Todos os posts

7 min de leitura

Por que a Identity Seed ainda importa quando você tem uma passkey

Sim, você ainda precisa salvar sua Identity Seed mesmo com uma passkey. A passkey é um desbloqueio de conveniência; a semente é a identidade portátil que funciona no CardanoWall, na CLI, nos SDKs e em qualquer ferramenta Label 309.

Sim, você ainda precisa salvar sua Identity Seed, mesmo que adicione uma passkey.

A passkey é o desbloqueio do dia a dia. A Identity Seed é a identidade. Salve a semente e você consegue reconstruir a mesma identidade Label 309 em qualquer lugar: no CardanoWall, na ferramenta de linha de comando de código aberto, nos SDKs e em qualquer outro software que implemente o padrão. Perca a semente e todas as formas de abrir seu cofre, e o uso futuro daquela identidade se perde para sempre.

Isso não é um descuido. É a consequência direta de o CardanoWall nunca assumir a custódia da sua identidade. Se um serviço pudesse devolver sua identidade do nada, ele também seria capaz de se tornar você.

O que é a Identity Seed?

A Identity Seed é um único segredo de 32 bytes. A partir desse único valor, toda ferramenta Label 309 deriva de forma determinística as chaves que sua identidade usa para:

  • assinar registros de Proof of Existence (prova de existência);
  • receber registros selados em um endereço de recebimento clássico;
  • receber registros selados em um endereço de recebimento pós-quântico opcional;
  • decifrar registros endereçados à identidade;
  • provar que você realmente detém a identidade ao importá-la para uma nova conta.

A semente é a raiz portátil de tudo isso. Ela não é uma frase-semente de carteira Cardano. Não guarda ADA, não controla fundos e não é uma carteira de pagamento. É a raiz de uma identidade Label 309, e nada mais. Para um passo a passo mais completo de como uma identidade cresce a partir desses 32 bytes, veja Sua identidade é uma semente.

Por que o CardanoWall simplesmente não esconde a semente para mim?

Porque escondê-la por completo tornaria o serviço sua autoridade de recuperação, e é exatamente isso que o design se recusa a ser.

Se o CardanoWall pudesse redefinir ou recriar sua identidade sem a semente, ele teria que guardar algum segredo poderoso o bastante para agir como você. Esse segredo tornaria o serviço um custodiante: um único ponto que poderia ser violado, intimado judicialmente ou simplesmente desligado, levando sua identidade junto.

Então a separação é deliberada. O CardanoWall pode oferecer um cofre cifrado, e uma passkey pode abrir esse cofre. Mas o cofre é uma camada de conveniência. A semente é a coisa que você possui de forma plena.

Então o que a passkey realmente faz?

Ela abre o cofre de conveniência, nada mais.

Depois de salvar a semente, você pode adicionar uma passkey. A passkey permite que seu navegador abra o cofre de identidade cifrado sem fazer você colar a semente toda vez. É isso que mantém o trabalho diário fluido:

  • assinar registros;
  • decifrar registros selados que chegam;
  • alternar entre identidades;
  • compor mensagens seladas;
  • desbloquear em outro dispositivo conectado, onde seu provedor de passkey sincroniza o cofre;
  • voltar a entrar depois de perder um notebook, se sua passkey estiver sincronizada.

O cofre em si guarda texto cifrado, não sementes em texto claro, e é endereçado apenas às suas passkeys, de modo que o serviço não consegue lê-lo. Para o quadro completo do que uma passkey desbloqueia e do que ela não desbloqueia, veja Como as passkeys protegem seu cofre de identidade.

O detalhe é o escopo: uma passkey está atrelada a uma conta e a um contexto de plataforma. A semente, não.

O que a semente faz que uma passkey não consegue?

Ela consegue mover a identidade para qualquer lugar. Com a semente você pode:

  • importar a identidade para uma nova conta CardanoWall;
  • levá-la para outros softwares Label 309;
  • usá-la na ferramenta de linha de comando;
  • usá-la em uma ferramenta de terceiros que implemente o padrão;
  • compartilhar deliberadamente uma identidade de equipe;
  • voltar a entrar quando o cofre hospedado estiver indisponível;
  • confirmar que as chaves públicas derivadas correspondem à identidade que você espera.

Uma passkey desbloqueia o cofre de uma conta. A semente reconstrói a própria identidade. É por isso que o CardanoWall trata a semente como o backup canônico e a passkey como um cache em cima dela.

O que acontece se eu perder a semente?

Depende do que mais você ainda tem.

Se você ainda tem uma passkey funcional e o cofre hospedado está online, está tudo bem: você pode abrir a identidade e revelar a semente novamente nas configurações, por trás de uma etapa de reautenticação. Encare isso como o momento de finalmente salvá-la em algum lugar durável.

Se você perder a semente e todos os fatores de desbloqueio do cofre, o uso futuro da identidade está perdido. Você não pode assinar novos registros sob ela. Você não pode decifrar registros selados endereçados a ela, incluindo os que chegarem depois da perda. E ninguém no CardanoWall pode redefini-la, porque ninguém no CardanoWall a tem.

Suas provas já publicadas são uma história à parte. Elas continuam verificáveis, porque a verificação depende apenas de dados públicos: os metadados da transação na Cardano e, quando necessário, os bytes do conteúdo. Nada em uma semente perdida desfaz a prova do que você já publicou.

O que acontece se alguém roubar a semente?

Considere a identidade comprometida e substitua-a.

Qualquer um que tenha a semente pode derivar as mesmas chaves privadas. Pode assinar como sua identidade e decifrar registros selados endereçados a ela, no passado e no futuro. Não há como revogar esse conhecimento.

A resposta não é "trocar a semente" dentro da mesma identidade. Uma semente é uma identidade, permanentemente. Em vez disso:

  • crie uma nova identidade;
  • salve a nova semente;
  • publique ou distribua as novas chaves públicas por canais em que as pessoas confiam;
  • desative a identidade antiga no serviço;
  • pare de usar os endereços de recebimento antigos;
  • onde ajudar, publique registros que substituam os antigos.

É por isso que a semente merece o mesmo cuidado que qualquer outro segredo de alto valor. Vale conhecer a diferença entre desativar uma identidade antiga e excluí-la antes de precisar dela; veja Ativa, desativada, excluída.

Onde devo guardar a semente?

Em algum lugar em que você já confie para segredos de longo prazo. Boas opções incluem:

  • um gerenciador de senhas confiável;
  • um arquivo cifrado e offline;
  • uma cópia impressa em um local seguro;
  • um processo corporativo de gestão de segredos;
  • um envelope selado em um cofre de escritório, para uma identidade de equipe compartilhada.

Evite os lugares de onde os segredos vazam:

  • capturas de tela na galeria de fotos do seu celular;
  • notas simples e não cifradas;
  • mensagens de chat;
  • rascunhos de e-mail;
  • rastreadores de issues ou wikis;
  • documentos públicos;
  • qualquer lugar onde você possa colar uma frase de carteira por reflexo.

O nível certo de proteção escala com o valor da identidade. Uma identidade de teste descartável e a identidade compartilhada de uma redação não merecem o mesmo armazenamento.

A semente é uma frase de carteira?

Não, e o CardanoWall se esforça para manter as duas coisas distintas.

O CardanoWall deliberadamente não usa listas de palavras no estilo de carteira para identidades. Uma Identity Seed Label 309 é exibida como uma string com checksum que não se parece em nada com um backup de carteira de cripto, justamente para você não confundir as duas. O checksum detecta erros de digitação e truncamentos sem tomar emprestado o formato de grade de palavras que as pessoas associam a fundos.

Nunca cole uma frase de carteira Cardano no CardanoWall. Ele não precisa de uma e nunca pede uma. A Identity Seed é para a sua identidade Label 309, ponto final.

Com que frequência devo mexer na semente?

O mais raramente possível. O padrão saudável é:

  1. criar ou importar a identidade;
  2. salvar a semente;
  3. adicionar uma passkey;
  4. usar a passkey para os desbloqueios diários;
  5. revelar ou reinserir a semente apenas ao mover, recuperar ou auditar a identidade.

Isso mantém a semente genuinamente portátil sem fazer você manipular um segredo bruto todo dia. No dia a dia, você toca uma passkey; a semente espera em segurança nos bastidores.

A versão curta

A Identity Seed é a identidade. A passkey é o desbloqueio de conveniência.

Salve a semente antes de começar a depender da identidade. Use passkeys para deixar o trabalho diário fluido. Mantenha a semente longe de dispositivos não confiáveis e nunca a confunda com uma frase de carteira. Se o CardanoWall pode ajudar você todos os dias mas ainda assim não pode substituir sua semente, o modelo está funcionando exatamente como projetado.

Leitura adicional

cardanowall-guidesidentitypasskeys