Все записи

8 мин чтения

Активна, деактивирована, удалена: что означает каждое состояние идентичности

Деактивация или удаление идентичности CardanoWall меняет то, как её использует ваш аккаунт, но никогда не меняет криптографическую действительность записей, уже опубликованных в Cardano.

CardanoWall присваивает каждой идентичности в вашем аккаунте состояние жизненного цикла, которое определяет, как эту идентичность можно использовать. Активна — это полный доступ. Деактивирована означает, что идентичность остаётся в списке и по-прежнему может расшифровывать записи, но в вашем аккаунте ей запрещены новое подписание, публикация и отправка. Удалена — это вообще не состояние, а действие: оно отвязывает идентичность от вашего аккаунта и убирает её запись из зашифрованного хранилища. Повторный импорт сохранённого Identity Seed возвращает доступ.

Ни одно из этих действий на уровне аккаунта не переписывает блокчейн. Подтверждение, которое вы уже опубликовали, навсегда остаётся действительным и проверяемым — в каком бы состоянии ни находилась опубликовавшая его идентичность.

Зачем идентичности вообще нужен жизненный цикл?

Потому что криптография и аккаунт — это два разных слоя, и постоянный только один из них.

Идентичность CardanoWall построена на стандарте Label 309, где идентичность — это ровно одна вещь: 32-байтовый Identity Seed и производные от него ключи. Эта связка неизменна: один сид — одна идентичность на весь срок её жизни. Никакого «сменить ключ под той же идентичностью» не существует. (Если эта мысль для вас в новинку, начните с материала ваша идентичность — это сид.)

Но хостинговый продукт всё равно должен отвечать на повседневные вопросы об аккаунте, на которые криптография ответа не даёт:

  • можно ли использовать эту идентичность для новых записей;
  • должна ли она оставаться видимой для старых записей;
  • должна ли она и дальше расшифровывать входящие запечатанные записи;
  • должна ли она вообще оставаться привязанной к этому аккаунту;
  • нужно ли предупреждать пользователя, прежде чем он положится на старую идентичность.

Состояния жизненного цикла отвечают на эти продуктовые вопросы, не затрагивая сид. Это учёт на уровне аккаунта, надстроенный поверх криптографического факта, который никогда не сдвигается.

Что делает активная идентичность?

Активное состояние — это обычный режим работы. Активная идентичность может:

  • подписывать новые записи;
  • публиковать подтверждения;
  • отправлять запечатанные записи;
  • расшифровывать запечатанные записи, адресованные ей;
  • появляться в переключателе идентичностей;
  • синхронизировать состояние входящих;
  • быть выбранной в композере.

Большинство идентичностей бо́льшую часть жизни проводят в активном состоянии. Два других состояния — это осознанные решения, которые вы принимаете относительно конкретной идентичности.

Что происходит при деактивации идентичности?

Деактивация означает: не использовать эту идентичность для нового авторства в этом аккаунте.

Деактивированная идентичность остаётся в аккаунте и сохраняет доступ на чтение. Она по-прежнему может расшифровывать запечатанные записи — в том числе те, что приходят после деактивации. Чего она не может, так это подписывать, публиковать или отправлять из этого аккаунта, пока вы её снова не активируете. Это обеспечивается на сервере, а не просто неактивной кнопкой: путь публикации проверяет состояние идентичности, прежде чем что-либо сделать.

Деактивация — правильный инструмент, когда:

  • команда переходит на замещающую идентичность;
  • ключ, возможно, устарел, но его компрометация не подтверждена;
  • идентичность нужно на время перевести в режим только для чтения;
  • рабочий процесс поставлен на паузу;
  • общая идентичность должна перестать публиковать из одного конкретного аккаунта.

Это действие полностью обратимо. Повторная активация возвращает тот же переключатель в исходное положение и восстанавливает полный доступ.

Почему деактивированная идентичность всё ещё может расшифровывать?

Потому что деактивация — это то, что знает ваш аккаунт, но не знают отправители.

Это состояние живёт в записях CardanoWall, его нет ни в блокчейне, ни в формате передачи Label 309. Отправитель, у которого уже есть ваш адрес получателя, по-прежнему может зашифровать запечатанную запись для него, и Cardano примет эту запись, если она в остальном корректно сформирована. Нет никакого сигнала в блокчейне, который сказал бы отправителю остановиться.

Поэтому, если ваш аккаунт всё ещё хранит сид, он по-прежнему может открыть то, что приходит. Блокировка расшифровывания наказала бы получателя и рисковала бы потерять действительно важные входящие свидетельства, при этом никак не остановив отправителя. Деактивация поэтому проводит границу там, где это полезно: она блокирует новое авторство и оставляет доступ на чтение нетронутым.

Что происходит при удалении идентичности?

Удаление убирает идентичность из этого аккаунта — и ничего больше.

Когда вы удаляете идентичность, происходят сразу две вещи. Убирается связь между аккаунтом и идентичностью, а запись сида этой идентичности удаляется из зашифрованного хранилища вашего аккаунта, которое затем заново шифруется на оставшиеся идентичности. Связь убирается первой, поэтому членство в списке и блокировка публикации срабатывают мгновенно, даже если перешифрование хранилища потребует повторной попытки; запись в хранилище, за которой не стоит никакой связи, бесполезна.

После этого аккаунт больше не может разблокировать или использовать эту идентичность — если только пользователь не импортирует заново сохранённый Identity Seed.

Чего удаление намеренно не затрагивает:

  • Оно не затрагивает связь любого другого аккаунта с той же идентичностью. Каждый аккаунт, у которого есть эта идентичность, хранит собственную независимую копию, поэтому идентичность, которой вы делитесь с коллегой, продолжает работать в его аккаунте.
  • Оно ничего не удаляет из блокчейна.
  • Оно не удаляет записи, которые идентичность уже опубликовала.

Удаление — это конец хранения идентичности этим аккаунтом. Кнопки «уничтожить эту идентичность повсюду» не существует, и её не может быть: каждый владелец сида сохраняет над ним полную власть, а подписанные подтверждения в Cardano постоянны.

Можно ли отменить удаление?

Да — если вы сохранили сид.

Поскольку Identity Seed и есть идентичность, повторный импорт того же сида воссоздаёт ровно те же открытые и закрытые ключи. После этого аккаунт может снова привязаться к этой идентичности. CardanoWall требует, чтобы на этом шаге вы доказали, что действительно владеете сидом (подписав одноразовый запрос ключом, производным от сида), а не просто знаете открытые ключи, которые видны кому угодно. Как только это доказательство проходит проверку, связь восстанавливается.

Если же вы не сохранили сид, удаление может сделать запечатанное содержимое нечитаемым из этого аккаунта — навсегда. Поэтому предупреждения об удалении должны быть прямыми: удаляйте, только если сид сохранён где-то под вашим контролем или вы действительно готовы потерять будущий доступ из этого аккаунта. (Материал почему Identity Seed по-прежнему важен разбирает это глубже.)

Влияют ли состояния жизненного цикла на уже опубликованные подтверждения?

Нет. В этом весь смысл.

Опубликованное подтверждение проверяется только по публичным данным блокчейна. Если запись была подписана идентичностью, эта подпись — математический факт о байтах, и никакое состояние аккаунта CardanoWall не может заставить его исчезнуть. Верификатор берёт открытый ключ подписавшего прямо из метаданных транзакции и сверяет его с публичным материалом; ни один сервер CardanoWall при этом не опрашивается, а значит, и никакое состояние аккаунта тоже.

Это принципиально важно для Proof of Existence. Обещание в том, что опубликованная запись переживает состояние сервиса, состояние аккаунта и даже самого поставщика: чтобы проверить её, не нужно доверять ни серверам CardanoWall, ни домену, ни тому, что компания продолжит существовать. Ваш интерфейс может показывать, что идентичность деактивирована или удалена в вашем аккаунте, но верификатор обращается с записью в блокчейне совершенно одинаково в любом случае. (У подтверждения всё же есть пределы, о которых стоит знать, — см. чего подтверждение не доказывает.)

Что делать, если сид скомпрометирован?

Создайте новую идентичность. Не полагайтесь на одну только деактивацию.

Деактивация — это контроль на уровне сервиса, а не криптографический отзыв. Если у кого-то есть сид, он по-прежнему может использовать эту идентичность вне вашего аккаунта и вообще вне CardanoWall: сид работает в любом совместимом инструменте, без участия какого-либо сервиса. Переключение состояния в вашем аккаунте на это никак не влияет.

При подозрении на компрометацию сида:

  • создайте новую идентичность и сохраните новый сид;
  • деактивируйте старую идентичность в своём аккаунте;
  • перестаньте указывать старый адрес получателя в публичных местах;
  • заново опубликуйте новые открытые ключи по тем каналам, которым люди доверяют, чтобы связаться с вами;
  • там, где это важно, опубликуйте новые записи, замещающие затронутые, подписанные новой идентичностью.

Сделать старую идентичность снова не скомпрометированной нельзя. Сид был единственным, что вообще давало над ней контроль, а утёкший секрет остаётся утёкшим. По той же причине удалённый passkey не действует задним числом: действие на уровне сервиса может отрезать будущий доступ, но не может дотянуться назад и отменить уже случившееся раскрытие.

Как команде стоит использовать эти состояния?

Относитесь к состояниям жизненного цикла как к политике, а не как к замене хранения сида.

Команде стоит заранее решить, когда идентичность:

  • активна для повседневной работы;
  • деактивирована после завершения проекта;
  • деактивирована на время расследования компрометации;
  • удалена из аккаунта участника после его ухода;
  • заменена новой идентичностью после раскрытия сида.

Единственное, чего эти состояния не могут, — это отозвать знание сида. Ушедший участник, у которого по-прежнему есть эти 32 байта, сохраняет полную власть над общей идентичностью, что бы ни делал любой аккаунт. Исключить его — значит заменить идентичность: новым сидом, которым делятся только с теми, кто остался, а не деактивировать старую. Материал общие командные идентичности разбирает компромиссы использования одной идентичности несколькими людьми.

Какое значение по умолчанию самое безопасное?

Деактивируйте, прежде чем удалять.

Когда вы не уверены, деактивация — более мягкий выбор. Идентичность остаётся видимой и продолжает расшифровывать, но новое использование заблокировано, и вы можете снова активировать её в любой момент. Ничего не теряется.

Удаляйте, только когда уверены, что выполняется хотя бы одно из условий:

  • сид сохранён где-то вне CardanoWall; или
  • идентичность действительно больше не нужна; или
  • этому аккаунту просто не следует иметь к ней доступ.

Удаление без резервной копии сида — самый частый способ заблокировать себе доступ к собственному запечатанному содержимому.

Коротко

Активна — обычный режим работы. Деактивирована — режим только для чтения в этом аккаунте: она по-прежнему расшифровывает, но не может подписывать, публиковать или отправлять. Удалена — отвязана от этого аккаунта и убрана из его хранилища, восстановить можно только повторным импортом сида.

Эти состояния помогают управлять идентичностями внутри CardanoWall. Они не меняют криптографические факты, уже записанные в Cardano. Identity Seed остаётся последним путём восстановления — поэтому сохраните его, прежде чем что-либо удалять.

Что почитать дальше

cardanowall-guidesidentitylifecycle