Alle Beiträge

9 Min. Lesezeit

Aktiv, deaktiviert, gelöscht: Was jeder Identitätszustand bedeutet

Eine CardanoWall-Identität zu deaktivieren oder zu löschen ändert, wie dein Account sie nutzt – aber es ändert nie die kryptografische Gültigkeit von Einträgen, die bereits auf Cardano veröffentlicht wurden.

CardanoWall gibt jeder Identität in deinem Account einen Lebenszyklus-Zustand, der steuert, wie diese Identität genutzt werden kann. Aktiv bedeutet volle Nutzung. Deaktiviert bedeutet, dass die Identität gelistet bleibt und weiterhin entschlüsseln kann, aber in deinem Account vom neuen Signieren, Veröffentlichen und Senden ausgeschlossen ist. Gelöscht ist überhaupt kein Zustand – es ist eine Aktion, die die Identität von deinem Account löst und ihren Eintrag aus deinem verschlüsselten Tresor entfernt; durch erneutes Importieren des gespeicherten Identity Seed stellst du den Zugriff wieder her.

Keine dieser Aktionen auf Account-Ebene schreibt die Blockchain um. Ein Nachweis, den du bereits veröffentlicht hast, bleibt für immer gültig und verifizierbar – egal, in welchem Zustand sich die veröffentlichende Identität befindet.

Warum hat eine Identität überhaupt einen Lebenszyklus?

Weil Kryptografie und Account zwei verschiedene Schichten sind und nur eine davon dauerhaft ist.

Eine CardanoWall-Identität baut auf dem Standard Label 309 auf, in dem eine Identität genau eine Sache ist: ein 32 Byte großer Identity Seed und die daraus abgeleiteten Schlüssel. Diese Bindung ist unveränderlich – ein Seed ist eine Identität, für die gesamte Lebensdauer dieser Identität. Es gibt kein „den Schlüssel unter derselben Identität rotieren“. (Falls dir diese Idee neu ist, beginne mit deine Identität ist ein Seed.)

Aber ein gehostetes Produkt muss trotzdem alltägliche Account-Fragen beantworten, die die Kryptografie nicht beantwortet:

  • Soll diese Identität für neue Einträge nutzbar sein?
  • Soll sie für alte Einträge sichtbar bleiben?
  • Soll sie eingehende versiegelte Einträge weiterhin entschlüsseln?
  • Soll sie überhaupt an diesen Account gebunden bleiben?
  • Soll der Nutzer gewarnt werden, bevor er sich auf eine alte Identität verlässt?

Lebenszyklus-Zustände beantworten diese Produktfragen, ohne den Seed zu berühren. Sie sind Account-Buchhaltung, die über einer kryptografischen Tatsache liegt, die sich nie bewegt.

Was tut eine aktive Identität?

Aktiv ist die normale Nutzung. Eine aktive Identität kann:

  • neue Einträge signieren;
  • Nachweise veröffentlichen;
  • versiegelte Einträge senden;
  • an sie adressierte versiegelte Einträge entschlüsseln;
  • im Identitätswechsler erscheinen;
  • den Inbox-Zustand synchronisieren;
  • im Composer ausgewählt werden.

Die meisten Identitäten verbringen den größten Teil ihres Lebens im aktiven Zustand. Die anderen beiden Zustände sind bewusste Entscheidungen, die du für eine bestimmte Identität triffst.

Was bewirkt das Deaktivieren einer Identität?

Deaktivieren bedeutet: Verwende diese Identität in diesem Account nicht für neue Urheberschaft.

Eine deaktivierte Identität bleibt im Account und behält ihren Lesezugriff. Sie kann weiterhin versiegelte Einträge entschlüsseln – einschließlich Einträge, die nach der Deaktivierung eintreffen. Was sie nicht kann, ist aus diesem Account zu signieren, zu veröffentlichen oder zu senden, bis du sie wieder aktivierst. Das wird auf dem Server durchgesetzt, nicht nur durch einen ausgegrauten Button: Der Veröffentlichungspfad prüft den Zustand der Identität, bevor er irgendetwas tut.

Deaktivierung ist das richtige Werkzeug, wenn:

  • ein Team auf eine Ersatzidentität umstellt;
  • ein Schlüssel zwar alt sein mag, aber nicht bestätigt kompromittiert ist;
  • eine Identität für eine Weile schreibgeschützt werden soll;
  • ein Arbeitsablauf pausiert wird;
  • eine geteilte Identität aus einem bestimmten Account heraus nicht mehr veröffentlichen soll.

Sie ist vollständig umkehrbar. Das Reaktivieren legt denselben Schalter zurück und stellt die volle Nutzung wieder her.

Warum kann eine deaktivierte Identität noch entschlüsseln?

Weil die Deaktivierung etwas ist, das dein Account weiß und die Absender nicht.

Der Zustand lebt in den Einträgen von CardanoWall, nie auf der Blockchain und nie im Wire-Format von Label 309. Ein Absender, der deine Empfangsadresse bereits besitzt, kann weiterhin einen versiegelten Eintrag an sie verschlüsseln, und Cardano akzeptiert diesen Eintrag, solange er ansonsten wohlgeformt ist. Es gibt kein on-chain Signal, das dem Absender sagen würde, damit aufzuhören.

Wenn dein Account also weiterhin über den Seed verfügt, kann er auch weiterhin öffnen, was eintrifft. Die Entschlüsselung zu blockieren würde den Empfänger bestrafen und das Risiko bergen, wirklich wichtige eingehende Beweise zu verlieren – ohne den Absender im Geringsten zu stoppen. Die Deaktivierung zieht die Grenze deshalb dort, wo sie nützlich ist: Sie blockiert neue Urheberschaft und lässt den Lesezugriff unangetastet.

Was bewirkt das Löschen einer Identität?

Das Löschen entfernt die Identität aus diesem Account – und sonst nichts.

Wenn du eine Identität löschst, geschehen zwei Dinge gleichzeitig. Die Verknüpfung zwischen Account und Identität wird entfernt, und der Seed-Eintrag der Identität wird aus dem verschlüsselten Tresor deines Accounts entfernt, der zu den verbleibenden Identitäten neu verschlüsselt wird. Die Verknüpfung wird zuerst aufgehoben, sodass Listenzugehörigkeit und Veröffentlichungssperre sofort umschlagen, selbst wenn die Tresor-Neuschreibung einen erneuten Versuch braucht; ein Tresor-Eintrag ohne Verknüpfung dahinter ist wirkungslos.

Danach kann dieser Account die Identität nicht mehr entsperren oder nutzen – es sei denn, der Nutzer importiert den gespeicherten Identity Seed erneut.

Was das Löschen bewusst nicht berührt:

  • Es berührt nicht die Verknüpfung eines anderen Accounts mit derselben Identität. Jeder Account, der die Identität besitzt, behält seine eigene unabhängige Kopie, sodass eine Identität, die du mit einem Teammitglied teilst, in dessen Account weiter funktioniert.
  • Es löscht nichts von der Blockchain.
  • Es löscht keine Einträge, die die Identität bereits veröffentlicht hat.

Das Löschen ist das Ende des Gewahrsams dieses Accounts über die Identität. Es gibt keinen „diese Identität überall vernichten“-Button, und es kann auch keinen geben – jeder Inhaber des Seed behält die volle Macht darüber, und signierte Nachweise auf Cardano sind dauerhaft.

Lässt sich ein Löschvorgang rückgängig machen?

Ja – wenn du den Seed gespeichert hast.

Weil der Identity Seed die Identität ist, rekonstruiert das erneute Importieren desselben Seed exakt dieselben öffentlichen und privaten Schlüssel. Der Account kann sich dann erneut mit dieser Identität verknüpfen. CardanoWall verlangt von dir, in diesem Schritt nachzuweisen, dass du tatsächlich über den Seed verfügst (indem du eine einmalige Challenge mit dem aus dem Seed abgeleiteten Schlüssel signierst) – und nicht bloß, dass du die öffentlichen Schlüssel kennst, die für jeden sichtbar sind. Sobald dieser Nachweis aufgeht, wird die Verknüpfung wiederhergestellt.

Wenn du den Seed nicht gespeichert hast, kann das Löschen versiegelte Inhalte aus diesem Account unlesbar machen – dauerhaft. Deshalb sollten Löschwarnungen unverblümt sein: Lösche nur, wenn der Seed an einem Ort gesichert ist, über den du verfügst, oder wenn du wirklich damit einverstanden bist, den künftigen Zugriff aus diesem Account zu verlieren. (Warum der Identity Seed weiterhin zählt geht hierauf tiefer ein.)

Wirken sich Lebenszyklus-Zustände auf bereits veröffentlichte Nachweise aus?

Nein. Genau darum geht es.

Ein veröffentlichter Nachweis verifiziert sich allein aus öffentlichen Chain-Daten. Wenn ein Eintrag von einer Identität signiert wurde, ist diese Signatur eine mathematische Tatsache über die Bytes – und kein Account-Zustand in CardanoWall kann sie verschwinden lassen. Ein Verifizierer löst den öffentlichen Schlüssel des Signierenden direkt aus den Transaktions-Metadaten auf und prüft ihn gegen öffentliches Material; kein CardanoWall-Server wird konsultiert, also kann auch kein Account-Zustand konsultiert werden.

Das ist für den Existenznachweis essenziell. Das Versprechen lautet, dass ein veröffentlichter Eintrag den Service-Zustand, den Account-Zustand und sogar den Anbieter überdauert: Du musst weder den Servern, der Domain noch dem Fortbestand von CardanoWall vertrauen, um ihn zu verifizieren. Deine Oberfläche zeigt vielleicht an, dass eine Identität in deinem Account deaktiviert oder gelöscht ist, aber ein Verifizierer behandelt den on-chain Eintrag unabhängig davon genau gleich. (Ein Nachweis hat dennoch Grenzen, die man verstehen sollte – siehe was ein Nachweis nicht beweist.)

Was, wenn der Seed kompromittiert ist?

Erstelle eine neue Identität. Verlass dich nicht allein auf die Deaktivierung.

Deaktivierung ist eine Kontrolle auf Service-Ebene, kein kryptografischer Widerruf. Wenn jemand den Seed hat, kann er diese Identität weiterhin außerhalb deines Accounts und vollständig außerhalb von CardanoWall nutzen – der Seed funktioniert in jedem konformen Werkzeug, ohne dass ein Service im Spiel ist. Einen Zustand in deinem Account umzulegen ändert daran nichts.

Bei einem vermuteten Seed-Kompromiss:

  • erstelle eine neue Identität und speichere den neuen Seed;
  • deaktiviere die alte Identität in deinem Account;
  • höre auf, die alte Empfangsadresse an öffentlichen Stellen zu verbreiten;
  • veröffentliche die neuen öffentlichen Schlüssel erneut über die Kanäle, denen die Leute vertrauen, um dich zu erreichen;
  • wo es darauf ankommt, veröffentliche neue Einträge, die die betroffenen ablösen, signiert unter der neuen Identität.

Die alte Identität lässt sich nicht wieder unkompromittieren. Der Seed war das Einzige, das jemals Kontrolle über sie verliehen hat, und ein geleaktes Geheimnis bleibt geleakt. Aus demselben Grund ist ein entfernter Passkey nicht rückwirkend: Eine Aktion auf Service-Ebene kann künftigen Zugriff abschneiden, aber sie kann nicht zurückgreifen und eine bereits erfolgte Offenlegung ungeschehen machen.

Wie sollte ein Team diese Zustände nutzen?

Behandle Lebenszyklus-Zustände als Richtlinie, nicht als Ersatz für den Gewahrsam über den Seed.

Ein Team sollte im Voraus festlegen, wann eine Identität:

  • aktiv für die tägliche Arbeit ist;
  • nach Projektende deaktiviert wird;
  • während einer Kompromittierungsuntersuchung deaktiviert wird;
  • aus dem Account eines Mitglieds gelöscht wird, nachdem es ausgeschieden ist;
  • nach einer Seed-Offenlegung durch eine neue Identität ersetzt wird.

Das Einzige, was diese Zustände nicht können, ist das Wissen um einen Seed zu widerrufen. Ein ausgeschiedenes Mitglied, das die 32 Bytes noch hat, behält die volle Macht über eine geteilte Identität, egal, was ein Account auch tut. Es auszuschließen bedeutet, die Identität zu ersetzen – ein frischer Seed, der nur mit den verbleibenden Leuten geteilt wird – nicht, die alte zu deaktivieren. Geteilte Team-Identitäten behandelt die Abwägungen, eine Identität über mehrere Personen hinweg zu betreiben.

Was ist der sicherste Standard?

Deaktiviere, bevor du löschst.

Wenn du unsicher bist, ist die Deaktivierung die sanftere Wahl. Die Identität bleibt sichtbar und entschlüsselt weiter, aber neue Nutzung ist blockiert, und du kannst jederzeit reaktivieren. Nichts geht verloren.

Lösche nur, wenn du sicher bist, dass mindestens eines davon zutrifft:

  • der Seed ist an einem Ort außerhalb von CardanoWall gesichert; oder
  • die Identität wird wirklich nicht mehr benötigt; oder
  • dieser Account sollte schlicht keinen Zugriff mehr darauf haben.

Ohne Seed-Backup zu löschen ist die häufigste Art, mit der sich Leute aus ihren eigenen versiegelten Inhalten aussperren.

Die Kurzfassung

Aktiv bedeutet normale Nutzung. Deaktiviert bedeutet schreibgeschützt in diesem Account – sie entschlüsselt weiterhin, aber sie kann nicht signieren, veröffentlichen oder senden. Gelöscht bedeutet von diesem Account losgelöst und aus seinem Tresor entfernt, nur durch erneutes Importieren des Seed wiederherstellbar.

Diese Zustände helfen dir, Identitäten innerhalb von CardanoWall zu verwalten. Sie ändern nicht die kryptografischen Tatsachen, die bereits auf Cardano geschrieben wurden. Der Identity Seed bleibt der letzte Wiederherstellungsweg – also speichere ihn, bevor du irgendetwas löschst.

Weiterführende Lektüre

cardanowall-guidesidentitylifecycle