9 min di lettura
Attiva, disattivata, eliminata: cosa significa ogni stato di un'identità
Disattivare o eliminare un'identità CardanoWall cambia il modo in cui il tuo account la usa, ma non cambia mai la validità crittografica dei record già pubblicati su Cardano.
CardanoWall assegna a ogni identità del tuo account uno stato del ciclo di vita che ne governa l'utilizzo. Attiva significa uso completo. Disattivata significa che l'identità resta in elenco e può ancora decifrare, ma nel tuo account è bloccata per la firma, la pubblicazione e l'invio di nuovi record. Eliminata non è affatto uno stato: è un'azione che scollega l'identità dal tuo account e ne rimuove la voce dal tuo vault cifrato; reimportando l'Identity Seed salvato si ripristina l'accesso.
Nessuna di queste azioni a livello di account riscrive la blockchain. Una prova che hai già pubblicato resta valida e verificabile, per sempre, qualunque sia lo stato dell'identità che l'ha pubblicata.
Perché un'identità ha un ciclo di vita?
Perché la crittografia e l'account sono due livelli diversi, e solo uno dei due è permanente.
Un'identità CardanoWall si fonda sullo standard Label 309, dove un'identità è esattamente una cosa sola: un Identity Seed da 32 byte e le chiavi da esso derivate. Quel legame è immutabile: un seed è un'identità, per tutta la durata di quell'identità. Non esiste un «ruota la chiave mantenendo la stessa identità». (Se questa idea è nuova per te, parti da la tua identità è un seed.)
Ma un prodotto in hosting deve comunque rispondere a domande quotidiane sull'account a cui la crittografia non risponde:
- questa identità deve poter essere usata per nuovi record?
- deve restare visibile per i vecchi record?
- deve continuare a decifrare i record sigillati in arrivo?
- deve restare collegata a questo account?
- l'utente va avvisato prima di affidarsi a un'identità vecchia?
Gli stati del ciclo di vita rispondono a queste domande di prodotto senza toccare il seed. Sono contabilità dell'account stratificata sopra un fatto crittografico che non si muove mai.
Cosa fa un'identità attiva?
Attiva è l'uso normale. Un'identità attiva può:
- firmare nuovi record;
- pubblicare prove;
- inviare record sigillati;
- decifrare i record sigillati a essa indirizzati;
- comparire nel selettore di identità;
- sincronizzare lo stato della Inbox;
- essere selezionata nel composer.
La maggior parte delle identità resta attiva per quasi tutta la propria vita. Gli altri due stati sono scelte deliberate che fai su una specifica identità.
Cosa fa la disattivazione di un'identità?
Disattivare significa: non usare questa identità per creare nuovi record in questo account.
Un'identità disattivata resta nell'account e mantiene l'accesso in lettura. Può ancora decifrare i record sigillati — compresi quelli che arrivano dopo averla disattivata. Quello che non può fare è firmare, pubblicare o inviare da quell'account finché non la riattivi. Il controllo è imposto sul server, non solo da un pulsante disabilitato: il percorso di pubblicazione verifica lo stato dell'identità prima di fare qualsiasi cosa.
La disattivazione è lo strumento giusto quando:
- un team sta passando a un'identità sostitutiva;
- una chiave potrebbe essere vecchia, ma non è confermata come compromessa;
- un'identità deve diventare di sola lettura per un po';
- un flusso di lavoro è in pausa;
- un'identità condivisa deve smettere di pubblicare da un determinato account.
È completamente reversibile. La riattivazione rimette lo stesso interruttore al suo posto e ripristina l'uso completo.
Perché un'identità disattivata può ancora decifrare?
Perché la disattivazione è qualcosa che il tuo account conosce e i mittenti no.
Lo stato vive nei record di CardanoWall, mai sulla blockchain e mai nel formato wire di Label 309. Un mittente che possiede già il tuo indirizzo di ricezione può ancora cifrare un record sigillato verso quell'indirizzo, e Cardano accetterà quel record purché sia per il resto ben formato. Non c'è alcun segnale on-chain che direbbe al mittente di fermarsi.
Quindi, se il tuo account possiede ancora il seed, può ancora aprire ciò che arriva. Bloccare la decifratura punirebbe il destinatario e rischierebbe di far perdere prove in arrivo davvero importanti, senza fare nulla per fermare il mittente. La disattivazione traccia perciò la linea dove è utile: blocca la creazione di nuovi record e lascia intatto l'accesso in lettura.
Cosa fa l'eliminazione di un'identità?
L'eliminazione rimuove l'identità da questo account — e nient'altro.
Quando elimini un'identità, accadono due cose insieme. Il collegamento account-identità viene rimosso, e la voce del seed dell'identità viene rimossa dal vault cifrato del tuo account, che viene ricifrato verso le identità rimanenti. Il collegamento viene eliminato per primo, così l'appartenenza all'elenco e il blocco di pubblicazione cambiano subito anche se la riscrittura del vault richiede un nuovo tentativo; una voce del vault senza più alcun collegamento dietro di sé è inerte.
Dopodiché, questo account non può più sbloccare o usare l'identità — a meno che l'utente non reimporti l'Identity Seed salvato.
Cosa l'eliminazione deliberatamente non tocca:
- Non tocca il collegamento di nessun altro account alla stessa identità. Ogni account che possiede l'identità conserva la propria copia indipendente, quindi un'identità che condividi con un collega continua a funzionare nel suo account.
- Non elimina nulla dalla blockchain.
- Non elimina i record che l'identità ha già pubblicato.
L'eliminazione è la fine della custodia di questa identità da parte di questo account. Non esiste un pulsante «distruggi questa identità ovunque», e non può esistere: chiunque possieda il seed mantiene pieno potere sull'identità, e le prove firmate su Cardano sono permanenti.
Si può annullare un'eliminazione?
Sì — se hai salvato il seed.
Poiché l'Identity Seed è l'identità, reimportare lo stesso seed ricostruisce esattamente le stesse chiavi pubbliche e private. L'account può poi collegarsi di nuovo a quell'identità. In questo passaggio CardanoWall ti richiede di dimostrare che possiedi davvero il seed (firmando una sfida monouso con la chiave derivata dal seed), non semplicemente di conoscere le chiavi pubbliche, che sono visibili a chiunque. Una volta verificata quella prova, il collegamento viene ripristinato.
Se non hai salvato il seed, l'eliminazione può rendere il contenuto sigillato illeggibile da quell'account — in modo permanente. Per questo gli avvisi di eliminazione dovrebbero essere netti: elimina solo se il seed è salvato da qualche parte sotto il tuo controllo, o se sei davvero disposto a perdere l'accesso futuro da questo account. (Perché l'Identity Seed conta ancora approfondisce questo punto.)
Gli stati del ciclo di vita influiscono sulle prove già pubblicate?
No. È proprio questo il punto.
Una prova pubblicata si verifica dai soli dati pubblici della catena. Se un record è stato firmato da un'identità, quella firma è un fatto matematico sui byte — e nessuno stato di un account CardanoWall può farlo sparire. Un verificatore risolve la chiave pubblica del firmatario direttamente dai metadati della transazione e la controlla rispetto a materiale pubblico; non viene consultato alcun server CardanoWall, quindi non può essere consultato nemmeno alcuno stato dell'account.
Questo è essenziale per la Proof of Existence. La promessa è che un record pubblicato sopravvive allo stato del servizio, allo stato dell'account e perfino al fornitore: non devi fidarti dei server di CardanoWall, del suo dominio o della sua continuità di esistenza per verificarlo. La tua interfaccia può mostrare che un'identità è disattivata o eliminata nel tuo account, ma un verificatore tratta il record on-chain esattamente allo stesso modo a prescindere. (Una prova ha comunque dei limiti che vale la pena capire — vedi cosa non dimostra una prova.)
Cosa succede se il seed è compromesso?
Crea una nuova identità. Non affidarti alla sola disattivazione.
La disattivazione è un controllo a livello di servizio, non una revoca crittografica. Se qualcuno ha il seed, può comunque usare quell'identità al di fuori del tuo account e del tutto al di fuori di CardanoWall — il seed funziona in qualsiasi strumento conforme, senza alcun servizio di mezzo. Cambiare uno stato nel tuo account non risolve nulla di tutto ciò.
In caso di sospetta compromissione del seed:
- crea una nuova identità e salva il nuovo seed;
- disattiva la vecchia identità nel tuo account;
- smetti di pubblicizzare il vecchio indirizzo di ricezione nei luoghi pubblici;
- ripubblica le nuove chiavi pubbliche attraverso i canali che le persone considerano affidabili per raggiungerti;
- dove conta, pubblica nuovi record che sostituiscono quelli interessati, firmati con la nuova identità.
La vecchia identità non può essere resa non-compromessa. Il seed è l'unica cosa che abbia mai conferito controllo su di essa, e un segreto trapelato resta trapelato. È lo stesso motivo per cui rimuovere una passkey non ha effetto retroattivo: un'azione a livello di servizio può tagliare l'accesso futuro, ma non può tornare indietro e annullare un'esposizione già avvenuta.
Come dovrebbe usare questi stati un team?
Tratta gli stati del ciclo di vita come una politica, non come un sostituto della custodia del seed.
Un team dovrebbe decidere, in anticipo, quando un'identità è:
- attiva per il lavoro quotidiano;
- disattivata al termine di un progetto;
- disattivata durante un'indagine su una compromissione;
- eliminata dall'account di un membro dopo la sua uscita;
- sostituita con una nuova identità dopo che un seed è stato esposto.
L'unica cosa che questi stati non possono fare è revocare la conoscenza di un seed. Un membro andato via che possiede ancora i 32 byte mantiene pieno potere su un'identità condivisa, qualunque cosa faccia un qualsiasi account. Escluderlo significa sostituire l'identità — un seed nuovo condiviso solo con chi resta — non disattivare quella vecchia. Identità di team condivise tratta i compromessi dell'usare una sola identità tra più persone.
Qual è l'impostazione predefinita più sicura?
Disattiva prima di eliminare.
Quando hai dei dubbi, la disattivazione è la scelta più morbida. L'identità resta visibile e continua a decifrare, ma il nuovo utilizzo è bloccato, e puoi riattivarla in qualsiasi momento. Non si perde nulla.
Elimina solo quando hai la certezza che valga almeno una di queste condizioni:
- il seed è salvato da qualche parte al di fuori di CardanoWall; oppure
- l'identità non serve davvero più; oppure
- questo account semplicemente non dovrebbe più avervi accesso.
Eliminare senza un backup del seed è il modo più comune in cui le persone si escludono dal proprio stesso contenuto sigillato.
La versione breve
Attiva significa uso normale. Disattivata significa sola lettura in questo account — decifra ancora, ma non può firmare, pubblicare o inviare. Eliminata significa scollegata da questo account e rimossa dal suo vault, recuperabile solo reimportando il seed.
Questi stati ti aiutano a gestire le identità all'interno di CardanoWall. Non cambiano i fatti crittografici già scritti su Cardano. L'Identity Seed resta il percorso di recupero finale — quindi salvalo prima di eliminare qualsiasi cosa.
Letture di approfondimento
- La tua identità è un seed — perché la vera identità è un seed da 32 byte, non un account.
- Perché l'Identity Seed conta ancora — backup, recupero e quanto costa davvero perderlo.
- Cosa succede se rimuovi una passkey — la storia parallela del «controllo a livello di servizio, non retroattivo» per i fattori del vault.
- Identità di team condivise — usare una sola identità tra più persone, e rimuovere un membro.
- Cosa non dimostra una prova — i limiti di una Proof of Existence.
- Lo standard Label 309 e il suo codice di riferimento open-source su github.com/cardanowall.