9 min de lectura
Activa, desactivada, eliminada: qué significa cada estado de una identidad
Desactivar o eliminar una identidad de CardanoWall cambia cómo la usa tu cuenta, pero nunca cambia la validez criptográfica de los registros ya publicados en Cardano.
CardanoWall asigna a cada identidad de tu cuenta un estado de ciclo de vida que controla cómo puede usarse esa identidad. Activa significa uso completo. Desactivada significa que la identidad sigue apareciendo en la lista y puede seguir descifrando, pero se le bloquea firmar, publicar y enviar desde tu cuenta. Eliminada no es un estado, sino una acción: desvincula la identidad de tu cuenta y borra su entrada de tu bóveda cifrada; al reimportar la semilla de identidad guardada, recuperas el acceso.
Ninguna de estas acciones a nivel de cuenta reescribe la blockchain. Una prueba que ya publicaste sigue siendo válida y verificable, para siempre, sea cual sea el estado de la identidad que la publicó.
¿Por qué una identidad tiene un ciclo de vida?
Porque la criptografía y la cuenta son dos capas distintas, y solo una de ellas es permanente.
Una identidad de CardanoWall se construye sobre el estándar Label 309, donde una identidad es exactamente una cosa: una semilla de identidad de 32 bytes y las claves derivadas de ella. Ese vínculo es inmutable: una semilla es una identidad, durante toda la vida de esa identidad. No existe eso de «rotar la clave bajo la misma identidad». (Si esta idea te resulta nueva, empieza por tu identidad es una semilla.)
Pero un producto alojado todavía tiene que responder a preguntas cotidianas de cuenta que la criptografía no resuelve:
- ¿debería poder usarse esta identidad para nuevos registros?
- ¿debería seguir visible para los registros antiguos?
- ¿debería seguir descifrando los registros sellados que lleguen?
- ¿debería seguir vinculada a esta cuenta?
- ¿debería avisarse al usuario antes de confiar en una identidad antigua?
Los estados del ciclo de vida responden a esas preguntas de producto sin tocar la semilla. Son contabilidad de cuenta superpuesta a un hecho criptográfico que nunca se mueve.
¿Qué hace una identidad activa?
«Activa» es el uso normal. Una identidad activa puede:
- firmar nuevos registros;
- publicar pruebas;
- enviar registros sellados;
- descifrar los registros sellados dirigidos a ella;
- aparecer en el selector de identidades;
- sincronizar el estado del Inbox;
- seleccionarse en el compositor.
La mayoría de las identidades pasan activas casi toda su vida. Los otros dos estados son decisiones deliberadas que tomas sobre una identidad concreta.
¿Qué hace desactivar una identidad?
Desactivar significa: no usar esta identidad para nueva autoría en esta cuenta.
Una identidad desactivada permanece en la cuenta y conserva su acceso de lectura. Puede seguir descifrando registros sellados, incluidos los que lleguen después de desactivarla. Lo que no puede hacer es firmar, publicar ni enviar desde esa cuenta hasta que la reactives. Esto se aplica en el servidor, no solo mediante un botón atenuado: la ruta de publicación comprueba el estado de la identidad antes de hacer nada.
La desactivación es la herramienta adecuada cuando:
- un equipo está migrando a una identidad de reemplazo;
- una clave puede ser antigua, pero no se ha confirmado que esté comprometida;
- una identidad debería pasar a solo lectura durante un tiempo;
- un flujo de trabajo está en pausa;
- una identidad compartida debería dejar de publicar desde una cuenta concreta.
Es totalmente reversible. Reactivarla vuelve a accionar el mismo interruptor y restablece el uso completo.
¿Por qué una identidad desactivada todavía puede descifrar?
Porque la desactivación es algo que tu cuenta sabe y los remitentes no.
El estado vive en los registros de CardanoWall, nunca en la blockchain ni en el formato binario de Label 309. Un remitente que ya tenga tu dirección de recepción aún puede cifrar un registro sellado dirigido a ella, y Cardano aceptará ese registro mientras esté bien formado. No hay ninguna señal en la cadena que le diga al remitente que se detenga.
Así que, si tu cuenta todavía tiene la semilla, todavía puede abrir lo que llegue. Bloquear el descifrado castigaría al destinatario y arriesgaría perder material probatorio entrante genuinamente importante, sin hacer nada por detener al remitente. Por eso la desactivación traza la línea donde resulta útil: bloquea la nueva autoría y deja intacto el acceso de lectura.
¿Qué hace eliminar una identidad?
Eliminar quita la identidad de esta cuenta, y nada más.
Cuando eliminas una identidad, ocurren dos cosas a la vez. Se quita el vínculo entre la cuenta y la identidad, y se borra la entrada de la semilla de la identidad de la bóveda cifrada de tu cuenta, que se vuelve a cifrar para las identidades restantes. El vínculo se elimina primero, de modo que la pertenencia a la lista y la puerta de publicación cambian de inmediato aunque la reescritura de la bóveda necesite un reintento; una entrada de bóveda sin un vínculo detrás es inerte.
Después de eso, esta cuenta ya no puede desbloquear ni usar la identidad, a menos que el usuario reimporte la semilla de identidad guardada.
Lo que la eliminación deliberadamente no toca:
- No toca el vínculo de ninguna otra cuenta con la misma identidad. Cada cuenta que tiene la identidad conserva su propia copia independiente, así que una identidad que compartes con un compañero sigue funcionando en la cuenta de esa persona.
- No borra nada de la blockchain.
- No borra los registros que la identidad ya publicó.
Eliminar es el fin de la custodia de esta cuenta sobre la identidad. No hay ningún botón de «destruir esta identidad en todas partes», y no puede haberlo: cada poseedor de la semilla conserva pleno poder sobre ella, y las pruebas firmadas en Cardano son permanentes.
¿Se puede deshacer una eliminación?
Sí, si guardaste la semilla.
Como la semilla de identidad es la identidad, reimportar la misma semilla reconstruye exactamente las mismas claves pública y privada. La cuenta puede entonces volver a vincularse a esa identidad. CardanoWall te exige demostrar que de verdad tienes la semilla durante este paso (firmando un reto de un solo uso con la clave derivada de la semilla), no solo que conoces las claves públicas, que cualquiera puede ver. Una vez que esa prueba cuadra, el vínculo se restablece.
Si no guardaste la semilla, eliminar puede dejar el contenido sellado ilegible desde esa cuenta, de forma permanente. Por eso los avisos de eliminación deberían ser tajantes: elimina solo si la semilla está respaldada en algún sitio que controles, o si de verdad te conviene perder el acceso futuro desde esta cuenta. (Por qué la semilla de identidad sigue importando profundiza en esto.)
¿Los estados del ciclo de vida afectan a las pruebas que ya publicaste?
No. De eso se trata precisamente.
Una prueba publicada se verifica solo a partir de los datos públicos de la cadena. Si una identidad firmó un registro, esa firma es un hecho matemático sobre los bytes, y ningún estado de una cuenta de CardanoWall puede hacerla desaparecer. El verificador resuelve la clave pública del firmante directamente desde los metadatos de la transacción y la comprueba contra material público; no se consulta ningún servidor de CardanoWall, así que tampoco puede consultarse ningún estado de cuenta.
Esto es esencial para la prueba de existencia. La promesa es que un registro publicado sobrevive al estado del servicio, al estado de la cuenta e incluso al proveedor: no tienes que confiar en los servidores de CardanoWall, en su dominio ni en su existencia continuada para verificarlo. Tu interfaz puede mostrar que una identidad está desactivada o eliminada en tu cuenta, pero un verificador trata el registro en cadena exactamente igual en cualquier caso. (Una prueba tiene límites que conviene entender; consulta lo que una prueba no demuestra.)
¿Qué pasa si la semilla está comprometida?
Crea una identidad nueva. No te apoyes solo en la desactivación.
La desactivación es un control de la capa de servicio, no una revocación criptográfica. Si alguien tiene la semilla, puede seguir usando esa identidad fuera de tu cuenta y fuera de CardanoWall por completo: la semilla funciona en cualquier herramienta conforme, sin ningún servicio de por medio. Accionar un estado en tu cuenta no hace nada al respecto.
Ante la sospecha de que una semilla está comprometida:
- crea una identidad nueva y guarda la nueva semilla;
- desactiva la identidad antigua en tu cuenta;
- deja de anunciar la dirección de recepción antigua en lugares públicos;
- vuelve a publicar las nuevas claves públicas por los canales que la gente usa para contactarte;
- donde importe, publica nuevos registros que sustituyan a los afectados, firmados con la nueva identidad.
La identidad antigua no puede dejar de estar comprometida. La semilla es lo único que alguna vez confirió control sobre ella, y un secreto filtrado sigue filtrado. Es la misma razón por la que eliminar un passkey no es retroactivo: una acción de la capa de servicio puede cortar el acceso futuro, pero no puede retroceder y deshacer una exposición que ya ocurrió.
¿Cómo debería usar un equipo estos estados?
Trata los estados del ciclo de vida como política, no como un sustituto de la custodia de la semilla.
Un equipo debería decidir, de antemano, cuándo una identidad está:
- activa para el trabajo diario;
- desactivada después de que termine un proyecto;
- desactivada durante la investigación de un compromiso;
- eliminada de la cuenta de un miembro cuando este se marcha;
- reemplazada por una identidad nueva tras la exposición de una semilla.
Lo único que estos estados no pueden hacer es revocar el conocimiento de una semilla. Un miembro que se fue pero conserva los 32 bytes mantiene pleno poder sobre una identidad compartida, haga lo que haga cualquier cuenta. Excluirlo implica reemplazar la identidad —una semilla nueva compartida solo con quienes se quedan—, no desactivar la antigua. Identidades de equipo compartidas cubre los compromisos de usar una identidad entre varias personas.
¿Cuál es el valor predeterminado más seguro?
Desactiva antes de eliminar.
Cuando tengas dudas, la desactivación es la opción más suave. La identidad sigue visible y sigue descifrando, pero el uso nuevo queda bloqueado, y puedes reactivarla en cualquier momento. No se pierde nada.
Elimina solo cuando tengas la certeza de que se cumple al menos una de estas condiciones:
- la semilla está respaldada en algún sitio fuera de CardanoWall; o
- la identidad realmente ya no se necesita; o
- esta cuenta simplemente no debería seguir teniendo acceso a ella.
Eliminar sin un respaldo de la semilla es la forma más habitual en que la gente se queda fuera de su propio contenido sellado.
La versión corta
«Activa» significa uso normal. «Desactivada» significa solo lectura en esta cuenta: sigue descifrando, pero no puede firmar, publicar ni enviar. «Eliminada» significa desvinculada de esta cuenta y borrada de su bóveda, recuperable solo reimportando la semilla.
Estos estados te ayudan a gestionar identidades dentro de CardanoWall. No cambian los hechos criptográficos ya escritos en Cardano. La semilla de identidad sigue siendo la vía de recuperación definitiva, así que guárdala antes de eliminar nada.
Para seguir leyendo
- Tu identidad es una semilla: por qué la identidad real es una semilla de 32 bytes, no una cuenta.
- Por qué la semilla de identidad sigue importando: copia de seguridad, recuperación y lo que cuesta realmente perderla.
- Qué pasa si eliminas un passkey: la historia paralela de «control de la capa de servicio, no retroactivo» para los factores de la bóveda.
- Identidades de equipo compartidas: usar una identidad entre varias personas, y cómo quitar a un miembro.
- Lo que una prueba no demuestra: los límites de una prueba de existencia.
- El estándar Label 309 y su código de referencia de código abierto en github.com/cardanowall.