Cerchiamo di capire qual è la vera storia.
Ero occupato con del lavoro ordinario quando un piccolo pensiero è rimasto con me più a lungo di quanto mi aspettassi. Mi ha fatto riflettere su quanto facilmente presumiamo che una volta che un documento o una credenziale è emesso, la sua verità rimanga fissa. Ma i sistemi reali non funzionano così ordinatamente. Un record può ancora esistere mentre il significato ad esso legato cambia silenziosamente nel tempo. Quell'idea continuava a tormentarmi, specialmente una volta che ho iniziato a pensare alle credenziali digitali, alla revoca e a cosa significa effettivamente che qualcosa rimanga valido. Così ho approfondito Sign e il modo in cui il suo stato e il modello di revoca sono strutturati, ed è stato ciò che mi ha portato a scrivere questo articolo.
Un record può essere completamente reale e smettere di significare ciò che le persone pensano che significhi. Questa è una delle verità più scomode nei sistemi digitali. Qualcosa potrebbe essere stato valido il giorno in cui è stato emesso, ma poi l'idoneità cambia, l'autorità si indebolisce, uno stato viene revocato o le condizioni circostanti cambiano. Il record è ancora lì. La firma è ancora lì. Ma la verità che le persone pensano porti non è più la stessa. È esattamente per questo che il livello di revoca e stato di Sign è più importante di quanto possa sembrare a prima vista.
Questa è la parte che le persone di solito trascurano. Emissione di una credenziale è il momento ordinato. È la parte pulita della storia. Una credenziale viene firmata, il sistema la registra e tutto sembra risolto. La parte più difficile inizia dopo. Cosa succede quando passa il tempo? Cosa succede quando la persona non è più idonea, quando l'emittente cambia, quando la credenziale viene revocata o quando la politica circostante cambia? Un sistema del genere non può solo dimostrare che qualcosa è stato emesso. Deve mantenere quella cosa interpretabile dopo che il mondo intorno ad essa è cambiato.
È qui che il problema diventa più serio. Una volta che un record può sopravvivere alla propria validità, il sistema deve mantenere due verità diverse contemporaneamente. Una è ciò che era vero allora. L'altra è ciò che è vero ora. Queste due non sono sempre allineate. Qualcuno potrebbe essere stato idoneo un mese fa e non esserlo più oggi. Una credenziale potrebbe essere stata emessa correttamente e poi revocata. Un emittente potrebbe essere stato fidato in un certo momento e poi messo in discussione. Se un verificatore controlla solo che la credenziale esista, potrebbe finire per fidarsi di qualcosa di obsoleto. Se guarda solo lo stato attuale, potrebbe perdere il fatto che il record era valido nel momento in cui contava. Questa tensione si trova proprio al centro dell'intero modello.
Ecco perché la revoca non è solo una funzione messa da parte. Diventa una dipendenza viva. Una credenziale portatile rimane affidabile solo se i sistemi che la leggono sono disciplinati a controllarne lo stato ogni volta che quello stato conta davvero. Sembra ragionevole finché non si pensa a cosa richiede. Significa che l'evento di emissione originale non è più sufficiente. La fiducia ora dipende dalla continua disponibilità dell'infrastruttura di stato, dalla freschezza dei registri e dal fatto che i verificatori stiano effettivamente controllando ciò che devono controllare. Se un sistema controlla lo stato attuale e un altro si basa su informazioni memorizzate nella cache o obsolete, allora la stessa credenziale può produrre due risultati diversi. A quel punto il problema non è una truffa ovvia. È deriva.
E la deriva diventa più scomoda una volta che il sistema cresce. Se diverse istituzioni memorizzano gli stati in modo diverso, sincronizzano in momenti diversi o usano assunzioni di fiducia leggermente diverse riguardo allo stato dell'emittente, l'incoerenza smette di essere un caso raro. Diventa normale. Un ufficio dice che la credenziale è valida. Un altro dice che non lo è. Un servizio accetta la prova. Un altro la rifiuta perché la sua visione dello stato è più fresca. La crittografia potrebbe essere ancora valida, ma la realtà vissuta diventa irregolare. La vera domanda non è più se il record è genuino. Diventa se la rete circostante dei controlli di stato è sufficientemente coerente da mantenere tutti che leggono la stessa verità.
C'è un altro punto debole qui che sembra facile da trascurare. Cosa succede quando l'emittente stesso inizia a indebolirsi? Un sistema può fare affidamento sui registri di fiducia, sulla legittimità dell'emittente e sulla verifica dello stato, ma se l'emittente scompare, perde autorità o diventa politicamente compromesso, i record precedenti non diventano improvvisamente semplici. Qualcuno deve ancora preservare la cronologia degli stati che dà significato a quei record. Altrimenti, si rimane con una traccia tecnica pulita e una realtà istituzionale che svanisce dietro di essa. La firma sopravvive, ma la fiducia dietro la firma si assottiglia lentamente.
Penso anche che ci sia un compromesso qui che merita più onestà. La revoca dovrebbe rafforzare la fiducia, e spesso lo fa. Ma lega anche la credenziale più strettamente all'infrastruttura attiva. Una credenziale che può essere fidata solo dopo una consultazione attuale non è più completamente autonoma. Dipende dalla disponibilità dei registri, dal mantenimento degli controlli aggiornati e dal fatto che l'intero sistema rimanga attivo attorno ad essa. Questo potrebbe comunque essere il giusto compromesso. In molti contesti seri, una prova obsoleta è peggiore di una dipendente. Ma è pur sempre un compromesso. Più revocabilità un sistema aggiunge, meno indipendenza quella credenziale ha davvero.
Il lato legale rende tutto ancora più difficile. Le istituzioni non sono sempre brave a pensare in termini di validità che cambia nel tempo. In una disputa, la differenza tra “questo era valido quando emesso” e “questo è invalido ora” può contare molto. Qualcuno può aver agito legalmente su una credenziale che in seguito ha perso validità. Un revisore potrebbe dover ricostruire se una concessione di accesso, un beneficio o un'autorizzazione erano corretti nel momento esatto in cui è accaduto. Quel tipo di riproduzione dipende da molto più di un semplice flag revocato o meno. Dipende da timestamp, cronologia degli stati, registri affidabili e un sistema che preserva il cambiamento in modo sufficientemente chiaro affinché qualcun altro possa capirlo in seguito.
Quindi la vera difficoltà nelle credenziali portatili non è solo la portabilità. È la sopravvivenza nel tempo. Una credenziale deve rimanere leggibile attraverso i cambiamenti di stato, i cambiamenti di emittente e i controlli istituzionali ripetuti senza trasformarsi in fiducia obsoleta o in incertezze costanti. Questa è la sfida più profonda. Una credenziale non rimane significativa solo perché è stata firmata una volta. Rimane significativa perché il sistema intorno ad essa può ancora spiegare cosa significava quella firma all'epoca, cosa significa ora e perché chiunque dovrebbe fidarsi della differenza tra quei due momenti.