Todas las entradas

7 min de lectura

Por qué la semilla de identidad sigue importando aunque tengas un passkey

Sí, aún tienes que guardar tu semilla de identidad aunque uses un passkey. El passkey es un desbloqueo cómodo; la semilla es la identidad portátil que funciona en CardanoWall, la CLI, los SDK y cualquier herramienta Label 309.

Sí, aún tienes que guardar tu semilla de identidad, aunque añadas un passkey.

El passkey es el desbloqueo diario. La semilla de identidad es la identidad. Guárdala y podrás reconstruir la misma identidad Label 309 en cualquier parte: en CardanoWall, en la herramienta de línea de comandos de código abierto, en los SDK y en cualquier otro software que implemente el estándar. Pierde la semilla y todas las formas de abrir tu bóveda, y el uso futuro de esa identidad desaparece para siempre.

Esto no es un descuido. Es la consecuencia directa de que CardanoWall nunca tome la custodia de tu identidad. Si un servicio pudiera devolverte tu identidad de la nada, también podría convertirse en ti.

¿Qué es la semilla de identidad?

La semilla de identidad es un único secreto de 32 bytes. A partir de ese único valor, cada herramienta Label 309 deriva de forma determinista las claves que tu identidad usa para:

  • firmar registros de prueba de existencia;
  • recibir registros sellados en una dirección de recepción clásica;
  • recibir registros sellados en una dirección de recepción poscuántica opcional;
  • descifrar registros dirigidos a la identidad;
  • demostrar que de verdad posees la identidad cuando la importas a una cuenta nueva.

La semilla es la raíz portátil de todo eso. No es una frase semilla de una cartera de Cardano. No guarda ADA, no controla fondos y no es una cartera de pago. Es la raíz de una identidad Label 309, y nada más. Para un recorrido más completo de cómo crece una identidad a partir de esos 32 bytes, lee Tu identidad es una semilla.

¿Por qué CardanoWall no me oculta la semilla y ya está?

Porque ocultártela del todo convertiría al servicio en tu autoridad de recuperación, y eso es precisamente lo que el diseño se niega a ser.

Si CardanoWall pudiera restablecer o recrear tu identidad sin la semilla, tendría que guardar algún secreto lo bastante potente como para actuar en tu nombre. Ese secreto convertiría al servicio en un custodio: un único punto que podría sufrir una brecha, recibir una citación judicial o, sencillamente, cerrar, llevándose tu identidad con él.

Así que la separación es deliberada. CardanoWall puede ofrecer una bóveda cifrada, y un passkey puede abrir esa bóveda. Pero la bóveda es una capa de comodidad. La semilla es lo que posees de pleno derecho.

Entonces, ¿qué hace en realidad el passkey?

Abre la bóveda cómoda, nada más.

Una vez que has guardado la semilla, puedes añadir un passkey. El passkey permite que tu navegador abra la bóveda de identidad cifrada sin obligarte a pegar la semilla cada vez. Eso es lo que mantiene fluido el trabajo del día a día:

  • firmar registros;
  • descifrar registros sellados entrantes;
  • cambiar entre identidades;
  • componer mensajes sellados;
  • desbloquear en otro dispositivo con sesión iniciada, donde tu proveedor de passkeys lo sincroniza;
  • recuperar el acceso tras perder un portátil, si tu passkey está sincronizado.

La bóveda en sí guarda texto cifrado, no semillas en texto plano, y está dirigida únicamente a tus passkeys, de modo que el servicio no puede leerla. Para tener el panorama completo de lo que un passkey desbloquea y lo que no, lee Cómo protegen los passkeys tu bóveda de identidad.

El matiz está en el alcance: un passkey está ligado a una cuenta y a un contexto de plataforma. La semilla no.

¿Qué puede hacer la semilla que un passkey no puede?

Puede mover la identidad a cualquier parte. Con la semilla puedes:

  • importar la identidad a una nueva cuenta de CardanoWall;
  • llevarla a otro software Label 309;
  • usarla desde la herramienta de línea de comandos;
  • usarla en una herramienta de terceros que implemente el estándar;
  • compartir una identidad de equipo a propósito;
  • recuperar el acceso cuando la bóveda alojada no está disponible;
  • confirmar que las claves públicas derivadas coinciden con la identidad que esperas.

Un passkey abre la bóveda de una sola cuenta. La semilla reconstruye la identidad en sí. Por eso CardanoWall trata la semilla como la copia de seguridad canónica y el passkey como una caché encima de ella.

¿Qué pasa si pierdo la semilla?

Depende de qué más conserves.

Si todavía tienes un passkey que funciona y la bóveda alojada está en línea, no hay problema: puedes abrir la identidad y volver a revelar la semilla desde los ajustes, tras un paso de reautenticación. Tómalo como tu momento para por fin guardarla en un lugar duradero.

Si pierdes la semilla y todos los factores de desbloqueo de la bóveda, se pierde el uso futuro de la identidad. No puedes firmar nuevos registros con ella. No puedes descifrar registros sellados dirigidos a ella, incluidos los que lleguen después de la pérdida. Y nadie en CardanoWall puede restablecerla, porque nadie en CardanoWall la tiene.

Tus pruebas ya publicadas son otra historia. Siguen verificándose, porque la verificación se apoya únicamente en datos públicos: los metadatos de la transacción en Cardano y, cuando hace falta, los bytes del contenido. Perder la semilla no deshace en absoluto lo que ya publicaste.

¿Qué pasa si alguien roba la semilla?

Da la identidad por comprometida y reemplázala.

Cualquiera que tenga la semilla puede derivar las mismas claves privadas. Puede firmar como tu identidad y descifrar los registros sellados dirigidos a ella, pasados y futuros. No hay forma de revocar ese conocimiento.

La respuesta no es «cambiar la semilla» dentro de la misma identidad. Una semilla es una identidad, de forma permanente. En vez de eso:

  • crea una identidad nueva;
  • guarda la nueva semilla;
  • publica o reparte las nuevas claves públicas por canales en los que la gente confíe;
  • desactiva la identidad antigua en el servicio;
  • deja de usar las direcciones de recepción antiguas;
  • cuando ayude, publica registros que sustituyan a los antiguos.

Por eso la semilla merece el mismo cuidado que cualquier otro secreto de alto valor. La diferencia entre desactivar una identidad antigua y eliminarla conviene conocerla antes de necesitarla; lee Activa, desactivada, eliminada.

¿Dónde debería guardar la semilla?

En algún sitio en el que ya confíes para secretos a largo plazo. Buenas opciones son:

  • un gestor de contraseñas de confianza;
  • un archivo cifrado y sin conexión;
  • una copia impresa en un lugar seguro;
  • un proceso corporativo de gestión de secretos;
  • un sobre sellado en la caja fuerte de la oficina, para una identidad de equipo compartida.

Evita los sitios de los que se filtran los secretos:

  • capturas de pantalla en la galería de fotos de tu teléfono;
  • notas planas y sin cifrar;
  • mensajes de chat;
  • borradores de correo;
  • gestores de incidencias o wikis;
  • documentos públicos;
  • cualquier sitio donde por reflejo pudieras pegar la frase de una cartera.

El nivel de protección adecuado crece con el valor de la identidad. Una identidad de prueba desechable y la identidad compartida de una redacción no merecen el mismo almacenamiento.

¿Es la semilla una frase de cartera?

No, y CardanoWall se esfuerza por mantener ambas cosas bien distintas.

CardanoWall, de forma deliberada, no usa listas de palabras al estilo de las carteras para las identidades. Una semilla de identidad Label 309 se muestra como una cadena con suma de control que no se parece en nada a la copia de seguridad de una cartera de criptomonedas, precisamente para que no confundas las dos. La suma de control detecta erratas y truncamientos sin tomar prestado el formato de rejilla de palabras que la gente asocia con los fondos.

Nunca pegues la frase de una cartera de Cardano en CardanoWall. No la necesita y jamás la pide. La semilla de identidad es para tu identidad Label 309, y punto.

¿Con qué frecuencia debería tocar la semilla?

Lo menos posible. El patrón sano es:

  1. crea o importa la identidad;
  2. guarda la semilla;
  3. añade un passkey;
  4. usa el passkey para los desbloqueos diarios;
  5. revela o vuelve a introducir la semilla solo cuando muevas, recuperes o audites la identidad.

Así la semilla se mantiene realmente portátil sin obligarte a manejar un secreto en bruto cada día. En el día a día, tocas un passkey; la semilla espera a salvo en segundo plano.

La versión corta

La semilla de identidad es la identidad. El passkey es el desbloqueo cómodo.

Guarda la semilla antes de empezar a depender de la identidad. Usa los passkeys para que el trabajo diario sea fluido. Mantén la semilla fuera de los dispositivos en los que no confíes, y nunca la confundas con la frase de una cartera. Si CardanoWall puede ayudarte cada día pero aun así no puede reemplazar tu semilla, el modelo funciona exactamente como se diseñó.

Más lecturas

cardanowall-guidesidentitypasskeys