全部文章

阅读约 5 分钟

CardanoWall 上的公开主页与接收地址

CardanoWall 的公开主页为一个身份提供一个可分享的页面,上面列出它的接收地址——但在把文件封存给它之前,发送方仍应通过可信渠道核实这个主页。

公开主页是一个可选的、可分享的页面,对应单个 CardanoWall 身份。它可以展示一个显示名称、该身份的公钥、它的接收地址,以及你选择公开的一段简短介绍——这样别人就能把加密记录封存给你,而不必每次都来要一遍密钥。

它是一种便于发现的工具,而不是信任的锚点。任何人都可以在任意密钥旁写上任意名字,所以在发送任何敏感内容之前,发送方仍应确认这个主页确实属于他们想要联系的那个人或组织。发现和信任是两个不同的步骤。

什么是公开主页?

它是一个按身份开启的页面,是否开启由你决定。

一个 CardanoWall 账户可以持有多个身份。公开主页是 按身份 开启的,而非整个账户——所以你可以运行一个对外公开的接收身份来收取入站文件,同时让其他身份保持完全私密。开启之后,该身份会得到一个简短、可分享的链接,形如 cardanowall.com/p/<short-id>。关闭主页后,这个链接就无法再解析;再次开启时,该身份会得到一个全新的链接,而不会复用旧的那个。

主页可以展示你选择公开的那些公开信息:

  • 一个公开显示名称;
  • 该身份的 Ed25519 签名公钥(用于验证它的签名);
  • 它的经典 age1... 接收地址;
  • 它的混合 age1pqc1... 接收地址;
  • 一段简短介绍或一组说明。

它刻意不暴露你的账户邮箱、计费数据、你给身份起的私有标签、你账户里的其他身份,以及你加密保险库里的任何内容。这些都不属于该页面,也永远不会被公开。

为什么要公开接收地址?

这样别人就能把记录封存给你,而不用来回沟通。

要接收一份加密(封存)的证明记录,发送方需要你的接收地址——也就是他们把内容密钥包装到其上的那把公钥。他们可以从一条私信、一条 DNS 记录、你域名上的某个 .well-known 页面,或一个公开主页拿到它。(关于这个地址究竟是什么、封存如何使用它,更完整的解释见什么是接收地址。)

当许多人都需要向同一个身份发送时,公开主页就格外有用:

  • 新闻线索投递;
  • 安全漏洞披露;
  • 法律事务受理;
  • 创作者投稿;
  • 合作方证据递交;
  • 公司合规信箱。

主页让地址容易被找到。加密则让内容对除密钥持有者之外的所有人保持私密——地址公开并不会让文件也变成公开的。

公开主页上应该放些什么?

只放你愿意永久分享的公开信息。

适合放在主页上的内容:

  • 该身份的公开显示名称;
  • 一句简短说明,讲清这个身份接收什么;
  • 接收地址;
  • 如何核实该页面确实属于你(你的域名、一条 DNS 记录);
  • 一句明确的声明,说明哪些内容不要发到这里。

不要放在页面上的内容:

  • 你在内部给身份使用的私有标签;
  • 一个你并不打算公开的个人邮箱;
  • 机密的工作流程细节;
  • 任何机密信息。你的身份种子和私钥绝不会外流到任何地方——不会出现在主页上、不会出现在介绍里,也不会离开你的设备。

把这个页面当作永久公开来对待,因为从实际效果看它就是如此。

在信任一个主页之前,发送方应该如何核实它?

通过一条发送方本就信任的路径到达这个主页。

当发送方是从你的官方网站、你域名上的一条 DNS 记录、一个 .well-known 页面、一个已验证的社交账号,或一段你当面交给对方的代码到达 CardanoWall 主页时,这个主页才更有意义。一条不熟悉的主页链接如果出现在一封未经请求的消息里,那么默认它是未经核实的——链接本身无法证明它背后是谁。

对于敏感文件,谨慎的发送方会交叉比对多个信号,而不是只看一个:

  • 主页 URL 和显示名称;
  • Ed25519 签名密钥的指纹;
  • 接收地址本身;
  • 一条独立渠道——你的官方域名或 .well-known 页面;
  • 他们此前已在通讯录中为你保存的任何条目。

有一点值得再强调一遍:主页容易分享,而这恰恰也是它容易被伪造的原因。它是核实的起点,而不是核实的替代。我们在在把文件封存给接收方之前先核实对方一文中详细讲解了这项检查。

主页应该把两种接收地址都列出来吗?

通常应该——两个都公开,让发送方自己选。

经典 age1... 地址更短,兼容性更广。混合 age1pqc1... 地址要长得多,专为长期留存的敏感材料设计,在经典密钥之外再叠加一层后量子防护。两者都派生自同一个身份,所以同时列出两个不会增加任何成本,反而能让发送方为手头的任务选到合适的那个。

如果某位发送方的工具目前只支持两者之一,那就公开它支持的那个,并说明是哪一个,免得别人去猜。

主页如何与通讯录配合?

主页为通讯录提供信息,通讯录则把信任保存下来。

一个典型的流程是:

  1. 你为自己的接收身份发布一个主页;
  2. 发送方打开它,并通过一条独立渠道核实;
  3. 发送方把你保存为联系人,记下你的密钥以及他们是如何核实你的;
  4. 此后发送方在编辑器里按名字选你;
  5. 以后的发送就免去了复制粘贴和重新核实。

主页用于发现;保存下来的联系人才是把信任带向未来的载体。关于这些保存的联系人是如何存储的、每个条目又包含哪些内容,见通讯录如何运作创建你的通讯录

主页发生变更时会怎样?

把变更后的密钥当作一项新的声明,而不是一次自动更新。

主页可能因为接收地址轮换、身份被停用,或团队交接所有权而发生变更。发送方不应仅仅因为某把新密钥出现在一个熟悉的链接上就去信任它——同一个链接也可以提供一把不同的密钥。

对于风险更高的入站渠道,密钥变更要通过不止一条路径来公告:

  • 公开主页;
  • 你的官方网站;
  • 一条 DNS TXT 或 .well-known 记录;
  • 一份带签名的公告;
  • 一封发给已知合作方的直接通知。

在接收一方,发送方只应在重新核实之后才更新已保存的联系人——保持和第一次核实时同样的谨慎。

发布主页在隐私上有哪些边界?

发布一个主页就是在刻意地把若干公开信息关联到一起。

开启一个主页,意味着你选择把一个显示名称和一组接收密钥关联到同一个身份上。人们可以借此向你发送记录,或者辨认出该身份的签名。这个页面不会泄露你账户的私有结构,但页面上的那些密钥按设计就是公开的,并且会一直公开下去。

封存记录为密钥持有者保护其中的 内容;它并不会让发送方或接收方变得匿名,而且任何解密了某份记录的人,事后都可以选择把明文分享出去。如果你需要把不同场景分隔开——一个对外受理的身份,和一个安静的私人身份——那就使用不同的身份,而不是用一个主页把所有东西捆在一起。如果你的入站渠道招来了噪声,CardanoWall 的白名单模式可以让某个指定身份只显示你已经核实过的发送方。

简短版本

公开主页让一个身份的接收地址变得容易被找到,这对团队、创作者、新闻编辑室、安全联系人,以及任何想要从许多人那里收取加密记录的人来说,都实实在在地有用。它是一个你自行选择开启、按身份维度的页面,从不暴露任何机密,而且可以随时关闭。

但找到一个地址,和信任它,并不是一回事。在把敏感文件封存出去之前,发送方仍应通过可信渠道到达这个主页,并确认其中的密钥。一个好的主页并不能替代这项检查——它只是让这项检查更容易做到。

延伸阅读

cardanowall-guidesreceive-addressespublic-profile