Como parte da série de entrevistas GoCrypto, Mike Ermolaev conversou com Arshad Noor, CTO da StrongKey. Com mais de 34 anos de experiência em Tecnologia da Informação, Arshad passou os últimos 23 anos focado na solução de problemas de proteção de dados utilizando criptografia aplicada. Ele projetou e construiu infraestruturas de chave pública (PKI) – reforçando as defesas nos setores bancário, de defesa, de telecomunicações, farmacêutico, de biotecnologia e de comércio eletrônico – setores que precisam particularmente de autenticação e criptografia fortes. Notavelmente, Noor foi o autor do primeiro sistema de gerenciamento simétrico de chaves de código aberto e contribuiu para vários padrões de segurança. 

Durante a entrevista, Noor partilhou ideias sobre sistemas globais de identidade digital, enfatizando a urgência de construir um sistema de identidade digital global coeso, juntamente com o reconhecimento de que apenas protocolos de segurança sancionados internacionalmente podem salvaguardar as nossas vidas cada vez mais digitais. Ele também falou sobre a tokenização da sociedade e apoiou a ideia de uma moeda digital de varejo do Banco Central dos EUA (CBDC), um tópico sobre o qual tem falado bastante ultimamente. Esta conversa é uma continuação da série de entrevistas desenvolvida pela GoMining, trazendo a você insights dos principais especialistas na área de criptomoeda e segurança de dados.

Contribuições pioneiras de Noor para identidade digital e proteção de dados

As inovações da Noor incluem StrongKey Sign-On (SKSO), um aplicativo da web para autenticação forte de usuário sem serviços SSO de terceiros, e StrongKey FIDO Server (SKFS), uma solução empresarial de código aberto com certificação FIDO para gerenciamento de credenciais FIDO, junto com PKI2FIDO , um aplicativo web que permite autenticação mais simples e mais forte para empresas e agências governamentais. Antes de ingressar na StrongKey, Noor trabalhou para gigantes do setor como Sun Microsystems, Citibank e BASF Corporation, consolidando sua reputação como arquiteto qualificado de soluções de TI e construtor global de PKI. Seu impressionante histórico e conhecimento especializado o estabelecem como uma autoridade em proteção de dados e identidade digital, oferecendo insights precisos sobre o potencial transformador desses sistemas.

Fonte: Iiot-world.com

Os padrões globais de identidade digital precisam de harmonização

Falando sobre um sistema de identidade global, Noor delineou a sua estrutura prospectiva, enfatizando a existência de múltiplos ecossistemas de identidade que servem diversas necessidades. Ele explicou,

"Sem dúvida, haverá muitas ilhas de ecossistemas de identidade para atender a uma variedade de necessidades. Existem atualmente padrões para permitir o compartilhamento de atributos de identidade - com atestado - para que possam ser confiáveis ​​além-fronteiras - os passaportes são um exemplo." 

Ele ressaltou que o uso comercial de atributos de identidade digital exigirá uma estrutura robusta acordada entre as nações.

“Uma vez estabelecida essa estrutura – e uma base confiável para apoiá-la –, os esquemas podem ser criados por diversos ecossistemas para permitir o uso transfronteiriço”,

Arshad Noor acrescentou. 

Ele também abordou os benefícios e desafios associados a um sistema global de identidade digital, destacando o potencial para o aumento do comércio eletrônico e da concorrência transfronteiriça. Noor observou,

"Um benefício de um quadro para a partilha de identidades a nível mundial é que irá aumentar o comércio eletrónico transfronteiriço; embora também aumente a concorrência por produtos e serviços, todos - exceto os não competitivos - serão beneficiados." 

No entanto, enfatizou a necessidade de controlos harmonizados de segurança e privacidade para garantir a robustez do sistema, semelhante à harmonização observada no comércio global.

“No mínimo, o que é necessário para participar num quadro deste tipo é uma base global para controlos de segurança e privacidade. Não faz sentido ter uma norma como o GDPR na UE, enquanto os EUA não têm regulamentação equivalente. Dezenas de nações em todo o mundo estabeleceram as suas versões únicas de regras de segurança e privacidade; por mais que o comércio global exija a harmonização das regras que regem o comércio e a logística, a segurança e a privacidade dos dados devem ser igualmente harmonizadas a nível global. Isto implica que o grupo responsável pela harmonização deve ter representação de todas as nações – com direitos de voto iguais – para garantir o sucesso a longo prazo. Embora isso leve tempo – e provavelmente seja complicado no início – pode funcionar.”

Desafios na autenticação sem senha

Noor esclareceu os numerosos desafios na implementação da autenticação sem senha, enfatizando diversas barreiras críticas: a inércia corporativa e governamental, a complexidade da integração, o pensamento de grupo na tomada de decisões, os investimentos em projetos tecnológicos fracassados ​​que transformam a TI em um "sumidouro", a falha perdida oportunidade com certificados digitais X.509 e o foco atual na experiência do usuário (UX) em detrimento da segurança.

Inércia Corporativa e Governamental

A autenticação sem senha enfrenta grandes desafios devido à inação corporativa e governamental, de acordo com Noor. Ele comentou,

"Esquemas de autenticação para lidar com sistemas distribuídos e as fragilidades das senhas foram inventados desde os anos 80. Infelizmente, à medida que as grandes instituições investem em cada nova 'bugiganga brilhante' que surge, a complexidade da integração cresce exponencialmente." 

Noor explicou que os investimentos em projetos tecnológicos fracassados ​​transformaram a TI em um “sumidouro”, fazendo com que os executivos de TI apostassem suas carreiras em projetos que nem sempre entendem, levando a uma “mentalidade de rebanho”.

Ele elaborou,

"80% do mercado não tomará nenhuma atitude até verem como os primeiros usuários se saem e se há um ROI comprovado. Mas com a complexidade que existe no ambiente atual, medir esse ROI é muito difícil. Levando à inércia." 

Oportunidades perdidas e a segunda chance com FIDO

Ele também refletiu sobre a oportunidade perdida no final dos anos 90 e início dos anos 2000 de introduzir a autenticação sem senha com certificados digitais X.509, observando: 

"A indústria matou aquela 'gansa que botou os ovos de ouro' ao superfaturar e entregar PKI de forma insuficiente."

De acordo com Noor, há uma segunda chance com a FIDO, mas algumas grandes empresas de tecnologia concentram-se demais na experiência do usuário (UX), em vez de educar os consumidores sobre as necessidades de segurança e adaptação de comportamento. Ele afirmou,

"O mundo agora tem uma segunda chance com a FIDO; mas mais uma vez, algumas das maiores empresas do setor de tecnologia estão estragando tudo novamente ao optar por focar na experiência do usuário (UX) em vez de focar na educação dos consumidores sobre a necessidade de segurança, e, conseqüentemente, adaptação no comportamento”.

A transição para a autenticação sem senha é essencial, mas os detalhes da implementação são importantes

Discutindo o futuro da PKI e da autenticação sem senha, Noor disse:

"PKI, FIDO e autenticação sem senha são análogos - são simplesmente estilos diferentes de 'camisas' cortadas do mesmo 'tecido'." 

Ele ressaltou que comparado ao que precedeu a criptografia de chave pública, não há alternativa, afirmando,

"O mundo deve fazer a transição para a autenticação sem senha para aliviar o pântano de violações de dados em que nos afogamos atualmente. No entanto, os detalhes da implementação são importantes. Assim como uma arma de fogo pode ser usada para se defender de saqueadores, é igualmente possível atirar em si mesmo com o mesmo instrumento ."

Avaliação Racional Necessária para Blockchain vs. Tecnologias Tradicionais

Como Noor apontou, embora a tecnologia blockchain possa facilitar tecnicamente as operações comerciais, os bancos de dados distribuídos e as transações assinadas digitalmente podem atingir o mesmo objetivo. 

“Quase tudo que pode ser implementado com blockchain era possível de ser implementado com bancos de dados tradicionais aproveitando a criptografia de chave pública no final dos anos 90 – o mercado não pôde adotar tal capacidade por causa das recessões que se seguiram ao “ponto com” e às hipotecas relacionadas ao setor imobiliário. colapsos de títulos garantidos”,

ele explicou. 

“No início dos anos 10, o blockchain capturou a imaginação de algumas pessoas na indústria de tecnologia. Embora os processos de negócios que abrangem empresas possam ser implementados tecnicamente com blockchain, eles podem ser implementados de forma semelhante com bancos de dados distribuídos e transações assinadas digitalmente.”

Noor acrescentou. 

No entanto, segundo ele, o hype e os investimentos especulativos em torno do Bitcoin ofuscaram as aplicações práticas e técnicas da tecnologia blockchain, levando a uma adoção febril e às vezes irracional do blockchain sem consideração suficiente do seu real valor e implementação.

Ele afirmou,

“Assim que a febre passar, soluções blockchain com ROI razoável surgirão para resolver alguns problemas.”

Ao discutir aplicações ou inovações específicas que são mais promissoras para aproveitar essas tecnologias para enfrentar os desafios atuais e futuros na proteção de dados e gerenciamento de identidade, Noor enfatizou que os processos de negócios que exigem fluxos de trabalho envolvendo múltiplas partes são o problema natural a ser resolvido com sistemas distribuídos e serviços públicos. criptografia de chave.

Ele concluiu,

“Se deve usar blockchain ou tecnologia tradicional – mas comprovada – é um detalhe de implementação que deve ser analisado como qualquer outro investimento financeiro corporativo.”

O Fed deve automatizar as taxas de juros para uma jornada econômica mais tranquila

Arshad Noor imaginou que os mercados financeiros se tornariam mais eficientes e beneficiariam os consumidores em todo o mundo ao longo do tempo com a introdução de um CBDC de varejo nos EUA. Ele reconheceu,

“Haverá alguns obstáculos na implementação nas fases iniciais; mas à medida que estes problemas se acalmam (mantendo os consumidores inteiros), o sistema tornar-se-á produtivo.”

Noor também previu que a Reserva Federal mudaria o foco do seu actual processo de estabelecimento de taxas de juro. Ele sugeriu o estabelecimento de um sistema para calcular periodicamente as taxas de inflação de forma automática e transparente.

Ele afirmou,

"Imagino que a Reserva Federal opte por desfocar o seu actual processo de estabelecimento de taxas de juro e simplesmente pagar 2% sobre qualquer que seja a actual taxa de inflação num determinado dia. A eficiência obtida com esta estratégia será semelhante à dos automóveis que passam de a transmissão manual para a automática será sempre recompensada com uma taxa de retorno razoável, enquanto os gastadores suportarão o que for necessário pela sua extravagância, sabendo que as decisões de compra individuais já não precisam de estar dependentes de um pequeno grupo de banqueiros centrais que se reúnem algumas vezes por ano. ano, permitirá à economia alcançar uma “viagem mais tranquila”, à medida que as taxas mudam automaticamente, correspondendo às taxas de inflação prevalecentes no mercado.” 

Noor forneceu comentários detalhados sobre questões de segurança cibernética associadas a um CBDC ao Federal Reserve, disponíveis em seu site. Ele disse,

 “Embora as transações de varejo CBDC sejam de natureza transparente, com técnicas apropriadas de criptografia e psuedonimização apoiadas por uma estrutura regulatória nova e transparente para descriptografar tais transações, os cidadãos cumpridores da lei podem ter certeza de que suas transações pessoais serão protegidas e mantidas privadas com tecnologia apropriada e regulamentos."

No entanto, ele alertou que é improvável que atividades nefastas desapareçam da Internet:

“Isto é inerente à natureza humana, onde a arbitragem nas condições e resultados económicos é possível. A questão que a sociedade deve responder é: quanto dinheiro está disposta a gastar para preservar a privacidade individual?”

 Concluiu que na era pré-computador/pré-Internet, proteger informações sensíveis era relativamente barato, exigindo apenas valores nominais para fechaduras/chaves e procedimentos simples. Na era digital, o custo será significativo. Noor enfatizou,

“Embora as tecnologias de código aberto possam reduzir drasticamente os custos, estabelecer, operar e aplicar o quadro regulamentar para preservar a privacidade – e os controlos de segurança que isso implicará – exigirá um compromisso significativo a longo prazo.”

Isenção de responsabilidade: este artigo é fornecido apenas para fins informativos. Ele não é oferecido nem tem a intenção de ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.