As pessoas muitas vezes assumem que, uma vez que você esteja verificado, o serviço que trata da verificação realmente viu seus documentos, avaliou-os e simplesmente se lembra do resultado.
A verificação de identidade da Newton foi projetada de forma diferente. A verificação é executada dentro de um TEE, um Trusted Execution Environment (Ambiente de Execução Confiável), de modo que a infraestrutura normal do verificador nunca acesse diretamente os dados de identidade subjacentes. Ele recebe o resultado da verificação, em vez das entradas brutas em si.
Esse é um modelo de segurança diferente daquele de apenas criptografia. A criptografia protege os dados enquanto eles estão armazenados ou em trânsito, mas geralmente alguém precisa descriptografar para realizar a verificação. Um TEE busca manter essa computação isolada mesmo, com o sistema hospedeiro incapaz de inspecionar o que acontece dentro do enclave.
Isso também se encaixa no modelo de identidade mais amplo da Newton. Os verificadores validam provas de credenciais sem aprender as informações pessoais subjacentes. O objetivo não é apenas manter os dados fora da cadeia (off chain), mas também mantê-los ocultos do verificador.
A questão restante é a de confiança. TEEs reduzem o quanto você precisa confiar no Verificador, mas não eliminam a confiança totalmente. Em vez disso, parte dessa confiança muda para a implementação do TEE, o fornecedor do hardware, o firmware e o processo de atestação. TEEs já tiveram vulnerabilidades reais de hardware e de canal lateral no passado, então eles são um mecanismo de redução de risco (risk reduction), e não uma garantia.
O que mais me intriga é o modelo de falha. Se uma vulnerabilidade séria de TEE fosse descoberta no hardware em que a Newton se baseia, o que aconteceria com as credenciais que foram verificadas anteriormente por esses enclaves? O impacto seria limitado a futuras atestações depois que a vulnerabilidade fosse conhecida, ou sessões de verificação anteriores também poderiam ser consideradas comprometidas? E, se isso acontecesse, existe um processo de recuperação documentado, como revogar enclaves confiáveis, rotacionar chaves de atestação ou exigir que as credenciais sejam revalidadas?
$NEWT @NewtonProtocol #Newt $LAB $TLM #labcrashed