Boas-vindas à parte 4 da nossa série de posts no blog sobre credenciais digitais verificáveis (VDCs)! Nos posts anteriores, preparamos o terreno para por que as VDCs são importantes, descompactamos o que são as VDCs e exploramos casos de uso práticos onde as VDCs agregam valor.
Neste artigo, vamos analisar mais a fundo o ecossistema do VDC, incluindo:
- Terminologia chave
- Como os VDCs se comparam à federação e às passkeys
- Padrões e protocolos
- Como as credenciais são emitidas e confiáveis
- Onde Okta e Auth0 se encaixam
Vamos mergulhar!
Terminologia
Para facilitar a compreensão dos detalhes técnicos, vamos revisitar o cenário da loja de fogos de artifício do nosso blog anterior. Imagine que você está tentando comprar estrelinhas e giradores online, e a loja precisa verificar se você tem mais de 18 anos. Veja como os principais players e conceitos no mundo das credenciais digitais verificáveis (VDC) se aplicam a essa experiência:
Os atores
Você é o titular: você é a pessoa que possui a credencial. (Em alguns casos, um pai pode manter as credenciais de um filho em seu nome.
A loja de fogos de artifício é o verificador: ela solicita e valida a credencial para confirmar sua idade.
O DMV do seu estado é o emissor: ele afirma alegações sobre você — neste caso, que você tem 18 anos ou mais — emitindo uma carteira de motorista móvel (mDL).
As ferramentas
Sua carteira é o aplicativo no seu telefone que armazena e apresenta as credenciais (um tipo de gerenciador de credenciais, que de forma mais ampla inclui software para gerenciar senhas, passkeys e IDs digitais).
O mDL em si é a credencial digital verificável (VDC) — uma credencial digital que é criptograficamente verificável.
Confiança e controle
Quando você faz o check-out, pode usar a divulgação seletiva para compartilhar apenas o fato de que tem 18 anos, sem revelar sua data de nascimento completa ou endereço residencial.
A loja de fogos de artifício sabe que pode confiar no DMV porque o DMV faz parte de uma lista de confiança — um registro de emissores confiáveis e suas âncoras criptográficas...
Por trás dessa lista de confiança está uma estrutura de confiança — as regras de negócios e políticas que determinam como os emissores entram na lista e quais padrões eles devem seguir.
Como os VDCs são diferentes da federação e das passkeys?
Os VDCs não substituem o federation ou as passkeys. Pense neles como ferramentas complementares: o federation conecta identidades entre sistemas, as passkeys protegem a autenticação e os VDCs trazem informações portáteis e verificáveis para a mistura. Juntos, eles criam um ecossistema de identidade mais forte e fácil de usar.
federação
O login federado (também conhecido como social sign-in) tem sido um elemento básico da autenticação de consumidor e empresarial por anos. Veja como funciona:
- O usuário faz login através de um provedor de identidade (IdP) como o Google.
- O IdP autentica o usuário e emite um token (com declarações como nome, e-mail, telefone).
- O token é enviado de volta ao serviço, que configura uma conta para o usuário.
O lado bom: Os usuários não precisam lembrar outra senha.
O lado ruim: Cada vez que você usa um IdP federado, você sinaliza qual serviço você está tentando acessar, juntamente com metadados como sua localização aproximada. Embora o IdP federado seja útil em contextos de força de trabalho, isso cria riscos significativos de privacidade para os consumidores.
VDCs
- Você pode pensar nas VDCs como uma forma evoluída de federação.
- Um emissor (semelhante a um IdP em federação) declara informações sobre você.
- Você, o titular, apresenta essas reivindicações a um verificador (semelhante a um provedor de serviços em federação).
- O verificador verifica a validade usando uma ou mais listas de confiança.
Diferença fundamental: Você pode manter e controlar o que é compartilhado no VDC. Você não precisa ter seus dados pessoais armazenados em sua conta federada (ou de login social). E a empresa que possui sua conta federada não precisa manter suas informações pessoais e não vê quando ou como você as está usando. Dessa forma, os VDCs aumentam a privacidade, dando a você mais controle sobre seus dados de identidade.
Chaves de acesso
As passkeys surgiram como uma alternativa resistente a phishing para senhas, OTPs e links mágicos. À primeira vista, eles podem parecer semelhantes aos VDCs (ambos envolvem criptografia e podem estar dentro de uma carteira ou gerenciador de credenciais), mas resolvem um problema diferente:
Passkeys = para autenticação (provando “sou eu” para um serviço).
VDCs = para apresentar declarações (provando algo sobre você).
Vale a pena notar que as passkeys são exclusivas para cada site ou aplicativo, como ter uma chave diferente para cada fechadura, o que as torna protetoras da privacidade por padrão. Nenhum serviço pode vincular o uso de sua passkey em diferentes sites. Por outro lado, os VDCs exigem salvaguardas extras (como criptografia avançada e emissão em massa) para ajudar a garantir que não se tornem vetores de rastreamento quando apresentados online.
Como eles trabalham juntos
As passkeys, a federação e os VDCs abordam diferentes camadas da pilha de identidade e são complementares, e não competitivas. Na prática, estes costumam trabalhar juntos:
Um pedido de hipoteca pode começar com um VDC emitido pelo governo para comprovar a identidade. Uma vez que a identidade é verificada e uma conta é criada, uma passkey é criada para o usuário para logins futuros.
Um serviço de entrega de álcool pode permitir a inscrição por meio de um IdP federado (por exemplo, Fazer login com o Google), autenticar com uma chave de acesso nesse IdP (para que você não dependa de uma senha) e, em seguida, solicitar um VDC emitido pelo governo durante o checkout para verificar a idade.
Para um mergulho mais profundo, confira minha sessão Identiverse 2025: Passkeys and Verifiable Digital Credentials: Friends or Foes?
SD-JWT VC, Digital Credentials API, OpenID for Verifiable Presentations, Oh My
O ecossistema de credenciais digitais verificáveis é bastante extenso e envolve muitos padrões técnicos diferentes desenvolvidos em várias organizações de desenvolvimento de padrões. Os padrões cobrem todos os cantos do ecossistema para suportar a interoperabilidade: identificadores, gerenciamento de chaves, esquemas, formatos de credenciais, protocolos de apresentação, protocolos de emissão, APIs da web e muito mais. Aqui estão alguns padrões principais.
Formatos de credenciais
SD-JWT VC é um formato de credencial VDC que oferece suporte à divulgação seletiva e é baseado no conhecido e amigável JSON Web Token para desenvolvedores. SD-JWT VC é desenvolvido na IETF.
O formato mdoc, definido na especificação ISO 18013-5, é usado principalmente para mDLs e outros documentos de identidade emitidos pelo governo. Embora o mdoc defina a estrutura da credencial, a ISO 18013-5 também especifica regras para emissão e uso físico e presencial. A ISO 18013-7 estende isso a cenários de apresentação remota (online), traçando o perfil de especificações existentes como OpenID4VP e a API de Credenciais Digitais para oferecer suporte à verificação segura pela web.
*Nota: As especificações ISO não estão disponíveis gratuitamente e devem ser adquiridas por todos os leitores.
Protocolos
OpenID for Verifiable Credential Issuance (OpenID4VCI) define como um emissor e um gerenciador de credenciais (carteira) trocam informações para emitir um VDC. Ele oferece suporte a vários formatos de credenciais e pode ser usado sozinho ou por meio da Digital Credentials API.
O OpenID for Verifiable Presentations (OpenID4VP) define como um gerenciador de credenciais (carteira) apresenta um VDC a um verificador. O protocolo é independente do formato da credencial e pode ser suportado por qualquer carteira. O OpenID4VP pode ser usado com fluxos tradicionais baseados em redirecionamento ou através da API de Credenciais Digitais.
Juntos, OpenID4VCI e OpenID4VP formam a família OpenID for Verifiable Credentials, desenvolvida na OpenID Foundation.
APIs
A W3C Digital Credentials API, um esforço liderado pelo Okta em colaboração com alguns parceiros do setor, é uma peça crucial do ecossistema VDC. Ele permite a emissão e apresentação seguras e fáceis de usar de VDCs na web e em aplicativos. Se você estiver familiarizado com a WebAuthn API para passkeys, a Digital Credentials API desempenha um papel semelhante para VDCs.
Eis por que isso importa:
Visual à esquerda: fluxo de apresentação do VDC com “esquema personalizado” — um usuário vê um prompt vago para selecionar uma carteira e não tem nenhum contexto sobre a solicitação.
- Visualização correta: fluxo de apresentação do VDC com a API Digital Credentials — o usuário vê quem está solicitando a credencial e um carrossel claro de opções para cumpri-la — não há necessidade de o usuário se lembrar de onde armazenou cada credencial.
Para juntar algumas das peças (acrônimos e tudo), podemos emitir um SD-JWT VC usando OID4VCI através da Digital Credentials API, e então solicitar uma apresentação do SD-JWT VC usando OID4VP através da Digital Credentials API!
Como obtenho uma credencial digital verificável?
Antes de poder apresentar um VDC, você primeiro precisa receber um. Existem duas maneiras comuns de isso acontecer:
1. Emissão iniciada por site ou aplicativo
Pense nisso como salvar um cartão de embarque ou ingresso de show no seu telefone. Em um site ou aplicativo, um botão solicita que você “Adicione à carteira”. Para VDCs, clicar nisso invoca a API Digital Credentials e pergunta a qual gerenciador de credenciais (carteira) você gostaria de salvar a credencial. A carteira pode então exibir UI adicional para concluir o processo.
2. Emissão iniciada pelo gerenciador de credenciais ou carteira
Às vezes, o processo começa diretamente no seu gerenciador ou carteira de credenciais. Isso é típico para mDLs nos EUA ou credenciais derivadas como Google ID Pass. A carteira orienta você no processo de solicitação e salvamento de credenciais sem a necessidade de um site ou aplicativo separado. Abaixo estão exemplos das telas "Adicionar à carteira" no Apple Wallet, Google Wallet e Samsung Wallet.
Ambos os fluxos são projetados para serem simples, seguros e familiares — aproveitando os mesmos padrões que os usuários já conhecem de ingressos digitais, cartões de fidelidade ou cartões de embarque.
Como posso confiar em um VDC?
A confiança nas VDCs começa com a criptografia. Quando um verificador recebe uma credencial, a primeira verificação é sua assinatura digital — confirmando que ela foi emitida por uma autoridade confiável.
Para tornar isso possível, os ecossistemas dependem de listas de confiança e estruturas de confiança. Uma lista de confiança é essencialmente um conjunto selecionado de entidades confiáveis e suas chaves de assinatura — pense nisso como as CAs (autoridades de certificação) raiz no armazenamento de confiança do seu navegador. Uma estrutura de confiança define as regras e políticas de como os emissores entram na lista, combinando requisitos técnicos e de negócios.
Tomemos os mDLs como exemplo: nos EUA e no Canadá, os Departamentos de Veículos Motorizados (DMVs) estaduais e provinciais publicam suas chaves de assinatura por meio do Serviço de Confiança Digital da Associação Americana de Administradores de Veículos Motorizados (AAMVA). Essas chaves — chamadas Autoridades de Certificação da Autoridade Emissora (IACAs) — atuam como âncoras de confiança. Plataformas como Okta e Auth0 podem ser sincronizadas regularmente com a AAMVA para garantir que novos emissores sejam reconhecidos automaticamente.
Este modelo não se limita a documentos de identificação governamentais. Na educação, as federações já intermedeiam a confiança entre universidades e países; nos setores de saúde, finanças e outros, as associações do setor desempenham um papel semelhante. Essas listas e estruturas de confiança serão o que manterá os VDCs interoperáveis e confiáveis entre domínios e fronteiras.
Onde a Okta e a Auth0 se encaixam no ecossistema VDC?
Imagine que você está criando um novo aplicativo que precisa verificar a idade, o emprego ou o status de certificação dos usuários. No papel, parece simples, mas, na realidade, lidar com padrões fragmentados, vários formatos de credenciais e IDs digitais e físicos pode ser complicado.
É aqui que a Okta e a Auth0 fornecem valor real. Nossas plataformas já lidam com as principais funções de identidade: emissão de declarações, consumo de declarações de outros provedores de identidade e fornecimento de SDKs e bibliotecas para integrar a identidade em quase qualquer aplicativo.
Ao oferecer recursos de verificação e emissão de VDC, simplificamos a implementação para os desenvolvedores, abstraindo a complexidade de uma pilha de padrões emaranhada. Isso estabelece uma base para que os VDCs se tornem um bloco de construção contínuo e reutilizável para a identidade digital no futuro.
Estamos construindo uma base que torna essa nova capacidade essencial um bloco de construção perfeito para o futuro. Para casos de uso mais complexos ou de longo prazo — como certificações profissionais ou Smart Health Cards — nossas ferramentas ajudam desenvolvedores, administradores e consumidores a construir e dar suporte às suas comunidades de forma segura.
Para saber mais e ver os VDCs em ação, visite oktacredentials.dev.
