Tous les articles

10 min de lecture

Active, désactivée, supprimée : ce que signifie chaque état d'une identité

Désactiver ou supprimer une identité CardanoWall change la façon dont votre compte l'utilise, mais ne change jamais la validité cryptographique des records déjà publiés sur Cardano.

CardanoWall attribue à chaque identité de votre compte un état de cycle de vie qui détermine la manière dont elle peut être utilisée. Active signifie pleine utilisation. Désactivée signifie que l'identité reste répertoriée et peut toujours déchiffrer, mais qu'elle ne peut plus signer, publier ni envoyer depuis votre compte. Supprimée n'est pas un état du tout : c'est une action qui dissocie l'identité de votre compte et retire son entrée de votre coffre chiffré ; réimporter la graine d'identité sauvegardée restaure l'accès.

Aucune de ces actions au niveau du compte ne réécrit la blockchain. Une preuve que vous avez déjà publiée reste valide et vérifiable, pour toujours, quel que soit l'état de l'identité qui l'a publiée.

Pourquoi une identité a-t-elle un cycle de vie ?

Parce que la cryptographie et le compte sont deux couches distinctes, et une seule des deux est permanente.

Une identité CardanoWall repose sur le standard Label 309, où une identité est exactement une seule chose : une graine d'identité de 32 octets et les clés qui en dérivent. Ce lien est immuable — une graine est une identité, pour toute la durée de vie de cette identité. Il n'existe pas de « faire pivoter la clé sous la même identité ». (Si cette idée vous est nouvelle, commencez par votre identité est une graine.)

Mais un produit hébergé doit tout de même répondre à des questions de compte au quotidien, auxquelles la cryptographie ne répond pas :

  • cette identité doit-elle pouvoir servir à de nouveaux records ?
  • doit-elle rester visible pour les anciens records ?
  • doit-elle continuer à déchiffrer les records scellés entrants ?
  • doit-elle rester rattachée à ce compte ?
  • l'utilisateur doit-il être averti avant de s'appuyer sur une ancienne identité ?

Les états du cycle de vie répondent à ces questions produit sans toucher à la graine. Ce sont des écritures comptables du compte superposées à un fait cryptographique qui, lui, ne bouge jamais.

Que fait une identité active ?

Active correspond à l'usage normal. Une identité active peut :

  • signer de nouveaux records ;
  • publier des preuves ;
  • envoyer des records scellés ;
  • déchiffrer les records scellés qui lui sont adressés ;
  • apparaître dans le sélecteur d'identité ;
  • synchroniser l'état de la boîte de réception ;
  • être sélectionnée dans le composer.

La plupart des identités passent l'essentiel de leur existence à l'état actif. Les deux autres états sont des choix délibérés que vous faites pour une identité précise.

Que se passe-t-il lorsqu'on désactive une identité ?

Désactiver signifie : ne pas utiliser cette identité pour de nouvelles créations dans ce compte.

Une identité désactivée reste dans le compte et conserve son accès en lecture. Elle peut toujours déchiffrer des records scellés — y compris ceux qui arrivent après la désactivation. Ce qu'elle ne peut plus faire, c'est signer, publier ou envoyer depuis ce compte, tant que vous ne l'avez pas réactivée. C'est appliqué côté serveur, et pas seulement par un bouton grisé : le chemin de publication vérifie l'état de l'identité avant toute opération.

La désactivation est le bon outil quand :

  • une équipe bascule vers une identité de remplacement ;
  • une clé est peut-être ancienne mais sans compromission confirmée ;
  • une identité doit passer en lecture seule pendant un temps ;
  • un flux de travail est suspendu ;
  • une identité partagée doit cesser de publier depuis un compte particulier.

Elle est entièrement réversible. La réactivation remet le même interrupteur dans sa position d'origine et restaure la pleine utilisation.

Pourquoi une identité désactivée peut-elle encore déchiffrer ?

Parce que la désactivation est une chose que votre compte connaît, mais pas les expéditeurs.

L'état réside dans les records de CardanoWall, jamais sur la blockchain ni dans le format binaire de Label 309. Un expéditeur qui détient déjà votre adresse de réception peut toujours chiffrer un record scellé à destination de celle-ci, et Cardano acceptera ce record dès lors qu'il est par ailleurs bien formé. Aucun signal sur la chaîne n'indiquerait à l'expéditeur de s'arrêter.

Ainsi, si votre compte détient encore la graine, il peut toujours ouvrir ce qui arrive. Bloquer le déchiffrement pénaliserait le destinataire et risquerait de faire perdre des pièces entrantes réellement importantes, sans pour autant arrêter l'expéditeur. La désactivation trace donc la ligne là où elle est utile : elle bloque les nouvelles créations et laisse l'accès en lecture intact.

Que se passe-t-il lorsqu'on supprime une identité ?

La suppression retire l'identité de ce compte — et rien de plus.

Lorsque vous supprimez une identité, deux choses se produisent ensemble. Le lien entre le compte et l'identité est retiré, et l'entrée de la graine de l'identité est retirée du coffre chiffré de votre compte, qui est alors rechiffré pour les identités restantes. Le lien est supprimé en premier, de sorte que l'appartenance à la liste et la barrière de publication basculent immédiatement, même si la réécriture du coffre nécessite une nouvelle tentative ; une entrée de coffre sans lien derrière elle est inerte.

Après cela, ce compte ne peut plus déverrouiller ni utiliser l'identité — sauf si l'utilisateur réimporte la graine d'identité sauvegardée.

Ce que la suppression ne touche délibérément pas :

  • elle ne touche pas le lien d'un autre compte vers la même identité. Chaque compte qui détient l'identité conserve sa propre copie indépendante, si bien qu'une identité que vous partagez avec un collègue continue de fonctionner dans son compte.
  • elle ne supprime rien de la blockchain.
  • elle ne supprime pas les records que l'identité a déjà publiés.

La suppression marque la fin de la garde de l'identité par ce compte. Il n'existe pas de bouton « détruire cette identité partout », et il ne peut pas en exister : chaque détenteur de la graine garde un pouvoir total sur elle, et les preuves signées sur Cardano sont permanentes.

Peut-on annuler une suppression ?

Oui — si vous avez sauvegardé la graine.

Parce que la graine d'identité est l'identité, réimporter la même graine reconstruit exactement les mêmes clés publiques et privées. Le compte peut alors se lier de nouveau à cette identité. CardanoWall exige que vous prouviez détenir réellement la graine au cours de cette étape (en signant un défi à usage unique avec la clé dérivée de la graine), et pas seulement que vous connaissez les clés publiques, qui sont visibles de tous. Une fois cette preuve validée, le lien est restauré.

Si vous n'avez pas sauvegardé la graine, la suppression peut rendre le contenu scellé illisible depuis ce compte — définitivement. C'est pourquoi les avertissements de suppression doivent être sans détour : ne supprimez que si la graine est sauvegardée quelque part que vous contrôlez, ou si vous acceptez réellement de perdre tout accès futur depuis ce compte. (Pourquoi la graine d'identité compte toujours approfondit ce point.)

Les états du cycle de vie affectent-ils les preuves déjà publiées ?

Non. C'est tout l'intérêt.

Une preuve publiée se vérifie à partir des seules données publiques de la chaîne. Si un record a été signé par une identité, cette signature est un fait mathématique relatif aux octets — et aucun état d'un compte CardanoWall ne peut le faire disparaître. Un vérificateur résout la clé publique du signataire directement à partir des métadonnées de la transaction et la confronte à du matériel public ; aucun serveur CardanoWall n'est consulté, donc aucun état de compte ne peut l'être non plus.

C'est essentiel pour la preuve d'existence. La promesse est qu'un record publié survit à l'état du service, à l'état du compte et même au fournisseur : vous n'avez pas à faire confiance aux serveurs de CardanoWall, à son domaine ou à sa pérennité pour le vérifier. Votre interface peut indiquer qu'une identité est désactivée ou supprimée dans votre compte, mais un vérificateur traite le record sur la chaîne exactement de la même façon, quoi qu'il arrive. (Une preuve a tout de même des limites qu'il vaut la peine de comprendre — voir ce qu'une preuve ne prouve pas.)

Et si la graine est compromise ?

Créez une nouvelle identité. Ne comptez pas sur la seule désactivation.

La désactivation est un contrôle de la couche service, pas une révocation cryptographique. Si quelqu'un détient la graine, il peut toujours utiliser cette identité en dehors de votre compte et entièrement en dehors de CardanoWall — la graine fonctionne dans n'importe quel outil conforme, sans aucun service dans la boucle. Changer un état dans votre compte n'y change rien.

En cas de compromission présumée d'une graine :

  • créez une nouvelle identité et sauvegardez la nouvelle graine ;
  • désactivez l'ancienne identité dans votre compte ;
  • cessez de diffuser l'ancienne adresse de réception dans les espaces publics ;
  • republiez les nouvelles clés publiques par les canaux que les gens utilisent pour vous joindre en confiance ;
  • là où cela compte, publiez de nouveaux records qui remplacent ceux concernés, signés sous la nouvelle identité.

L'ancienne identité ne peut pas être « décompromise ». La graine est la seule chose qui ait jamais conféré le contrôle sur elle, et un secret divulgué le reste. C'est la même raison pour laquelle le retrait d'un passkey n'est pas rétroactif : une action de la couche service peut couper l'accès futur, mais elle ne peut pas remonter dans le temps pour annuler une exposition déjà survenue.

Comment une équipe doit-elle utiliser ces états ?

Considérez les états du cycle de vie comme une politique, pas comme un substitut à la garde de la graine.

Une équipe devrait décider, en amont, quand une identité est :

  • active pour le travail quotidien ;
  • désactivée après la fin d'un projet ;
  • désactivée pendant une enquête sur une compromission ;
  • supprimée du compte d'un membre après son départ ;
  • remplacée par une nouvelle identité après l'exposition d'une graine.

La seule chose que ces états ne peuvent pas faire, c'est révoquer la connaissance d'une graine. Un membre parti qui détient encore les 32 octets garde un pouvoir total sur une identité partagée, quoi que fasse un compte. L'exclure suppose de remplacer l'identité — une nouvelle graine partagée uniquement avec les personnes qui restent — et non de désactiver l'ancienne. Les identités d'équipe partagées couvre les compromis liés à l'usage d'une même identité par plusieurs personnes.

Quel est le réglage par défaut le plus sûr ?

Désactivez avant de supprimer.

En cas de doute, la désactivation est le choix le plus doux. L'identité reste visible et continue de déchiffrer, mais tout nouvel usage est bloqué, et vous pouvez réactiver à tout moment. Rien n'est perdu.

Ne supprimez que lorsque vous avez la certitude qu'au moins l'un de ces points est vrai :

  • la graine est sauvegardée quelque part en dehors de CardanoWall ; ou
  • l'identité n'est réellement plus nécessaire ; ou
  • ce compte ne devrait tout simplement plus y avoir accès.

Supprimer sans sauvegarde de la graine est la façon la plus courante de se verrouiller hors de son propre contenu scellé.

En bref

Active signifie usage normal. Désactivée signifie lecture seule dans ce compte — l'identité déchiffre toujours, mais elle ne peut ni signer, ni publier, ni envoyer. Supprimée signifie dissociée de ce compte et retirée de son coffre, récupérable uniquement en réimportant la graine.

Ces états vous aident à gérer vos identités au sein de CardanoWall. Ils ne changent pas les faits cryptographiques déjà inscrits sur Cardano. La graine d'identité reste l'ultime voie de récupération — alors sauvegardez-la avant de supprimer quoi que ce soit.

Pour aller plus loin

cardanowall-guidesidentitylifecycle