CEVIU Logo
Voltar

Credenciais Anônimas Ganham Destaque com Novas Leis de Verificação

Aprofundamento CEVIU

Aprofundamento

Credenciais anônimas deixaram de ser experimentos acadêmicos: são agora peças-chave em infraestruturas de verificação de idade exigidas por lei em 25 estados dos EUA e em países como França, onde a CNIL obriga métodos 'double-blind' para sites adultos. O cerne técnico não é só provar 'mais de 18 anos', mas fazê-lo sem expor data de nascimento, CPF ou até mesmo o hash do documento, usando provas de conhecimento zero (ZKPs) que convencem sem revelar. A clonagem, porém, é o calcanhar de Aquiles: uma credencial anônima roubada é indistinguível de uma legítima, pois não tem identificador único. Por isso, soluções como as 'Private Access Tokens' da Apple e os 'Anonymous Rate-limited Credentials' (ARC) do IETF já incorporam limites de uso, revogação dinâmica e vinculação a hardware confiável, como TPMs.

O OONI, em janeiro de 2026, lançou um sistema em Rust com camadas de ZKP que autentica metadados de sondas (como contagem de medições ou status de confiança) sem rastrear a origem, um caso prático de como essas credenciais evoluíram de simples 'sim/não' para lógica condicional complexa. Enquanto isso, o EU Digital Identity Wallet, previsto para 2026, não será apenas um repositório, mas um ambiente de execução para provas criptográficas em tempo real, integrando diretamente ZKPs no fluxo de verificação governamental.

Por que isso importa

Empresas que operam em múltiplas jurisdições precisam agora escolher entre três modelos de risco: credenciais de uso único (Chaumian), que impedem clonagem mas geram sobrecarga operacional; credenciais reutilizáveis com revogação centralizada (como ARC), que exigem infraestrutura de confiança compartilhada; ou sistemas vinculados a hardware (ex.: Google's TPM-bound tokens), que reduzem risco de cópia, mas dependem de segurança do dispositivo final, e falham se o TPM for comprometido. O conluio emissor-recurso não é teórico: em 2025, auditorias independentes descobriram que dois provedores de verificação de idade europeus compartilhavam chaves privadas para 'verificabilidade privada', permitindo rastreamento cruzado de usuários. Isso torna a adoção de 'verificabilidade pública', onde o verificador só usa chave pública, uma exigência técnica, não opcional.

Perguntas frequentes

Credenciais anônimas realmente impedem que empresas saibam quem sou?

Sim, desde que implementadas com verificabilidade pública e sem backdoors. Sistemas como ARC ou zk-creds permitem provar atributos (ex.: 'idade ≥ 18') sem expor identificadores. Mas se o emissor e o verificador compartilharem segredos (como chaves privadas), o rastreamento vira trivial, e isso já foi observado em implantações reais na Europa.

Por que vincular credenciais a hardware como TPM resolve o problema da clonagem?

Porque o TPM gera e armazena chaves criptográficas de forma isolada do sistema operacional. Para clonar a credencial, um atacante teria que extrair a chave diretamente do chip físico, algo tecnicamente inviável em dispositivos modernos. Mas essa proteção desaparece em celulares antigos ou PCs sem TPM ativado.

O que muda com o EU Digital Identity Wallet em 2026?

Ele não é só um 'carteira digital'. É uma plataforma que executa provas ZKP localmente no dispositivo do usuário antes de enviar apenas a prova válida ao serviço. Isso transfere o poder de verificação do servidor para o cliente, reduzindo superfície de ataque e eliminando bancos de dados centralizados de atributos sensíveis.

PrivacyPass ainda é relevante, ou foi superado?

PrivacyPass continua sendo o padrão mais implantado, usado por Cloudflare, Brave e Microsoft Edge, mas é limitado a cenários de 'acesso repetido' (ex.: pular CAPTCHA). Não suporta lógica condicional avançada (ex.: 'provar idade ≥ 18 E residência na UE'). Novos padrões como ARC e Longfellow foram criados justamente para preencher essa lacuna.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
06 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser