Identitatea digitală, un sector departe de a fi plictisitor
Quando comecei a trabalhar no setor de identidade digital, há mais de dez anos, ele era frequentemente descrito como um segmento maduro, estável, até mesmo pouco dinâmico. Hoje é evidente o quanto essa percepção era limitada. O trust management encontra-se, de fato, em uma fase de profunda evolução, impulsionada por mudanças tecnológicas, regulatórias e geopolíticas que estão redefinindo seus pressupostos fundamentais.
Deși este adevărat că multe dintre protocoalele care stau la baza identității digitale se bazează pe standarde dezvoltate în anii ’90 (precum familia PKCS) și că criptografia asimetrică a fost inventată în anii ’70, sectorul trust management traversează în prezent o perioadă de mare efervescență. Importanța acestor tehnologii ca fundament al oricărui sistem de securitate cibernetică, caracterul omniprezent al conceptului de identitate digitală și efectul multiplicator al acestor tehnologii asupra creșterii economice și sociale a unei întregi țări au generat cu siguranță un interes major și au contribuit la procese de inovare tehnologică ce vor influența viitorul nostru al tuturor.
Provocarea criptografiei post-cuantice: a proteja astăzi ceea ce va conta mâine
Unul dintre cele mai importante subiecte care apar în discuțiile despre viitorul trust management este tranziția către scheme criptografice capabile să reziste atacurilor computerelor cuantice. Pentru cei interesați să aprofundeze subiectul, la Namirial am discutat deja despre acest lucru în aceste două articole:
Towards Quantum-Safe Trust Services: the race against time to prevent the Quantum Meltdown
Pregătirea Crypto-Agility pentru a câștiga slalomul uriaș printre amenințările cuantice
Acum devine clar pentru mulți că în viitor vom avea o problemă importantă, deoarece tehnologiile criptografice care ne protejează astăzi ar putea deveni inadecvate mâine. Însă multe dintre documentele și tranzacțiile protejate astăzi ar putea avea valoare și mâine. De exemplu, un contract își păstrează valoarea și efectele timp de mulți ani în viitor, atunci când computerele cuantice ar putea fi capabile să compromită tehnologiile utilizate în prezent pentru certificarea identității părților semnatare.
De ce nu ne putem permite să așteptăm
Deși riscul nu este încă concret, nu este nici de conceput să așteptăm până când acesta se va materializa, tocmai pentru că există un interval de ani între prezentul în care informațiile sunt protejate și viitorul în care compromiterea lor va fi atât tehnic posibilă, cât și avantajoasă pentru un atacator determinat. Investițiile majore realizate de cei mai mari actori la nivel mondial în domeniul calculului cuantic, adesea în cadrul unor programe naționale, sugerează că această dinamică s-ar putea concretiza rapid.
Interoperabilitate și efect de rețea: complexitatea tranziției
Dacă aceasta este problema, atunci, plasată în contextul trust management, putem evidenția și alte aspecte critice. Sistemele de gestionare a încrederii funcționează și datorită nivelului ridicat de interoperabilitate. Un document digital semnat de două părți rămâne inteligibil și verificabil de către ambele (sau de către orice altă persoană autorizată), chiar dacă semnăturile au fost emise prin serviciile a doi furnizori diferiți de servicii de încredere calificați, deoarece ambii se bazează pe tehnologii standardizate. Este așa-numitul efect de rețea, care poate contribui la răspândirea noilor tehnologii (faxul, la începutul anilor ’90, era cu atât mai util cu cât mai mulți dintre corespondenții tăi îl foloseau), dar poate și să o încetinească, așa cum se întâmplă în cazul tranziției post-cuantice în trust management.
Dacă, într-adevăr, un operator de piață începe să ofere servicii adecvate noii amenințări, cum vor putea clienții săi să beneficieze de acest progres tehnologic dacă acesta nu este interoperabil?
Foile de parcurs globale către era post-cuantică
Din aceste motive, autoritățile de reglementare la nivel global (precum NIST pentru Statele Unite ale Americii și Comisia Europeană pentru Europa) au elaborat foi de parcurs pentru tranziția post-cuantică. Fără a intra prea mult în detalii, este interesant de observat că ambele documente converg, în esență, asupra a două date. Prima este 2030, termen până la care sistemele cu risc ridicat trebuie migrate la scheme criptografice post-cuantice, iar termenul din 2035 privește sistemele cu nivel mediu de securitate sau sistemele legacy. Nu știm dacă știu ceva ce noi nu știm; cu siguranță însă demonstrează necesitatea de a fi prudenți și proactivi.
Patru ani de acum înainte sunt mulți sau puțini? Sunt suficienți dacă întregul ecosistem al trust management se mobilizează. Este necesar să intervenim asupra numeroșilor actori din lanțul valoric, dintre care furnizorii de servicii de încredere sunt doar cei mai vizibili pentru utilizatorul final. Este nevoie de un acord privind algoritmii criptografici, standardele și testele de conformitate și de transpunerea acestuia în produse și soluții care să poată scala într-un context complex, dinamic și always-on. Trebuie să trecem de la o lume în care același schemă criptografică (RSA) era utilizată pentru orice la una în care vor trebui utilizate scheme diferite pentru scopuri diferite. O lume în care cripto-agilitatea, adică capacitatea de a adapta un sistem sau un protocol la noi tehnici criptografice, va trebui să fie integrată în proiectare și în care multe protocoale utilizate pe scară largă astăzi vor trebui adaptate.
Viziunea strategică a Namirial din 2020
Trebuie, așadar, să fim îngrijorați? Nu, trebuie să fim atenți. Conștienți de evoluțiile tehnologice și științifice, de necesitatea unei strategii industriale pe termen lung și de investițiile necesare pentru a garanta continuitatea serviciilor și încrederea clienților.
La Namirial am început să ne ocupăm de aceste teme în 2020, acum șase ani. Pentru mine a fost fascinant să pot începe să mă gândesc din timp la această temă, când nimeni nu vorbea despre ea, lucrând asupra dimensiunii strategice a inovării. Primul nostru criptograf angajat în companie datează exact din acea perioadă, din conștientizarea pe care o aveam — și care a fost mereu susținută de acționariat și management — că într-o zi va trebui să știm ce avem de făcut.
Am implicat astfel criptografi, cercetători în securitate cibernetică, dezvoltatori de soluții de securitate, centre de excelență și universități. Am explorat un sector care la acea vreme era aproape necunoscut, uneori dificil, colectând informații, realizând analize și experimente. Am dezvoltat proiecte de cercetare, am participat la conferințe, am colectat opinii și am discutat intern. Am reușit astfel să construim o expertiză importantă pe acest subiect, pe care astăzi dorim să o punem la dispoziția clienților noștri, dar care trebuie să contribuie și la progresul întregii piețe de referință.
Identitatea digitală ca frontieră a inovației
Astăzi suntem convinși că migrarea post-cuantică poate fi realizată, cu angajament, dar și cu încredere în obiective, și că va contribui la definirea bazei tehnologice a sectorului trust management în anii următori. Credem că clienții noștri pot avea încredere într-un plan care deja își arată efectele și care va continua către alte obiective ambițioase în viitor (pe care, însă, vi le vom dezvălui abia peste câțiva ani).
À luz de tudo isso, a ideia de que o setor de identidade digital seja pouco interessante parece hoje mais distante da realidade do que nunca. Para nós da Namirial, nunca foi.
