9 min de leitura
Ativa, desativada, excluída: o que cada estado de identidade significa
Desativar ou excluir uma identidade CardanoWall muda como sua conta a utiliza, mas nunca muda a validade criptográfica dos registros já publicados na Cardano.
A CardanoWall dá a cada identidade da sua conta um estado de ciclo de vida que controla como ela pode ser usada. Ativa significa uso pleno. Desativada significa que a identidade permanece listada e ainda consegue decifrar, mas fica bloqueada para novas assinaturas, publicações e envios na sua conta. Excluída não é um estado — é uma ação que desvincula a identidade da sua conta e remove a entrada dela do seu cofre cifrado; reimportar a Identity Seed salva restaura o acesso.
Nenhuma dessas ações no nível da conta reescreve a blockchain. Uma prova que você já publicou continua válida e verificável, para sempre, não importa em que estado esteja a identidade que publicou.
Por que uma identidade tem um ciclo de vida?
Porque a criptografia e a conta são duas camadas diferentes, e apenas uma delas é permanente.
Uma identidade CardanoWall é construída sobre o padrão Label 309, no qual uma identidade é exatamente uma coisa: uma Identity Seed de 32 bytes e as chaves derivadas dela. Esse vínculo é imutável — uma semente é uma identidade, por toda a vida daquela identidade. Não existe "rotacionar a chave sob a mesma identidade". (Se essa ideia for nova para você, comece por sua identidade é uma semente.)
Mas um produto hospedado ainda precisa responder a perguntas cotidianas sobre a conta que a criptografia não responde:
- esta identidade deve poder ser usada para novos registros?
- ela deve permanecer visível para registros antigos?
- ela deve continuar decifrando os registros selados que chegam?
- ela deve continuar vinculada a esta conta?
- o usuário deve ser avisado antes de depender de uma identidade antiga?
Os estados do ciclo de vida respondem a essas perguntas de produto sem tocar na semente. São controles administrativos da conta sobrepostos a um fato criptográfico que nunca se move.
O que uma identidade ativa faz?
Ativa é o uso normal. Uma identidade ativa pode:
- assinar novos registros;
- publicar provas;
- enviar registros selados;
- decifrar registros selados endereçados a ela;
- aparecer no seletor de identidades;
- sincronizar o estado da Inbox;
- ser selecionada no compositor.
A maioria das identidades passa a maior parte da vida ativa. Os outros dois estados são escolhas deliberadas que você faz sobre uma identidade específica.
O que desativar uma identidade faz?
Desativar significa: não use esta identidade para nova autoria nesta conta.
Uma identidade desativada permanece na conta e mantém seu acesso de leitura. Ela ainda consegue decifrar registros selados — inclusive registros que chegam depois de você desativá-la. O que ela não pode fazer é assinar, publicar ou enviar a partir daquela conta até que você a reative. Isso é imposto no servidor, não apenas por um botão esmaecido: o caminho de publicação verifica o estado da identidade antes de fazer qualquer coisa.
A desativação é a ferramenta certa quando:
- uma equipe está migrando para uma identidade substituta;
- uma chave pode estar velha, mas não há confirmação de comprometimento;
- uma identidade deve ficar somente leitura por um tempo;
- um fluxo de trabalho está pausado;
- uma identidade compartilhada deve parar de publicar a partir de uma conta específica.
É totalmente reversível. Reativar vira o mesmo interruptor de volta e restaura o uso pleno.
Por que uma identidade desativada ainda consegue decifrar?
Porque a desativação é algo que sua conta sabe e os remetentes não.
O estado vive nos registros da CardanoWall, nunca na blockchain e nunca no formato de transmissão do Label 309. Um remetente que já possui seu endereço de recebimento ainda pode cifrar um registro selado para ele, e a Cardano aceitará esse registro contanto que esteja bem formado em todos os outros aspectos. Não há sinal na cadeia que diga ao remetente para parar.
Então, se sua conta ainda tem a semente, ela ainda consegue abrir o que chega. Bloquear a decifração puniria o destinatário e arriscaria perder provas recebidas genuinamente importantes, sem fazer nada para deter o remetente. A desativação, portanto, traça a linha onde ela é útil: bloqueia a nova autoria e deixa o acesso de leitura intacto.
O que excluir uma identidade faz?
Excluir remove a identidade desta conta — e nada além disso.
Quando você exclui uma identidade, duas coisas acontecem juntas. O vínculo entre conta e identidade é removido, e a entrada da semente da identidade é removida do cofre cifrado da sua conta, que é recifrado para as identidades restantes. O vínculo é descartado primeiro, de modo que a participação na lista e o bloqueio de publicação mudam imediatamente, mesmo que a reescrita do cofre precise de uma nova tentativa; uma entrada de cofre sem vínculo por trás é inerte.
Depois disso, esta conta não consegue mais desbloquear ou usar a identidade — a menos que o usuário reimporte a Identity Seed salva.
O que a exclusão deliberadamente não toca:
- ela não toca no vínculo de nenhuma outra conta com a mesma identidade. Cada conta que possui a identidade mantém sua própria cópia independente, então uma identidade que você compartilha com um colega continua funcionando na conta dele.
- ela não exclui nada da blockchain.
- ela não exclui os registros que a identidade já publicou.
A exclusão é o fim da custódia desta conta sobre a identidade. Não existe um botão "destruir esta identidade em todo lugar", e não pode existir — todo detentor da semente mantém poder total sobre ela, e provas assinadas na Cardano são permanentes.
Dá para desfazer uma exclusão?
Sim — se você salvou a semente.
Como a Identity Seed é a identidade, reimportar a mesma semente reconstrói exatamente as mesmas chaves pública e privada. A conta pode então se vincular novamente àquela identidade. A CardanoWall exige que você prove que realmente possui a semente durante essa etapa (assinando um desafio de uso único com a chave derivada da semente), e não apenas que você conhece as chaves públicas, que são visíveis para qualquer pessoa. Quando essa prova confere, o vínculo é restaurado.
Se você não salvou a semente, a exclusão pode tornar o conteúdo selado ilegível a partir daquela conta — permanentemente. É por isso que os avisos de exclusão devem ser diretos: exclua apenas se a semente estiver salva em algum lugar sob seu controle, ou se você estiver genuinamente confortável em perder o acesso futuro a partir desta conta. (Por que a Identity Seed ainda importa aprofunda esse ponto.)
Os estados do ciclo de vida afetam as provas que você já publicou?
Não. Esse é o ponto principal.
Uma prova publicada se verifica apenas a partir de dados públicos da cadeia. Se um registro foi assinado por uma identidade, essa assinatura é um fato matemático sobre os bytes — e nenhum estado de conta da CardanoWall pode fazê-la desaparecer. Um verificador resolve a chave pública de quem assinou diretamente a partir dos metadados da transação e a confere contra material público; nenhum servidor da CardanoWall é consultado, então nenhum estado de conta pode ser consultado tampouco.
Isso é essencial para a Proof of Existence (prova de existência). A promessa é que um registro publicado sobrevive ao estado do serviço, ao estado da conta e até ao fornecedor: você não precisa confiar nos servidores, no domínio ou na existência continuada da CardanoWall para verificá-lo. Sua interface pode mostrar que uma identidade está desativada ou excluída na sua conta, mas um verificador trata o registro na cadeia exatamente da mesma forma, independentemente disso. (Uma prova ainda tem limites que vale a pena entender — veja o que uma prova não prova.)
E se a semente for comprometida?
Crie uma nova identidade. Não dependa só da desativação.
A desativação é um controle na camada de serviço, não uma revogação criptográfica. Se alguém tem a semente, essa pessoa ainda pode usar aquela identidade fora da sua conta e completamente fora da CardanoWall — a semente funciona em qualquer ferramenta compatível com o padrão, sem nenhum serviço no caminho. Mudar um estado na sua conta não faz nada quanto a isso.
Para uma suspeita de comprometimento da semente:
- crie uma nova identidade e salve a nova semente;
- desative a identidade antiga na sua conta;
- pare de divulgar o endereço de recebimento antigo em locais públicos;
- republique as novas chaves públicas pelos canais em que as pessoas confiam para chegar até você;
- onde isso importar, publique novos registros que substituem os afetados, assinados sob a nova identidade.
A identidade antiga não pode ser "descomprometida". A semente é a única coisa que algum dia conferiu controle sobre ela, e um segredo vazado permanece vazado. Esse é o mesmo motivo pelo qual uma passkey removida não é retroativa: uma ação na camada de serviço pode cortar o acesso futuro, mas não consegue voltar no tempo e desfazer uma exposição que já aconteceu.
Como uma equipe deve usar esses estados?
Trate os estados do ciclo de vida como política, não como substituto da custódia da semente.
Uma equipe deve decidir, de antemão, quando uma identidade fica:
- ativa para o trabalho diário;
- desativada após o fim de um projeto;
- desativada durante uma investigação de comprometimento;
- excluída da conta de um membro depois que ele sai;
- substituída por uma nova identidade depois que uma semente é exposta.
A única coisa que esses estados não conseguem fazer é revogar o conhecimento de uma semente. Um membro que saiu e ainda possui os 32 bytes mantém poder total sobre uma identidade compartilhada, não importa o que qualquer conta faça. Excluí-lo significa substituir a identidade — uma nova semente compartilhada apenas com quem permanece — e não desativar a antiga. Identidades de equipe compartilhadas aborda as concessões de operar uma identidade entre várias pessoas.
Qual é o padrão mais seguro?
Desative antes de excluir.
Quando você estiver em dúvida, a desativação é a escolha mais branda. A identidade permanece visível e continua decifrando, mas o novo uso fica bloqueado, e você pode reativar a qualquer momento. Nada se perde.
Exclua apenas quando tiver certeza de que ao menos uma destas condições se sustenta:
- a semente está salva em algum lugar fora da CardanoWall; ou
- a identidade genuinamente não é mais necessária; ou
- esta conta simplesmente não deveria mais ter acesso a ela.
Excluir sem um backup da semente é a forma mais comum de as pessoas ficarem sem acesso ao próprio conteúdo selado.
A versão curta
Ativa significa uso normal. Desativada significa somente leitura nesta conta — ainda decifra, mas não pode assinar, publicar ou enviar. Excluída significa desvinculada desta conta e descartada do seu cofre, recuperável apenas reimportando a semente.
Esses estados ajudam você a gerenciar identidades dentro da CardanoWall. Eles não mudam os fatos criptográficos já gravados na Cardano. A Identity Seed continua sendo o caminho final de recuperação — então salve-a antes de excluir qualquer coisa.
Leitura complementar
- Sua identidade é uma semente — por que uma semente de 32 bytes, e não uma conta, é a identidade real.
- Por que a Identity Seed ainda importa — backup, recuperação e quanto a perda realmente custa.
- O que acontece se você remover uma passkey — a história paralela do "controle na camada de serviço, não retroativo" para os fatores do cofre.
- Identidades de equipe compartilhadas — operar uma identidade entre várias pessoas e remover um membro.
- O que uma prova não prova — os limites de uma Proof of Existence.
- O padrão Label 309 e seu código de referência de código aberto em github.com/cardanowall.