um problema relevante, porque as tecnologias criptográficas que nos protegem hoje podem se tornar inadequadas amanhã. Mas muitos dos documentos e transações protegidos hoje podem manter seu valor também no futuro. Por exemplo, um contrato preserva seu valor e seus efeitos por muitos anos, quando computadores quânticos poderão ser capazes de comprometer as tecnologias atualmente utilizadas para certificar a identidade das partes que o assinaram.
Por que não podemos nos dar ao luxo de esperar
Embora o risco ainda não seja concreto, também não é concebível esperar que ele se materialize, justamente porque existe uma distância de anos entre o hoje em que as informações são protegidas e o amanhã em que violá-las será tecnicamente possível e vantajoso para um atacante determinado. Os grandes investimentos realizados pelos maiores atores globais no setor de computação quântica, muitas vezes no âmbito de programas nacionais, sugerem que essa dinâmica poderá se concretizar rapidamente.
Interoperabilidade e efeito de rede: a complexidade da transição
Se esse é o problema, ao colocá-lo no contexto do trust management podemos destacar outras criticidades. Os sistemas de gestão da confiança funcionam também porque apresentam elevados níveis de interoperabilidade. Um documento digital assinado por duas partes permanece compreensível e verificável por ambas (ou por qualquer outra pessoa autorizada), mesmo que as assinaturas tenham sido emitidas por meio dos serviços de dois diferentes prestadores de serviços de confiança qualificados, já que ambos se baseiam em tecnologias padronizadas. Trata-se do chamado efeito de rede, que pode contribuir para a difusão de novas tecnologias (o fax, no início dos anos 1990, era tanto mais útil quanto mais seus correspondentes o utilizavam), mas também pode dificultá-la, como é o caso da transição pós-quântica no trust management.
Se, de fato, um operador de mercado começa a oferecer serviços adequados à nova ameaça, como seus clientes poderão se beneficiar disso se esse avanço tecnológico não for interoperável?
Os roadmaps globais rumo ao pós-quântico
Por esses motivos, os órgãos reguladores em nível global (como o NIST nos Estados Unidos da América e a Comissão Europeia na Europa) elaboraram roadmaps para a transição pós-quântica. Sem entrar muito em detalhes, é interessante observar que ambos os documentos convergem substancialmente em duas datas. A primeira é 2030, prazo até o qual os sistemas de alto risco deverão ser migrados para esquemas criptográficos pós-quânticos, enquanto o prazo de 2035 se refere aos sistemas de segurança média ou aos sistemas legados. Não sabemos se sabem algo que nós não sabemos; certamente demonstram a necessidade de sermos prudentes e proativos.
Quatro anos a partir de hoje, portanto, são muito ou pouco tempo? São suficientes se todo o ecossistema de trust management se colocar em movimento. É necessário atuar sobre numerosos atores da cadeia de valor, dos quais os prestadores de serviços de confiança são apenas os mais visíveis para o usuário final. É preciso alcançar um acordo sobre algoritmos criptográficos, padrões e testes de conformidade, e transferi-lo para produtos e soluções que escalem em um contexto complexo, dinâmico e always-on. É preciso passar de um mundo em que o mesmo esquema criptográfico (RSA) era utilizado para tudo para um mundo em que diferentes esquemas precisarão ser utilizados para finalidades distintas. Um mundo em que a cripto-agilidade, ou seja, a capacidade de adaptar um sistema ou protocolo a novas técnicas criptográficas, deverá estar incorporada ao design, e em que muitos protocolos hoje amplamente utilizados precisarão ser adaptados.
A visão estratégica da Namirial desde 2020
Devemos então estar preocupados? Não, devemos estar atentos. Conscientes dos desenvolvimentos tecnológicos e científicos, da necessidade de uma estratégia industrial de longo prazo e dos investimentos necessários para garantir a continuidade dos serviços e a confiança dos clientes.
Na Namirial começamos a tratar desses temas em 2020, há seis anos. Para mim foi fascinante poder começar a pensar com bastante antecedência sobre o tema, quando ninguém falava a respeito, trabalhando na dimensão estratégica da inovação. Nosso primeiro criptógrafo contratado pela empresa remonta exatamente a esse período, pela consciência que tínhamos — e que sempre foi apoiada pela propriedade e pela gestão — de que um dia precisaríamos saber o que fazer.
Assim, envolvemos criptógrafos, pesquisadores de cibersegurança, desenvolvedores de soluções de segurança, centros de excelência e universidades. Exploramos um setor que na época era quase desconhecido, por vezes complexo, coletando informações, realizando análises e experimentos. Desenvolvemos projetos de pesquisa, participamos de conferências, reunimos opiniões e discutimos internamente. Conseguimos assim construir uma competência relevante sobre o tema, que hoje queremos direcionar aos nossos clientes, mas que também deve contribuir para o progresso de todo o mercado de referência.
A identidade digital como fronteira da inovação
Hoje estamos convencidos de que a migração pós-quântica pode ser percorrida, com empenho mas também com confiança nos objetivos, e que contribuirá para definir a base tecnológica do setor de trust management nos próximos anos. Acreditamos que nossos clientes podem se sentir confiantes em um plano que já está mostrando seus efeitos e que avançará em direção a outros objetivos ambiciosos no futuro (que, no entanto, revelaremos apenas daqui a alguns anos).
În lumina tuturor acestor aspecte, ideea că sectorul identității digitale ar fi puțin captivant pare astăzi mai îndepărtată ca niciodată de realitate. Pentru noi, la Namirial, nu a fost niciodată așa.
