15 de junho de 2023

Agências dos EUA e da UE consideram o papel das carteiras digitais e da nuvem nos ecossistemas de identidade digital

Por William McCurdy

 


***

O Programa de Inovação do Vale do Silício do Departamento de Segurança Interna (DHS) S&T está aceitando inscrições relacionadas ao tema de carteiras e verificadores de credenciais digitais que preservam a privacidade.

O programa procura nutrir um ambiente de P&D para tecnologias com possíveis casos de uso do governo.

O projeto do governo procura avaliar soluções que “catalisem, desenvolvam, aprimorem e operacionalizem um conjunto de blocos de construção de preservação da privacidade que podem atender às necessidades de um ecossistema de credenciamento digital de preservação da privacidade”.

Um evento ' Dia da indústria de chamada de carteiras digitais ' será realizado em 18 de agosto para ajudar os fornecedores a entender os requisitos e como se inscrever.

Em particular, o projeto busca “recursos técnicos de preservação da privacidade” que suportem e se integrem ao modelo de identidade digital de três partes (emissor, detentor, verificador) habilitado pelo World Wide Web Consortium (W3C), o Modelo de Dados de Credenciais Verificáveis ​​( VCDM) e Identificadores Descentralizados W3C (DIDs).

Além disso, os aplicativos precisarão atender às necessidades dos componentes e escritórios operacionais do DHS, incluindo os Serviços de Cidadania e Imigração dos EUA (USCIS), Alfândega e Proteção de Fronteiras (CBP) e o Escritório de Privacidade do DHS (PRIV).

Os aplicativos devem responder e se adequar às especificações técnicas de uma “Carteira Digital” ou “Carteira Móvel” para serem elegíveis.

No caso de carteiras digitais, o projeto busca aplicativos que sejam “úteis em contextos e jurisdições e que possam oferecer suporte a credenciais possibilitadas pelos padrões W3C VCDM/DID que incluem suporte verificado para credenciais emitidas pelo DHS”.

O projeto também especificou que eles deveriam ser “portáteis, altamente seguros, preservadores da privacidade, baseados em padrões, interoperáveis ​​e multifuncionais”.

Em termos de carteiras móveis, esses aplicativos devem poder ser implantados em dispositivos móveis, incluindo dispositivos baseados em iOS e Android.

Além disso, esses aplicativos precisarão oferecer suporte a uma ampla gama de credenciais possíveis, incluindo padrões W3C VCDM/DID com suporte verificado para credenciais emitidas pelo DHS.

O exposto acima não é a única área do ecossistema biométrico que o DHS está apoiando.

Em 2023, o DHS revelou a “segunda faixa” de sua pequena demonstração de validação de ID.

Isso examinará os recursos de software dos candidatos quando se trata de detectar impostores em selfies e em imagens de documentos de identificação.

A UE aborda primeiro a migração de serviços de confiança para a nuvem

Na Europa, o setor público também procura abordar as questões técnicas e nutrir o ecossistema em torno da identidade digital.

A Agência da União Europeia para Cibersegurança (ENISA) emitiu um relatório sobre a transferência de serviços confiáveis, como os do projeto de identidade digital eIDAS para a nuvem. Embora o eIDAS 2.0 proponha a criação de carteiras europeias de identidade digital, a atualização ainda está em desenvolvimento, pelo que a ENISA se afasta do tema, juntamente com os quatro novos serviços de confiança propostos.

O relatório constatou que, embora alguns serviços, incluindo “validação de assinaturas, entrega registrada, carimbo de data/hora ou preservação de assinatura” possam ser transferidos de implementações locais para a nuvem rapidamente, outros, como “emissão de certificados e controle remoto sobre o dispositivo de assinatura ” requerem análise e preparação mais matizadas.

Questões de soberania de dados também foram abordadas e o relatório constatou que os dados migrados devem permanecer nos dados do provedor de serviços e que alguns serviços podem não ser adequados para a migração para a nuvem.

A ENISA organizou recentemente um workshop em Amesterdão, nos Países Baixos, para discutir alguns dos desafios relacionados com a transferência de implementações nacionais de serviços de confiança para a cloud e prova de identidade remota com carteiras digitais.

Os tópicos abordados incluíram o potencial para ataques existentes e emergentes, bem como possíveis medidas de segurança para prova de identidade remota na Europa.

*


Nenhum comentário: