Ciò che mi ha infastidito di SIGN non era la versione online di verifica, ben rifinita. Era il momento del checkpoint più brutto in cui una credenziale deve essere fidata prima che la rete, l'API o l'emittente siano pronti a rispondere. Un QR viene scansionato. Un badge viene presentato. Un cancello deve decidere. E la vera domanda non è più se la credenziale sembra valida. È se il verificatore può distinguere tra qualcosa che si presenta in modo chiaro offline e qualcosa che è ancora valida in questo momento. Questo mi è sembrato il vero onere. La fiducia diventa più difficile non appena la connettività si indebolisce, i controlli di stato ritardano e la fila deve comunque muoversi.
Ecco perché non penso che la portabilità sia la vera vittoria di per sé. La parte difficile è rendere una credenziale portatile senza farla diventare obsoleta silenziosamente. Una prova può viaggiare come una presentazione QR o NFC. Quella parte è facile da ammirare. La parte più difficile arriva un attimo dopo, quando lo stato di revoca, la posizione dell'emittente o la validità attuale dipendono da un contesto che potrebbe arrivare tardi o non arrivare affatto. L'operatore vuole velocità. Il titolare vuole continuità. Il sistema ha bisogno di verità fresca. Queste pressioni non si allineano naturalmente, e gli ambienti deboli espongono immediatamente il divario.
La scena del flusso di lavoro che è rimasta con me è semplice. Qualcuno presenta una credenziale dove non si può assumere un comodo callback live. Forse la rete è debole. Forse l'impostazione è intenzionalmente offline. Forse il verificatore deve solo ricevere una presentazione limitata. La credenziale viene comunque scansionata. La divulgazione selettiva funziona ancora. Ma la domanda difficile arriva subito dopo: questa credenziale è semplicemente ben formata, o è ancora attiva, ancora accreditata, ancora non revocata, e ancora accettabile secondo le politiche attuali? Questo è il punto in cui i sistemi più deboli iniziano a barare. Trattano il presentabile come abbastanza vicino all'attuale. Lasciare che una prova offline pulita sostituisca una risposta di stato fresca. E questo è il punto in cui la fiducia vecchia inizia a scivolare attraverso il flusso di lavoro.
Questa è la parte di SIGN che ha cambiato la mia visione. Ciò che mi ha colpito non è stata solo la supporto alla presentazione offline da solo. Era il fatto che la presentazione offline si trova accanto all'accreditamento dell'emittente, alla revoca e ai controlli di stato, e alla disciplina della Bitstring Status List nella stessa superficie di fiducia. Questa combinazione è importante perché mostra che il team non sta trattando la portabilità come il traguardo. Stanno trattando la portabilità come una superficie di rischio che deve rimanere legata allo stato attuale. Questo è un problema molto più serio.
Il lato New ID rende quella pressione visibile. Le VC e le DID del W3C aiutano la credenziale a muoversi. La divulgazione selettiva aiuta a muoversi con moderazione. Ma il requisito più difficile è mantenere l'autorità dell'emittente e la realtà della revoca leggibili quando il contesto dell'intera rete è in ritardo. Senza quella disciplina, una credenziale amichevole con l'offline può diventare un modo molto efficiente per riutilizzare una vecchia verità. La credenziale può ancora sembrare pulita. Il titolare può ancora presentarla correttamente. Il verificatore può ancora voler mantenere la linea in movimento. Ma la fiducia si attenua nel momento in cui il sistema non riesce a distinguere una prova portatile da una prova attuale.
Quello è stato il punto di svolta per me. Ho smesso di considerare SIGN come un progetto che aiuta le credenziali a muoversi e ho iniziato a vederlo come un'infrastruttura per un caso limite più sgradevole: il momento in cui una prova deve continuare a funzionare prima che l'intera rete sia pronta a parlarne. Molti sistemi possono confezionare una credenziale abbastanza bene da oltrepassare un confine. Molto meno possono fermare la presentazione offline, la divulgazione selettiva, la fiducia nell'emittente e la realtà della revoca dall'allontanarsi sotto pressione. Questo è il sistema più difficile.
Questa è anche la prima lente in cui $SIGN mi sembra naturale in un modo puramente operativo. Quando la presentazione si muove più velocemente dell'accesso allo stato live, i binari contano perché il carico di verifica, la disciplina dello stato e il successivo onere di correzione aumentano tutti insieme.
Il mio test di pressione è semplice. Quando la rete è debole e la linea si muove, il sistema preserva ancora la verità fresca, o si accontenta silenziosamente di una vecchia verità ben confezionata?
Perché una credenziale non è impressionante quando funziona solo offline.
Il sistema più difficile è quello che può viaggiare offline senza far viaggiare la fiducia obsoleta con esso.