# As 24 palavras: o que é uma identidade criptográfica

> Cuadernos Lacre
> https://solo2.net/pt/cadernos/articulos/a-diferenca-entre-palavra-passe-e-identidade.html

Uma identidade criptográfica não é uma senha: nenhum servidor a guarda e não se recupera. Uma explicação didática do mecanismo BIP39, por que exatamente vinte e quatro palavras, e que peso real recai sobre quem as possui.

---

> Para nos entendermos: Se esquecer a sua senha do Gmail, a Google redefine-a para si. Se perder as 24 palavras que compõem uma identidade criptográfica, não há a quem as pedir. Não é que o procedimento seja rigoroso — é que não existe ninguém na outra ponta. Essa diferença é toda a diferença.

## A diferença entre uma senha e uma identidade

Uma senha, no modelo clássico da internet, não é a identidade do utilizador. É um comprovativo. O utilizador tem uma identidade — um nome, um e-mail, um número de cliente — e, para demonstrar perante um servidor que é quem diz ser, apresenta uma senha que o servidor compara com uma pegada que tinha armazenada. Se as pegadas coincidirem, o servidor concede a sessão. Se a senha for perdida, o utilizador continua a ser o mesmo utilizador; o que perde é o comprovativo, e existe um procedimento de recuperação — um e-mail para o endereço registado, uma pergunta de segurança — para o restituir.

Uma identidade criptográfica funciona de outra maneira. Não é uma credencial que alguém compare com uma pegada armazenada; *é* um segredo matemático completo em si mesmo. Não importa onde resida — num papel, num dispositivo, até num servidor alheio —: a identidade existe pela sua matemática, não por quem a valida. Aqui aparece uma propriedade parecida com a que vimos em «O que é realmente o SHA-256»: a posse não se demonstra exibindo o segredo, mas usando-o para assinar. A assinatura assim produzida qualquer pessoa pode verificar com um valor público que deriva matematicamente do próprio segredo, sem necessidade de conhecer o segredo em si, e sem que um terceiro medie a verificação. Quem tem o segredo, é a identidade; quem o perde, deixa de o ser. A sentença é categórica: não há ninguém a quem pedir que lhe devolva a identidade. Esse alguém não existe, porque não a possuía em primeiro lugar.

## O que representam vinte e quatro palavras

A identidade criptográfica é habitualmente representada por um segredo matemático de trinta e dois bytes — duzentos e cinquenta e seis bits. Um número difícil de reter e ainda mais difícil de transcrever sem erro. A indústria criptográfica resolveu este problema em 2013 com um padrão pequeno e elegante chamado BIP39: uma forma de representar esses duzentos e cinquenta e seis bits como uma sequência de vinte e quatro palavras retiradas de uma lista oficial de duas mil quarenta e oito. A aritmética por trás encaixa com elegância; quem quiser vê-la em detalhe encontra-a na margem.

A conta não é decorativa. Se alguém transcrever vinte e três palavras corretamente e se equivocar na vigésima quarta, a soma de verificação detetará o erro: o software dirá "esta sequência não é válida". Se alguém transcrever as vinte e quatro corretas, o software derivará a mesma identidade sem ambiguidade. A escolha da lista de palavras também é deliberada: as palavras do vocabulário BIP39 são curtas, distintas entre si, sem diacríticos, escolhidas para minimizar confusões fonéticas e ortográficas. É um vocabulário desenhado para ser lembrado, escrito e ditado por seres humanos sem perda.

## Da frase à chave

As vinte e quatro palavras não são a chave criptográfica que assina mensagens. São uma representação recuperável da entropia original que, através de um processo determinístico chamado PBKDF2, se transforma numa semente (seed) de sessenta e quatro bytes. Dessa semente derivam, também de forma determinística, as chaves criptográficas concretas que o usuário utiliza: uma chave privada para assinar e uma chave pública correspondente que é publicada para verificar as assinaturas. O mesmo mecanismo em sistemas diferentes: as criptomoedas usam a curva secp256k1; o protocolo Signal e muitos sistemas modernos usam Ed25519 sobre a curva Curve25519. Para uma curva concreta como Ed25519, os padrões BIP32 e SLIP-0010 pegam nessa semente de sessenta e quatro bytes e derivam, de forma determinística, os trinta e dois bytes que constituem a chave de assinatura efetiva — os mesmos trinta e dois bytes com os quais começa o exemplo de código da próxima seção.

Esta é a forma padrão como toda a indústria apresenta o mecanismo ao usuário —carteiras de criptomoedas, gestores de identidade descentralizada, o Signal na sua parte de identidade persistente, o Solo2 entre eles—: o usuário, na prática, nunca vê a semente nem as chaves derivadas. Vê as vinte e quatro palavras ao criar a sua identidade e, opcionalmente, anota-as num papel. As palavras viajam depois entre os seus dispositivos quando deseja migrar a identidade: insere-as na nova aplicação, a aplicação deriva a mesma semente, as mesmas chaves, a mesma identidade. É um mecanismo portátil, criptograficamente sólido e, dentro dos limites do razoável, memorizável.

## Como assinar com a chave (uma pincelada de Zig)

## O que a frase não é

Convém esclarecer três equívocos frequentes. A frase não é uma senha no sentido próprio: não é comparada com uma impressão digital armazenada num servidor; é inserida no dispositivo do usuário para reconstruir matematicamente a identidade. A frase não se recupera: se for perdida, não há ninguém a quem a pedir; se for duplicada, a identidade também é duplicada. A frase não é uma credencial separável da identidade: a frase *é* a identidade. Quem a possui pode agir como tal, sem permissão adicional, sem processo de autorização, sem recuperação possível.

Esta terceira propriedade é a que muda o peso do assunto. Uma senha perdida é um transtorno administrativo. Uma identidade criptográfica perdida é a identidade. Um papel com a frase encontrado por terceiros não é um risco de roubo de conta: é a entrega da identidade inteira. A promessa do sistema — que ninguém possa revogar a sua identidade ou bloqueá-lo arbitrariamente — vem acompanhada inseparavelmente da responsabilidade — que você é o único guardião de algo que ninguém pode restituir por você.

## A promessa e o peso

O modelo de identidade criptográfica costuma receber o qualificativo de *autossoberana* —self-sovereign na literatura anglo-saxónica—. A escolha da palavra é deliberada e descreve a condição com bastante exatidão. O usuário é soberano sobre a sua identidade num sentido quase medieval: não é concedida por nenhum rei, nenhum emissor, nenhuma autoridade central; tampouco pode ser retirada por nenhum dos anteriores. Mas também, como o monarca medieval, o usuário carrega com a consequência inteira dos seus erros: não há regente que tome decisões no seu lugar se perder o selo.

A escolha entre uma identidade gerida por um terceiro e uma identidade autossoberana não tem uma resposta universal correta. Para a conta de um fórum irrelevante, a identidade gerida é provavelmente proporcional ao risco. Para uma identidade profissional que assina documentos juridicamente vinculativos, para uma identidade económica que guarda as próprias poupanças, para uma identidade de comunicação profissional com clientes que confiaram informações sensíveis, a questão muda. Aí a pergunta deixa de ser «é cómodo?» e torna-se «quem, além de mim, tem o poder de agir como eu, e em que circunstâncias?».

## Onde aparece este mecanismo em sistemas reais

O BIP39 nasceu no mundo do Bitcoin em 2013 e espalhou-se rapidamente para todo o ecossistema das criptomoedas: qualquer carteira séria aceita hoje uma frase BIP39 de doze ou vinte e quatro palavras como backup da identidade económica do seu detentor. Fora das criptomoedas, o mesmo conceito subjacente — par criptográfico que prova a autoria sem intermediário — aparece noutros sistemas com sintaxe diferente. As chaves SSH que um administrador de sistemas usa para aceder aos seus servidores são um caso clássico: uma chave privada que o administrador guarda na sua máquina e uma pública que é copiada para cada servidor; ninguém comparável a um serviço centralizado intervém. O protocolo Signal usa Ed25519 com material de chave persistente no dispositivo; as eIDAS europeias, na sua parte de assinatura qualificada, descansam sobre o mesmo princípio criptográfico, com a diferença de que a chave é custodiada por um prestador de serviços de confiança qualificado em vez do utilizador.

Solo2, plataforma editora desta publicação, usa uma frase BIP39 de vinte e quatro palavras como identidade de cada utilizador. O utilizador, ao criar a sua conta, vê as palavras uma vez. Não são armazenadas em nenhum servidor da Solo2 nem de ninguém: se o utilizador as anota e as custodia, mantém a sua identidade para sempre. Se as perder, perdeu-as. É a consequência coerente com a arquitetura de não haver operador no meio: se a Solo2 pudesse devolver a identidade ao utilizador que a perdeu, poderia também dá-la a quem pressionar a Solo2 para que lha dê.

## Para o leitor profissional

Quatro considerações para quem avalia adotar a identidade criptográfica autossoberana (autosoberana) num contexto profissional :

1. A frase é a identidade. Custódia física — papel, várias cópias em lugares diferentes, eventualmente metal gravado para uso a longo prazo — oferece mais garantias do que a custódia digital, que acrescenta superfície de ataque sem reduzir o risco de perda.
2. Não há recuperação. Desenhar o processo assumindo que um dia se perde a cópia primária convém muito mais do que descobri-lo no dia em que se perde. Uma segunda cópia geograficamente separada resolve quase todos os cenários.
3. Não é o mesmo que um certificado qualificado eIDAS. Para assinatura qualificada na União — escrituras notariais, certos trâmites com a Administração — a legislação exige um fornecedor qualificado que custodie a chave. A identidade criptográfica autossoberana serve para a comunicação profissional e a assinatura documental com valor probatório, mas não substitui automaticamente o certificado qualificado nos casos onde a norma o exige.
4. Se a identidade vai ser transferida — herança, sucessão profissional, encerramento de atividade — convém preparar o procedimento antes, não depois. Procedimentos formais com envelopes selados com lacre (lacre), instruções a um executor, depósito em cartório, são arranjos clássicos perfeitamente compatíveis com a natureza criptográfica do ativo.

---

*Este artigo fecha o trio conceptual que abriu o ciclo — hash, cifragem, identidade —. As três ideias constroem-se umas sobre as outras: o hash dá a pegada inalterável, a cifragem dá a confidencialidade sem terceiro de confiança, a identidade dá a autoria sem terceiro de concessão. As tres partilham uma propriedade que também não é ideológica: trasladam, de quem gere um serviço para quem o usa, capacidades técnicas que tradicionalmente residiam no operador. Trasladam com elas também responsabilidades. Falar com honestidade de qualquer uma das três exige falar também das outras duas.*

## Fontes e leitura adicional

- Palatinus, M.; Rusnak, P.; Voisine, A.; Bowe, S. — *BIP-0039: Mnemonic code for generating deterministic keys*, proposta de melhoria do Bitcoin de 2013. Padrão de facto para frases de recuperação na indústria criptográfica.
- RFC 8032 — Edwards-Curve Digital Signature Algorithm (EdDSA), incluindo Ed25519. IETF, janeiro de 2017. Especificação normativa do esquema de assinatura usado em boa parte da indústria contemporânea.
- RFC 2898 — PKCS #5: Password-Based Cryptography Specification, versão 2.0. IETF, setembro de 2000. Define o algoritmo PBKDF2 usado na derivação BIP39 de frase a semente (seed).
- Regulamento (UE) 910/2014 (eIDAS) e a sua evolução pelo Regulamento (UE) 2024/1183 (eIDAS 2) — quadro europeu de identidade eletrónica e assinatura qualificada. Regime distinto do autossoberano, mas conceptualmente apoiado nos mesmos primitivos criptográficos.
- Allen, C. — *The Path to Self-Sovereign Identity* (2016). Texto canónico sobre os princípios e compromissos do modelo autossoberano, anterior mas relevante para a compreensão da família de soluções contemporâneas.

---

*Cuadernos Lacre · Uma publicação da Menzuri Gestión S.L. · escrita por R.Eugenio · editada pela equipa do Solo2.*
*https://solo2.net/pt/cadernos/*
