Todos os produtos, digitais e físicos, passam por uma cadeia de suprimentos – uma rede de atores que suporta seu ciclo de vida. Mas à medida que o mercado global se torna cada vez mais interconectado, os ataques da cadeia de suprimentos estão em ascensão.
Em março de 2023, os cibercriminosos se infiltraram no ambiente de construção do 3CX, injetando código malicioso em um arquivo de biblioteca para seus aplicativos MacOS e Windows Desktop. O arquivo comprometido foi distribuído por atualizações oficiais, expondo os usuários ao malware. Essa violação enfatizou as deficiências dos sistemas centralizados na proteção de cadeias de suprimentos, pois um único fornecedor comprometido pode comprometer a privacidade de toda a base de clientes.
As cadeias de suprimentos da Web3, alavancando a blockchain e a infraestrutura de chave pública descentralizada (DPKI), oferecem uma alternativa robusta. Ao priorizar a transparência, a rastreabilidade e a segurança à prova de adulteração, eles apresentam uma defesa mais forte contra as ameaças da cadeia de suprimentos.
Este artigo explora como o DPKI em redes de blockchain supera o PKI tradicional e por que uma cadeia de suprimentos alimentada por este último apresenta uma porca mais difícil para os maus atores racharem.
Entendendo a infraestrutura de chave pública (PKI)
O que é PKI?
A IBM define a ‘infraestrutura de chave pública (PKI)’ como uma estrutura abrangente usada para atribuir e verificar a identidade do usuário por meio de certificados digitais, para comunicações digitais seguras. Toda a estrutura do PKI depende da criptografia assimétrica- o uso de um par público e privado para criptografar e descriptografar dados, respectivamente.
O PKI nos permite associar identidades a pares de chave específicos. Embora a chave pública possa ser visível para qualquer pessoa na rede, apenas a entidade com a chave privada correspondente pode acessar recursos ou informações específicas.
Em uma cadeia de suprimentos, a PKI combina certificados digitais e criptografia assimétrica para estabelecer confiança e garantir a integridade. As chaves públicas são incorporadas em um certificado digital, que autentica o usuário ou dispositivo que se comunica em toda a rede.
Principais componentes de uma infraestrutura de chave pública
- Autoridade de Certificação (CA): A Autoridade de Certificação é uma entidade confiável que emite certificados digitais aos participantes da cadeia de suprimentos, por exemplo, desenvolvedores, provedores de análise, gateways de pagamento, fornecedores de nuvem, etc.
- Certificado: os certificados digitais são credenciais criptográficas, emitidas e assinadas pela CA, usadas para verificar a identidade e a comunicação segura entre os atores da cadeia de suprimentos. Eles normalmente incluem chaves públicas e detalhes de identidade, acessíveis mediante solicitação.
- Autoridade de Registro (RA): O AR garante que apenas os participantes autorizados possam obter um certificado digital, aumentando assim a segurança dentro da cadeia de suprimentos. A CA pode dobrar como a autoridade de registro, embora os serviços de terceiros confiáveis sejam igualmente eficientes.
- Banco de dados de certificado: Este componente PKI é um repositório ou local seguro que as lojas emitiram certificados digitais, juntamente com seus metadados, ou seja, chaves públicas, status de revogação e detalhes de validade.
- Política de certificação: Este é um documento formal que descreve os procedimentos e requisitos que regem a emissão, uso e gerenciamento de certificados digitais na cadeia de suprimentos.
- Diretório Central: O diretório central é um repositório público em que as chaves criptográficas, os certificados digitais e as listas de revogação de certificados (CRLs) são indexadas e armazenadas. Ele permite que qualquer pessoa no ecossistema autentique uma assinatura digital e criptografa dados para um proprietário -chave específico.
Sistemas tradicionais de cadeia de suprimentos (Web2) vs. cadeias de suprimentos orientadas por Web3
As cadeias de suprimentos baseadas em Web2 são centralizadas; Os participantes confiam nas autoridades de certificação para verificar outros atores e estabelecer confiança. Além disso, certificados digitais e chaves criptográficas são armazenadas em diretórios centrais, deixando espaço para ataques da cadeia de suprimentos na ausência de medidas de segurança robustas.
Outro recurso das cadeias de suprimentos baseadas em Web2 é a opacidade em torno da emissão e revogação de certificados. Não existe uma métrica universal para determinar a elegibilidade para emissão de certificados. Em vez disso, as entidades devem operar com uma suposição de confiança de que a CA examinou adequadamente o solicitante.
Muitas vezes, atualizações atrasadas e visibilidade limitada associadas às listas de revogação de certificados (CRLs) podem resultar em certificados revogados que aparecem válidos em dispositivos ou aplicativos relacionados. Isso pode afetar a integridade da cadeia de suprimentos, devido ao acesso não autorizado, bens adulterados, problemas de conformidade e perda de confiança.
Exemplo: Em 2024, o Google excluiu a Indust (uma autoridade de certificação anteriormente respeitável), de seu programa Chrome Root devido a mau funcionamento em suas operações de emissão e revogação de certificados. Alguns meses antes, a INDUST admitiu ter descartado mais de 26.000 certificados digitais e não os revogue na linha do tempo da revogação descrita pelo fórum da autoridade/navegador de certificados.
As cadeias de suprimentos orientadas por Web3, por outro lado, aproveitam sistemas descentralizados, contratos inteligentes e transações pseudônimas para criar um ecossistema de confiança, transparente e seguro. Ao contrário das cadeias de suprimentos tradicionais que dependem de autoridades centralizadas, o Web3 permite que cada participante interaja diretamente em uma blockchain compartilhada, reduzindo intermediários e pontos únicos de falha.
Além disso, os dados da PKI (isto é, as chaves e certificados públicos) são armazenados imutáveis em uma blockchain, tornando-os quase à prova de violação, sendo facilmente acessíveis para verificação. Juntos, esses recursos tornam as cadeias de suprimentos da Web3 mais resilientes e confiáveis do que as contrapartes radicionais.
De PKI a DPKI: fortalecendo a integridade da cadeia de suprimentos na Web3
Nos sistemas orientados a Web3, a implementação da PKI muda das autoridades tradicionais de certificação (CAS) para modelos descentralizados ou distribuídos que se alinham aos princípios da Web3, portanto, o termo-infraestrutura de chave pública (DPKI).
A idéia por trás dela é simples: ative a verificação à prova de adulteração dos dados e participantes da cadeia de suprimentos, sem depender de um banco de dados centralizado.
Veja como o DPKI aprimora a integridade da cadeia de suprimentos em um ecossistema Web3:
- Modelos de confiança descentralizados gerenciam autenticação e verificação
Em vez de uma entidade centralizada, o DPKI conta com uma rede de confiança-uma rede de participantes na cadeia que verificam e autenticam coletivamente informações. Cada fornecedor na cadeia usa um identificador descentralizado (DID), que funciona como uma assinatura digital exclusiva, para provar autenticidade, acessar dados e transações de assinatura.
Os fornecedores interagindo em uma rede de suprimentos descentralizados usam seus DIDs para acessar dados proprietários, verificar pedidos de compra e acessar canais seguros. Da mesma forma, um produto dentro da cadeia pode ser atribuído, permitindo que os participantes verifiquem sua origem e autenticidade a cada etapa.
- Contratos inteligentes garantem a transparência e a integridade dos dados
Os contratos inteligentes são programas auto-executivos armazenados em uma blockchain que aciona automaticamente ações específicas assim que as condições predefinidas forem atendidas. Eles automatizam vários processos dentro de uma cadeia de suprimentos, como processamento de pagamentos, emissão de ingressos ou aprovação de remessas. Todas as interações com o contrato são registradas na blockchain, criando uma trilha de auditoria permanente e à prova de violação.
Este registro permite que as partes interessadas rastreem:
- A jornada de mercadorias através da cadeia de suprimentos.
- Conformidade com os padrões em cada estágio.
- Discrepâncias de volta à sua fonte.
A automação por meio de contratos digitais reduz o risco de fraude, erro humano e problemas de conformidade.
- Escalabilidade movida a blockchain
Ao eliminar a dependência de uma autoridade de certificação e outros intermediários, a infraestrutura de chave pública descentralizada oferece mais escalabilidade às cadeias de suprimentos baseadas em Web3. No PKI tradicional, o gerenciamento de certificados em uma cadeia de suprimentos complexa pode deixar a rede de suprimentos vulnerável a pontos únicos de falha. Além disso, a escala pode exigir o envolvimento de várias autoridades de certificação, provavelmente resultando em atrasos ou gargalos em torno da emissão e revogação de certificados. Essa abordagem é intensiva em recursos e pode não ser realista para cadeias de suprimentos globais envolvendo inúmeras entidades.
Por outro lado, as cadeias de suprimentos orientadas por Web3 aproveitam o blockchain como uma âncora de confiança, permitindo um sistema distribuído onde registros e identidades são verificáveis por todos os participantes da cadeia. O resultado é uma infraestrutura mais eficiente e escalável, adaptada à complexidade das cadeias de suprimentos modernas.
Vantagens do DPKI para (Web3) cadeias de suprimentos
- Elimina os riscos da autoridade central: nenhuma entidade pode comprometer a cadeia de suprimentos.
- Identidade auto-deverana: os participantes da cadeia de suprimentos controlam suas identidades criptográficas, reduzindo a sobrecarga associada à emissão e gerenciamento tradicionais de certificação.
- Transparência aprimorada: todas as ações (como criação e revogação de chaves) e transações são registradas publicamente, promovendo confiança e responsabilidade em toda a cadeia.
- Eficiência: a automação por meio de contratos inteligentes simplifica processos como inspeções e aprovações, economizando tempo e recursos.
- Segurança aprimorada: assinaturas criptográficas impedem adulteração e fraude de dados, protegendo assim a autenticidade dos dados.
- Escalabilidade aprimorada: os participantes podem gerenciar suas chaves e verificar outras pessoas sem gargalos de autoridades centralizadas.
Integração de blockchain: um caminho para modernizar cadeias de suprimentos
A mudança dos sistemas centralizados para descentralizados não é mais um conceito futurista, mas uma realidade crescente para as empresas da Web2 que desejam modernizar suas cadeias de suprimentos. Empresas como a IBM, com seu Blockchain Food Trust, e a De Beers ‘TRACR, usadas para rastrear diamantes da fonte para a loja, demonstram como o Blockchain e o DPKI podem se integrar perfeitamente aos modelos de cadeia de suprimentos existentes para melhorar a transparência e a confiança.
Aproveitar os benefícios dos sistemas de suprimentos descentralizados não requer uma revisão repentina da cadeia de suprimentos existente. As empresas da Web2 podem adotar uma abordagem incremental – aumentando a identificação de casos de uso – e testando DPKI em áreas direcionadas, antes de escalar gradualmente a integração em toda a cadeia de suprimentos.
