Como parte de la serie de entrevistas de GoCrypto, Mike Ermolaev habló con Arshad Noor, CTO de StrongKey. Con más de 34 años de experiencia en tecnología de la información, Arshad ha pasado los últimos 23 años centrado en resolver problemas de protección de datos mediante criptografía aplicada. Ha diseñado y construido infraestructuras de clave pública (PKI), que refuerzan las defensas en banca, defensa, telecomunicaciones, productos farmacéuticos, biotecnología y comercio electrónico, industrias que necesitan particularmente una autenticación y cifrado sólidos. En particular, Noor fue autor del primer sistema de gestión de claves simétricas de código abierto y contribuyó a numerosos estándares de seguridad.
Durante la entrevista, Noor compartió ideas sobre los sistemas globales de identidad digital, enfatizando la urgencia de construir un sistema global de identidad digital cohesivo, junto con el reconocimiento de que solo los protocolos de seguridad aprobados internacionalmente pueden salvaguardar nuestras vidas cada vez más digitales. También habló sobre la tokenización de la sociedad y apoyó la idea de una moneda digital del banco central de EE. UU. (CBDC) minorista, un tema sobre el que ha sido bastante franco últimamente. Esta conversación es una continuación de la serie de entrevistas impulsada por GoMining, que le brinda conocimientos de los principales expertos en el campo de las criptomonedas y la seguridad de los datos.
Las contribuciones pioneras de Noor a la identidad digital y la protección de datos
Las innovaciones de Noor incluyen StrongKey Sign-On (SKSO), una aplicación web para una autenticación sólida de usuarios sin servicios SSO de terceros, y StrongKey FIDO Server (SKFS), una solución empresarial de código abierto certificada por FIDO para administrar credenciales FIDO, junto con PKI2FIDO. , una aplicación web que permite una autenticación más sencilla y sólida para empresas y agencias gubernamentales. Antes de unirse a StrongKey, Noor trabajó para gigantes de la industria como Sun Microsystems, Citibank y BASF Corporation, consolidando su reputación como arquitecto de soluciones de TI calificado y constructor de PKI global. Su impresionante trayectoria y conocimiento especializado lo convierten en una autoridad de referencia en protección de datos e identidad digital, ofreciendo información detallada sobre el potencial transformador de estos sistemas.
Fuente: Iiot-world.com
Los estándares globales de identidad digital necesitan armonización
Hablando de un sistema de identidad global, Noor describió su estructura prospectiva, enfatizando la existencia de múltiples ecosistemas de identidad que atienden diversas necesidades. Él explicó,
"Sin lugar a dudas, habrá muchas islas de ecosistemas de identidad para satisfacer una variedad de necesidades. Actualmente existen estándares que permiten compartir atributos de identidad (con certificación) para que puedan ser confiables a través de las fronteras; los pasaportes son un ejemplo".
Señaló que el uso comercial de los atributos de identidad digital requerirá un marco sólido acordado por las naciones.
"Una vez que se establezca dicho marco, y una base confiable para respaldarlo, diversos ecosistemas podrán crear esquemas para permitir el uso transfronterizo".
añadió Arshad Noor.
También abordó los beneficios y desafíos asociados con un sistema global de identidad digital, destacando el potencial para un aumento del comercio electrónico y la competencia transfronterizos. Noor notó,
"Un beneficio de un marco para compartir identidades a nivel mundial es que aumentará el comercio electrónico transfronterizo; si bien también aumentará la competencia por productos y servicios, todos, excepto los no competitivos, se beneficiarán".
Sin embargo, enfatizó la necesidad de controles armonizados de seguridad y privacidad para garantizar la solidez del sistema, similar a la armonización observada en el comercio global.
“Como mínimo, lo que se necesita para participar en dicho marco es una base global para los controles de seguridad y privacidad. No tiene sentido tener un estándar como GDPR en la UE, mientras que EE.UU. no tiene una regulación equivalente. Docenas de países en todo el mundo han establecido sus versiones únicas de reglas de seguridad y privacidad; Así como el comercio global requirió armonizar las reglas que rigen el comercio y la logística, la seguridad y privacidad de los datos deben armonizarse de manera similar a nivel global. Esto implica que el grupo responsable de la armonización debe tener representación de todas las naciones –con iguales derechos de voto– para asegurar el éxito a largo plazo. Si bien esto llevará tiempo, y probablemente será complicado al principio, se puede lograr que funcione”.
Desafíos en la autenticación sin contraseña
Noor arrojó luz sobre los numerosos desafíos que plantea la implementación de la autenticación sin contraseña, haciendo hincapié en varias barreras críticas: la inercia corporativa y gubernamental, la complejidad de la integración, el pensamiento grupal en la toma de decisiones, las inversiones en proyectos tecnológicos fallidos que convierten a la TI en un "sumidero", los problemas perdidos oportunidad con los certificados digitales X.509 y el enfoque actual en la experiencia del usuario (UX) por encima de la seguridad.
Inercia corporativa y gubernamental
Según Noor, la autenticación sin contraseña enfrenta grandes desafíos debido a la inacción corporativa y gubernamental. Él comentó,
"Desde los años 80 se han inventado esquemas de autenticación para abordar los sistemas distribuidos y las fragilidades de las contraseñas. Desafortunadamente, a medida que las grandes instituciones invierten en cada nueva 'chuchería brillante' que aparece, la complejidad de la integración crece exponencialmente".
Noor explicó que las inversiones en proyectos tecnológicos fallidos han convertido a la TI en un "sumidero", lo que ha provocado que los ejecutivos de TI apuesten sus carreras en proyectos que no siempre comprenden, lo que lleva a una "mentalidad de rebaño".
Él elaboró,
"El 80% del mercado no hará ningún movimiento hasta que vea cómo les va a los primeros usuarios y haya un retorno de la inversión comprobado. Pero con la complejidad que existe en el entorno actual, medir ese retorno de la inversión es muy difícil. Esto lleva a la inercia".
Oportunidades perdidas y la segunda oportunidad con FIDO
También reflexionó sobre la oportunidad perdida a finales de los 90 y principios de los 2000 de introducir la autenticación sin contraseña con certificados digitales X.509, y señaló:
"La industria mató a la 'gallina de los huevos de oro' al poner precios excesivos y ofrecer PKI de manera insuficiente".
Según Noor, existe una segunda oportunidad con FIDO, pero algunas grandes empresas de tecnología se centran demasiado en la experiencia del usuario (UX) en lugar de educar a los consumidores sobre las necesidades de seguridad y la adaptación del comportamiento. Él afirmó,
"El mundo ahora tiene una segunda oportunidad con FIDO; pero una vez más, algunas de las empresas más grandes de la industria tecnológica la están desperdiciando nuevamente al optar por centrarse en la experiencia del usuario (UX) en lugar de centrarse en educar a los consumidores sobre la necesidad de seguridad. y en consecuencia, adaptación en el comportamiento."
La transición a la autenticación sin contraseña es esencial, pero los detalles de implementación son importantes
Al discutir el futuro de PKI y la autenticación sin contraseña, Noor dijo:
"PKI, FIDO y la autenticación sin contraseña son análogas: simplemente son diferentes estilos de 'camisas' cortadas de la misma 'tela'".
Destacó que en comparación con lo que precedió a la criptografía de clave pública, no hay alternativa, afirmando,
"El mundo debe hacer la transición a la autenticación sin contraseña para aliviar el marasmo de violaciones de datos en el que nos ahogamos actualmente. Sin embargo, los detalles de implementación son importantes. Así como se puede usar un arma de fuego para defenderse de los merodeadores, es igualmente posible dispararse con el mismo instrumento. ".
Se necesita una evaluación racional para Blockchain frente a las tecnologías tradicionales
Como señaló Noor, si bien la tecnología blockchain puede facilitar técnicamente las operaciones comerciales, las bases de datos distribuidas y las transacciones firmadas digitalmente pueden lograr el mismo objetivo.
“Casi todo lo que se puede implementar con blockchain era posible implementarlo con bases de datos tradicionales que aprovechaban la criptografía de clave pública a finales de los años 90; el mercado no podía adoptar tal capacidad debido a las recesiones que siguieron a las “punto com” y a las hipotecas relacionadas con bienes raíces. -colapsos de valores respaldados”
él explicó.
“A principios de los años 10, blockchain capturó la imaginación de algunas personas en la industria de la tecnología. Si bien los procesos de negocio que abarcan empresas se pueden implementar técnicamente con blockchain, se pueden implementar de manera similar con bases de datos distribuidas y transacciones firmadas digitalmente”.
añadió Noor.
Sin embargo, según él, la exageración y las inversiones especulativas en torno a Bitcoin eclipsaron las aplicaciones prácticas y técnicas de la tecnología blockchain, lo que llevó a una adopción febril y a veces irracional de blockchain sin una consideración suficiente de su valor real y su implementación.
Él afirmó,
"Una vez que esa fiebre disminuya, surgirán soluciones blockchain con un retorno de la inversión razonable para resolver algunos problemas".
Al analizar las aplicaciones o innovaciones específicas que son más prometedoras para aprovechar estas tecnologías para abordar los desafíos actuales y futuros en la protección de datos y la gestión de identidades, Noor enfatizó que los procesos de negocios que requieren flujos de trabajo que involucran a múltiples partes son el problema natural que se resuelve con sistemas distribuidos y servicios públicos. criptografía clave.
Él concluyó,
"Si se debe utilizar blockchain o tecnología tradicional, aunque probada, es un detalle de implementación que debe analizarse como cualquier otra inversión financiera corporativa".
La Reserva Federal debería automatizar las tasas de interés para lograr una marcha económica más fluida
Arshad Noor imaginó que los mercados financieros se volverían más eficientes y beneficiarían a los consumidores de todo el mundo con el tiempo con la introducción de una CBDC minorista en EE. UU. Él reconoció,
“Habrá algunos obstáculos en la implementación en las primeras etapas; pero a medida que estos obstáculos se calmen (y al mismo tiempo mantengan a los consumidores sanos), el sistema se volverá productivo”.
Noor también previó que la Reserva Federal cambiaría su enfoque de su actual proceso para establecer las tasas de interés. Sugirió establecer un sistema para calcular de forma automática y transparente las tasas de inflación de forma periódica.
Él afirmó,
"Me imagino que la Reserva Federal optará por desconcentrarse de su proceso actual para establecer las tasas de interés y simplemente pagar un 2% sobre cualquier tasa de inflación actual en un día determinado. La eficiencia obtenida con esta estrategia será similar a la de los automóviles que pasan de Los ahorradores siempre serán recompensados con una tasa de rendimiento razonable, mientras que los gastadores pagarán lo que deban pagar por su despilfarro, sabiendo que las decisiones de compra individuales ya no necesitan depender de un pequeño grupo de banqueros centrales que se reúnen unas cuantas veces al año. año, permitirá que la economía logre un “viaje más fluido” a medida que las tasas cambien automáticamente en correspondencia con las tasas de inflación prevalecientes en el mercado”.
Noor proporcionó a la Reserva Federal comentarios detallados que abordan las preocupaciones de ciberseguridad asociadas con una CBDC, disponibles en su sitio web. Él dijo,
"Si bien las transacciones minoristas de CBDC serán de naturaleza transparente, con técnicas apropiadas de cifrado y seudonimización respaldadas por un marco regulatorio nuevo y transparente para descifrar dichas transacciones, los ciudadanos respetuosos de la ley pueden estar seguros de que sus transacciones personales estarán seguras y se mantendrán privadas con la tecnología adecuada. y reglamentos."
Sin embargo, advirtió que es poco probable que las actividades nefastas desaparezcan de Internet:
"Esto es inherente a la naturaleza humana, donde el arbitraje en las condiciones y resultados económicos es posible. La pregunta que la sociedad debe responder es: ¿cuánto dinero está dispuesta a gastar para preservar la privacidad individual?"
Llegó a la conclusión de que en la era anterior a las computadoras y a Internet, proteger la información confidencial era relativamente económico y solo requería cantidades nominales para cerraduras/llaves y procedimientos simples. En la era digital, el costo será significativo. Noor enfatizó,
"Si bien las tecnologías de código abierto pueden reducir drásticamente los costos, establecer, operar y hacer cumplir el marco regulatorio para preservar la privacidad (y los controles de seguridad que implicará) requerirá un compromiso significativo a largo plazo".
Descargo de responsabilidad: este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
