Tutti gli articoli

7 min di lettura

Perché l'Identity Seed conta ancora anche se hai una passkey

Sì, devi comunque salvare il tuo Identity Seed anche con una passkey. La passkey è uno sblocco di comodità; il seed è l'identità portabile che funziona su CardanoWall, sulla CLI, sugli SDK e su qualsiasi strumento Label 309.

Sì, devi comunque salvare il tuo Identity Seed, anche se aggiungi una passkey.

La passkey è lo sblocco di tutti i giorni. L'Identity Seed è l'identità. Salva il seed e potrai ricostruire la stessa identità Label 309 ovunque: in CardanoWall, nello strumento a riga di comando open source, negli SDK e in qualsiasi altro software che implementa lo standard. Perdi il seed e ogni modo di sbloccare il tuo vault, e l'uso futuro di quell'identità è perso per sempre.

Non è una dimenticanza. È la conseguenza diretta del fatto che CardanoWall non prende mai in custodia la tua identità. Se un servizio potesse restituirti l'identità dal nulla, potrebbe anche diventare te.

Cos'è l'Identity Seed?

L'Identity Seed è un singolo segreto da 32 byte. Da quell'unico valore, ogni strumento Label 309 deriva in modo deterministico le chiavi che la tua identità usa per:

  • firmare record Proof of Existence;
  • ricevere record sigillati a un indirizzo di ricezione classico;
  • ricevere record sigillati a un indirizzo di ricezione post-quantum opzionale;
  • decifrare i record indirizzati all'identità;
  • dimostrare che possiedi davvero l'identità quando la importi in un nuovo account.

Il seed è la radice portabile di tutto questo. Non è la seed phrase di un wallet Cardano. Non contiene ADA, non controlla fondi e non è un wallet di pagamento. È la radice di un'identità Label 309, e nient'altro. Per una panoramica più completa di come un'identità nasce da quei 32 byte, leggi La tua identità è un seed.

Perché CardanoWall non nasconde semplicemente il seed al posto mio?

Perché nasconderlo del tutto renderebbe il servizio la tua autorità di recupero, ed è esattamente ciò che il design rifiuta di essere.

Se CardanoWall potesse reimpostare o ricreare la tua identità senza il seed, dovrebbe custodire un segreto abbastanza potente da agire come te. Quel segreto renderebbe il servizio un custode: un singolo punto che potrebbe essere violato, intimato per via giudiziaria o semplicemente chiuso, portandosi via la tua identità.

Quindi la divisione è voluta. CardanoWall può offrire un vault cifrato, e una passkey può aprire quel vault. Ma il vault è uno strato di comodità. Il seed è la cosa che possiedi davvero, senza intermediari.

Quindi cosa fa concretamente la passkey?

Apre il vault di comodità, niente di più.

Una volta salvato il seed, puoi aggiungere una passkey. La passkey permette al browser di sbloccare il vault cifrato dell'identità senza obbligarti a incollare il seed ogni volta. È questo che rende fluido il lavoro quotidiano:

  • firmare record;
  • decifrare i record sigillati in arrivo;
  • passare da un'identità all'altra;
  • comporre messaggi sigillati;
  • sbloccare su un altro dispositivo con cui hai effettuato l'accesso, dove il tuo provider di passkey la sincronizza;
  • rientrare dopo aver perso un portatile, se la tua passkey è sincronizzata.

Il vault stesso contiene testo cifrato, non seed in chiaro, ed è indirizzato solo alle tue passkey, quindi il servizio non può leggerlo. Per il quadro completo di cosa una passkey sblocca e cosa no, leggi Come le passkey proteggono il tuo vault dell'identità.

Il limite è l'ambito: una passkey è legata a un singolo account e a un singolo contesto di piattaforma. Il seed no.

Cosa può fare il seed che la passkey non può?

Può spostare l'identità ovunque. Con il seed puoi:

  • importare l'identità in un nuovo account CardanoWall;
  • portarla in altri software Label 309;
  • usarla dallo strumento a riga di comando;
  • usarla in uno strumento di terze parti che implementa lo standard;
  • condividere intenzionalmente un'identità di team;
  • rientrare quando il vault ospitato non è disponibile;
  • confermare che le chiavi pubbliche derivate corrispondano all'identità che ti aspetti.

Una passkey sblocca il vault di un singolo account. Il seed ricostruisce l'identità stessa. È per questo che CardanoWall tratta il seed come il backup canonico e la passkey come una cache costruita sopra di esso.

Cosa succede se perdo il seed?

Dipende da cos'altro hai ancora.

Se hai ancora una passkey funzionante e il vault ospitato è online, sei a posto: puoi aprire l'identità e rivelare di nuovo il seed dalle impostazioni, dietro un passaggio di nuova autenticazione. Considera quel momento come l'occasione giusta per salvarlo finalmente in un posto durevole.

Se perdi il seed e ogni fattore di sblocco del vault, l'uso futuro dell'identità è perso. Non potrai firmare nuovi record con essa. Non potrai decifrare i record sigillati a essa indirizzati, compresi quelli che arrivano dopo la perdita. E nessuno in CardanoWall può reimpostarla, perché nessuno in CardanoWall ce l'ha.

Le prove che hai già pubblicato sono un'altra storia. Restano verificabili, perché la verifica si basa solo su dati pubblici: i metadati della transazione su Cardano e, dove serve, i byte del contenuto. La perdita di un seed non annulla in alcun modo la prova di ciò che hai già pubblicato.

Cosa succede se qualcuno ruba il seed?

Considera l'identità compromessa e sostituiscila.

Chiunque possieda il seed può derivare le stesse chiavi private. Può firmare con la tua identità e decifrare i record sigillati a essa indirizzati, passati e futuri. Non c'è modo di revocare quella conoscenza.

La risposta non è «cambiare il seed» all'interno della stessa identità. Un seed è un'identità, in modo permanente. Piuttosto:

  • crea una nuova identità;
  • salva il nuovo seed;
  • pubblica o distribuisci le nuove chiavi pubbliche attraverso canali di cui le persone si fidano;
  • disattiva la vecchia identità nel servizio;
  • smetti di usare i vecchi indirizzi di ricezione;
  • dove è utile, pubblica record che sostituiscono i precedenti.

È per questo che il seed merita la stessa cura di qualunque altro segreto di valore elevato. Vale la pena conoscere la differenza tra disattivare una vecchia identità ed eliminarla prima di averne bisogno; leggi Attiva, disattivata, eliminata.

Dove dovrei conservare il seed?

In un posto di cui ti fidi già per i segreti a lungo termine. Tra le buone opzioni:

  • un password manager affidabile;
  • un archivio cifrato e offline;
  • una copia stampata in un luogo sicuro;
  • un processo aziendale di gestione dei segreti;
  • una busta sigillata in una cassaforte d'ufficio, per un'identità di team condivisa.

Evita i posti da cui i segreti trapelano:

  • screenshot nella galleria fotografica del telefono;
  • note semplici e non cifrate;
  • messaggi di chat;
  • bozze di email;
  • issue tracker o wiki;
  • documenti pubblici;
  • ovunque tu possa incollare per riflesso una frase di wallet.

Il livello di protezione giusto cresce con il valore dell'identità. Un'identità di test usa e getta e l'identità condivisa di una redazione non meritano lo stesso tipo di archiviazione.

Il seed è una frase di wallet?

No, e CardanoWall fa di tutto per tenere le due cose distinte.

CardanoWall, deliberatamente, non usa liste di parole in stile wallet per le identità. Un Identity Seed Label 309 è mostrato come una stringa con checksum che non assomiglia per niente al backup di un wallet cripto, proprio perché tu non confonda le due cose. Il checksum intercetta refusi e troncamenti senza prendere in prestito il formato a griglia di parole che le persone associano ai fondi.

Non incollare mai una frase di wallet Cardano in CardanoWall. Non ne ha bisogno e non te la chiede mai. L'Identity Seed è per la tua identità Label 309, punto.

Quanto spesso dovrei toccare il seed?

Il meno possibile. Lo schema sano è:

  1. crea o importa l'identità;
  2. salva il seed;
  3. aggiungi una passkey;
  4. usa la passkey per gli sblocchi quotidiani;
  5. rivela o reinserisci il seed solo quando sposti, recuperi o verifichi l'identità.

Così il seed resta davvero portabile senza costringerti a maneggiare un segreto grezzo ogni giorno. Nel quotidiano tocchi una passkey; il seed aspetta al sicuro sullo sfondo.

In breve

L'Identity Seed è l'identità. La passkey è lo sblocco di comodità.

Salva il seed prima di iniziare a fare affidamento sull'identità. Usa le passkey per rendere fluido il lavoro quotidiano. Tieni il seed fuori dai dispositivi non fidati e non confonderlo mai con una frase di wallet. Se CardanoWall può aiutarti ogni giorno ma comunque non può sostituire il tuo seed, il modello funziona esattamente come è stato progettato.

Per approfondire

cardanowall-guidesidentitypasskeys