CardanoWall 回归，构建于 Label 309 之上

CardanoWall 回归了。这一次，产品本身只是故事中较小的一部分。真正持久的部分是 Label 309：一种开放、厂商中立的记录格式，用于把存在性证明锚定到 Cardano 交易元数据中。你对内容计算哈希，可选地为它签名，可选地把它封存给特定的人，再把结果发布到 Cardano 上。此后，任何持有交易引用的人都能仅凭公开链就完成验证，无需把 CardanoWall 当成一个必须长期存在的厂商来信任。

2021 年的最初构想之所以成立，是因为 Cardano 元数据能够承载持久的公开承诺。这次重新上线把那个构想落地为具体而精确的成果：一份明确规定的记录格式、一条开放的网关路径、若干 SDK、一个命令行工具，以及非密码学专业人士也能真正上手使用的面向用户的软件。

从 2021 年的实验到一份明确规定的格式

CardanoWall 始于 2021 年，押注非常简单：把 Cardano 交易元数据当作一个公开的地方，用来锚定证明。

那时候，所谓的证明大多是哈希、文本和临时拼凑的元数据。你可以对一个文件计算哈希，把哈希写到链上，之后——只要你还保留着原始文件——再次计算哈希，并与链上记录做比对。

这正是存在性证明的核心模式，值得明明白白地讲清楚，因为后面的一切都建立在它之上。你从不发布私有文件本身。你发布的是那一组确切字节的密码学指纹，而区块链提供了公开的时间见证。如果这些字节与记录的哈希相符，就说明它们的存在时间不晚于该区块的时间。

人们围绕它做了不少实验，把各种各样的消息和元数据塞进记录里。这很有用，但也暴露了松散实验的局限。要成为基础设施，这个构想需要一份精确的格式、严格的验证规则，以及能在不同应用、不同厂商之间通用的工具。一份证明的价值，取决于第二方能否在不打电话给第一方的情况下自行核验它。

这正是 Label 309 的用武之地。它围绕 Cardano 元数据 label 309 构建，格式把这个标签保留给存在性证明记录，规范也已提交到 Cardano CIP 流程。它目前作为一份 Metadata 类别的提案，正由 CIP 编辑审阅。

这里的措辞是经过斟酌的。Label 309 是一份正在审阅中的提案，尚未成为获批的 Cardano 标准，在 CIP 流程另有定论之前，我们都会这样描述它。但方向已经确定：CardanoWall 最初的构想，已经成长为一份精心规定、厂商中立的记录格式。如果你想全面了解底层的线上格式，Label 309 的工作原理是最好的起点。

这次重新上线究竟改变了什么？

新的 CardanoWall 并不是给旧概念套上一层更好看的界面。它是一条面向开放标准的完整实现路径：

一个 Web 应用，面向想要简单界面的人；
一个网关，负责报价、上传、发布、确认并为记录建立索引；
若干 SDK 和一个命令行工具，面向开发者与自动化场景；
多条验证路径，不依赖 CardanoWall 网站持续在线；
以及一个开源桌面应用，把公开记录集同步下来，供本地离线使用。

贯穿其下的架构要点是：CardanoWall 是一个产品，但证明并不被困在产品内部。一条 Label 309 记录可以仅凭公开的 Cardano 链、记录字节，以及——在需要时——原始内容或加密载荷来核验。网站能让这件事变得愉快，但它从来不是信任的根源。链才是。

四个层级：哈希、签名、封存、分享

理解这个重新上线的产品，最清晰的方式是把它看作四个层级，每一层都是前一层严格的超集。同样的结构也出现在标准的一致性配置中，我们在哈希、签名、封存、分享中做了详细讲解。

哈希：证明确切的字节在某个公开时间之前已经存在

第一层是经典的证明。CardanoWall 对一个文件、消息、数据集或清单计算哈希，并把这个哈希以 label 309 锚定在一笔 Cardano 交易里。此后，任何持有相同原始字节的人都能重新计算哈希，并确认它与链上记录相符。

它只证明一件很窄的事：这些确切的字节，其存在时间不晚于该交易所在区块的时间。它不证明文件由谁创建，不证明文件内容为真，也不证明任何人拥有它。正是这种窄，让它值得信赖——也值得精确理解，所以证明不能证明什么是本博客最早的文章之一。

签名：表明某个特定密钥为这条记录背书

第二层加入了作者归属。哈希表明内容已经存在；签名则表明有一个特定密钥站在这条记录背后。Label 309 允许一条记录携带一个或多个签名，于是断言从「这些字节存在过」扩展为「并且这个密钥为它们背书」。

这种区别对个人或公司都很重要。一个公开的时间戳本身就有用。而一个绑定到稳定身份密钥的公开时间戳则更有力——当你需要表明记录是你本人创建、批准或提交的时候。不过签名始终是可选的——这一格式从不要求你为了发布而暴露身份。

封存：在加时间戳的同时让文件保持私密

第三层加入了加密保存。一个裸哈希在原始文件丢失或哪怕只改动一个字节之前都够用；之后，哈希就不再相符了。它对完整性有好处，但一旦你不再持有那组确切字节，就很麻烦。

封存证明解决了这一点：它对文件加密，并通过 Arweave 这类内容寻址存储来引用密文。公开记录依然承诺确切的明文哈希，但明文永远不必公开，而加密后的文件可以与证明一同保存。断言从「只要我还留着文件，我就能证明这个哈希存在过」转变为「我可以以加密形式保存原始文件，并在日后证明它就是这个哈希背后的那个文件」。

分享：把封存记录投递给特定接收方

第四层加入了接收方。一个封存文件可以加密给你自己，也可以加密给其他特定的人。如果你知道某个接收方的接收地址，你就能发布一条记录，让对方日后发现它，并用自己的密钥解密。

正是这一点，让 Label 309 不止于个人加时间戳。它能支撑机密证据的投递、私密的业务记录、数据集承诺，以及任何需要让公开链证明一条记录存在、同时内容保持私密的工作流。接收方模型在设计上就注重隐私：记录里不携带任何公开的「接收方」字段来宣告这条消息发给谁。取而代之，客户端会扫描公开记录流，并在本地尝试解密那些可能发往其密钥的记录。

为什么后量子加密是设计的一部分？

永久存储改变了关于安全的讨论。一旦加密数据可能长期躺在公开存储上，问题就不再只是「今天有没有人能解密它？」，而还包括「如果有人现在把密文存下来，几年后再去攻击它，会怎样？」

正因如此，Label 309 把算法敏捷性——以及面向封存载荷的混合后量子加密——当作头等的设计目标，而不是事后补丁。这一格式并不被钉死在某一种原语上。它引用来自可扩展注册表的具名算法标识符，于是未来的实现可以加入更强的算法，而不破坏基本的记录模型。迁移到后量子算法是增量式的。

对于封存记录，CardanoWall 的设计同时支持一个经典接收地址，以及一个可选的混合后量子接收地址。在当前版本中，后量子这部分专门针对封存载荷的加密；记录签名仍然是 Ed25519。你不必理解这些，就能享受到更安全的默认设置。你只需要保护好自己的身份种子（Identity Seed）——你的整个身份都由这一个 32 字节的密钥派生而来，它也是背后真正的备份——并使用遵循该标准的软件。你的身份就是一颗种子解释了为什么这一个值如此重要。

网关为什么是开放的？

发布一份证明远不止按一个按钮。总得有什么东西来准备记录、在涉及文件时上传密文、对成本报价、提交 Cardano 交易、支付真实的网络费与存储费、等待确认、为结果建立索引，并把它暴露出来供验证。这个组件就是网关。

CardanoWall 的设计围绕着一种任何开发者或公司都能使用的网关模型。这里没有专为官方产品保留的私有发布通道——Web 应用通过与第三方完全相同的公开接口来访问网关。开发者可以在这同一套接口上构建一个不同的应用。公司可以运行自己的网关，为自己的 Cardano 钱包和存储钱包充值，并发布 Label 309 记录，而不必把 CardanoWall 当成托管运营方来依赖。

这种开放性是核心，而非脚注。如果标准是开放的，但唯一可用的实用工具是一项封闭服务，那么整个系统的核心依然薄弱。CardanoWall 既要成为一款好产品，也要成为一条他人可以检视、运行、修改和替换的参考路径。网关核心、各个 SDK 与命令行工具都是开源的。

它不主张什么

存在性证明之所以强大，恰恰因为它很窄。它证明确切的数据在某个公开时间之前已经存在。配合签名，它能表明有一个密钥为某条记录背书。配合封存载荷，它能保存加密文件，并在日后证明解密后的字节与已承诺的哈希相符。配合面向接收方的加密，它能把机密数据投递给特定密钥。

它不证明文件的内容为真。它不证明发布者拥有该内容。它不能替代法律意见、在法规要求时所需的受监管时间戳，也不能替代一整套合规系统。而且，尽管封存记录把明文和接收方身份留在链下，机密性也不等同于匿名性：网络行为、付款痕迹、浏览器指纹，以及 Label 309 记录之外那些寻常的操作失误，仍可能泄露谁在做什么。一个解密了封存文件的接收方，同样可以选择把明文分享出去。

这些限制不是弱点。它们是一套严肃证明系统与营销迷雾之间的分界线。

这个博客接下来会写什么

这个博客会一次聚焦一个问题，把整个系统讲清楚。

首先是基础：什么是存在性证明、Label 309 的工作原理、什么会上链，以及什么会保持私密。

然后是用户模型：身份种子、接收地址、封存记录，以及桌面客户端。

接着是运营层：网关如何工作、发布为什么要收费、API 访问如何融入其中，以及一家公司什么时候应该运行自己的网关。

再然后是那些让这一标准值得构建的用例：CI/CD 证明、AI 生成内容的来源溯源、私密数据集承诺、合规日志、法律证据包、机密披露，以及面向大规模证明的 Merkle 批处理。

CardanoWall 起初是一种把证明写进 Cardano 元数据的方式。重新上线后的版本，要做的是让那份证明持久、在需要时私密、无需厂商信任即可验证，并且足够实用——让你不必先成为一名协议工程师才能用上它。

这就是这次重新上线。