Pseudônimos digitais: mais uma maneira de tornar o trabalho em casa seguro

A recente decisão da empresa de processamento de pagamentos digitais Block (SQ) de fechar seus escritórios em São Francisco para permitir que os funcionários trabalhem remotamente destaca uma tendência crescente desde o início da pandemia da COVID-19: uma Grande Migração do trabalho de escritório para o trabalho remoto. Mas, por vários motivos, essa migração está enfrentando resistência de outros empregadores.

Um dos principais motivos para insistir que os funcionários apareçam no escritório em empresas voltadas para o consumidor — não apenas Big Tech, mas também seguros, assistência médica e todos os tipos de outras — são os bancos de dados que eles mantêm sobre os clientes. Apesar do surgimento de uma indústria inteira dedicada a protegê-los, as violações desses bancos de dados continuam inabaláveis. De acordo com o Identity Theft Research Center (ITRC), o número de violações de dados registradas em 2021 aumentou em17%ao longo de 2020.

David Chaum, um pioneiro em criptografia e em tecnologias de votação segura e de preservação de privacidade, é o criador e fundador da rede xx. Em 1995, sua empresa, DigiCash, criou e implementou o eCash, a primeira moeda digital, que usou o inovador protocolo de assinatura cega de Chaum. Este post é parte do CoinDesk'sSemana do Futuro do Trabalhosérie.

Dado o que um comentador chama de “uma arraigada falta de transparência” por parte das empresas afetadas, esta estimativa é provavelmente baixa. A IBM (IBM), por sua vez, estima quecusto médio de uma violação de dados de mais de US$ 4 milhões. (Vale a pena notar que algumas das violações mais caras do ano passado foram no espaço de Criptomoeda/blockchain, embora tenham sido principalmente roubos e não furtos de informações pessoais.)

Em resposta a essas ameaças, algumas empresas estão construindo segurança de “air gap” em torno dos servidores que mantêm seus bancos de dados de consumidores. Elas estão exigindo que os funcionários que trabalham nelas e com elas – ou simplesmente fornecem registros novos de clientes – interajam com elas apenas por comunicações locais completamente desconectadas da Internet. O quão bem isso funcionará ainda está para ser visto.

De qualquer forma, tais soluções não abordam o problema subjacente. Na década de 1980, nos primeiros dias da informatização e da internet, comecei a me preocupar com todas as informações sendo armazenadas sobre indivíduos por organizações – e sendo compartilhadas por elas. Quase todos esses registros eram (e ainda são) encabeçados por um identificador único universal, como uma carteira de motorista, número de carteira de ID estadual ou número de seguro social.

Leia Mais: 'Eu pulei com todos os 4': o lendário criptógrafo David Chaum sobre o futuro da Web3

Esses registros poderiam ser combinados para criar o que chamei de "dossiê virtual" sobre cada indivíduo, no qual seus históricos médicos, financeiros, legais e de emprego, bem como coisas como números de cartão de crédito e endereços de cobrança, poderiam ser visualizados juntos, simplesmente acessando os registros separados por meio desses identificadores.

Números aleatórios, envelopes opacos

Para lidar com essa ameaça, que agora é, infelizmente, uma realidade, eu criei um protocolo chamado assinaturas digitais cegas, uma variação da técnica de assinatura digital agora bem conhecida e amplamente usada. Para entender como isso funciona usando uma analogia de papel, imagine um cartão numerado aleatoriamente dentro de um envelope opaco que é carimbado do lado de fora com um selo como os sinetes usados ​​antigamente para selar cartas com WAX.

A impressão do selo grava o cartão dentro com a assinatura, mas uma vez que o envelope foi removido, o signatário não tem como determinar qual número específico estava no cartão assinado. O cegamento oculta um número de texto simples, transformando-o em texto cifrado de tal forma que ele pode ser digitalmente "gravado" com uma assinatura. Remover o envelope na analogia é equivalente ao texto cifrado sendo posteriormente decifrado [desocultado] para obter a forma agora assinada do número de texto simples.

Este número assinado e não cego serve como um pseudônimo digital que contém uma credencial – uma assinatura digital da organização emissora. Um aprimoramento adicional da técnica permite que o usuário mostre a credencial infalsificável para várias organizações usando diferentes pseudônimos. Dessa forma, o detentor da credencial individual pode, por exemplo, provar a vários credores que sua classificação de crédito está dentro de uma determinada faixa, sem que essas provas sejam vinculáveis por meio de um identificador e sem revelar nada mais.

Da mesma forma, indivíduos podem provar que, por exemplo, pagaram seus impostos, que vivem em um determinado distrito censitário, que receberam uma vacinação específica ou que testaram negativo para alguma infecção dentro de um determinado período, que possuem uma licença válida em um determinado comércio ou profissão, que não têm antecedentes criminais e assim por FORTH. Em nenhum caso, nenhuma dessas credenciais pode ser vinculada entre si ou a qualquer outra informação sobre o indivíduo. As organizações podem armazenar as credenciais pseudônimas que recebem de indivíduos para que o indivíduo e a organização possam manter um relacionamento contínuo, se desejado.

Leia Mais: A Política de Privacidade na Internet é um direito inalienável | Opinião

Se alguma combinação de credenciais for exigida por uma organização, técnicas criptográficas comprovadas adicionais podem transformar um único pseudônimo em uma credencial múltipla (“multicred”) conforme necessário, novamente sem comprometer a Política de Privacidade do proprietário do pseudônimo. Especificamente, várias credenciais individuais podem ser “carimbadas” no mesmo pseudônimo por várias organizações diferentes usando computação multipartidária.

Protegendo informações pessoais

Em termos gerais, a computação multipartidária permite que um conjunto de partes realize coletivamente qualquer computação acordada, de modo que cada parte possa escolher entradas Secret e verificar se a saída resultante está correta e onde todas as entradas Secret estão protegidas de forma otimizada. Nesse caso, nenhum dos signatários pode Aprenda a identidade ou a assinatura de nenhum dos outros, mas cada um pode verificar prontamente se sua própria assinatura no multicred é válida.

Mudar para esses pseudônimos digitais, não vinculáveis ao seu dono ou entre si, tornaria inúteis os esforços de hackers e phishers para acessar vastos tesouros de informações pessoais porque as informações não seriam mais identificáveis como pessoais. Os indivíduos, é claro, ainda precisarão de números de seguro social e carteiras de motorista, mas a maioria das organizações não precisará registrá-los, muito menos usá-los como identificadores para registros de indivíduos com quem fizeram negócios.

Leia Mais: A Web 3 é mais do que diversão e jogos; é para o trabalho | Opinião

Assim, os funcionários que mantêm e protegem estas colecções de dados pseudónimos já não precisam de trabalhar dentro de espaços de ar digitais ouGaiolas de Faraday. Eles podem trabalhar em casa porque nem a empresa nem os criminosos que usam registros roubados podem construir “retratos de dados” de clientes ou consumidores individuais.

A mudança para um sistema de credenciais digitais pseudônimas beneficiaria as organizações ao reduzir o custo cada vez maior de manutenção e proteção de registros de dados essencialmente desnecessários e o custo de longo prazo, muitas vezes ainda maior, de violações.

E seria um passo em direção ao que acredito que deve ser um princípio fundamental da Web3 e da verdadeira democracia daqui para frente: os indivíduos devem controlar todas as suas informações pessoais.

Leitura adicional da série Future of Work Week da CoinDesk:

O boom dos empregos em Cripto

Pode ser um mercado em baixa, mas ainda há muitos empregos disponíveis em empresas de Cripto .

Folha de pagamento, Web3 e a oportunidade de US$ 62 bilhões

A Cripto pode tornar mais rápido e barato pagar trabalhadores. Este artigo faz parte da série Future of Work.

Você está contratando errado: faça mais como o Web3

Ao adotar um modelo mais aberto e fluido, as empresas tradicionais teriam mais facilidade para atrair talentos e acabariam com uma força de trabalho mais apaixonada e engajada.