Fiz muitos projetos de infraestrutura, muitos falam sobre a visão, quase ninguém fala sobre "o que fazer se algo der errado".
Recentemente, estive estudando a governança e o design de segurança do @SignOfficial e descobri que eles investiram muito esforço para resolver uma questão que a maioria dos projetos evita discutir: quando o sistema falha, é atacado ou surgem controvérsias, como lidar com isso. Isso me fez sentir que eles realmente estão se preparando para a implementação, e não apenas fazendo promessas.
O Sign divide a governança do nível nacional em três camadas. A governança de políticas é gerida por instituições soberanas, definindo regras, níveis de privacidade e quais instituições têm o direito de participar. A governança operacional é gerida pela parte técnica, responsável por operar o sistema diariamente, definir SLA e lidar com a escalada de falhas. A governança técnica gerencia a aprovação de upgrades, pausas de emergência, custódia de chaves e reversões de mudanças.
Separar em três camadas é para uma razão: as pessoas que tomam decisões e as que as executam não são as mesmas. Aqueles que definem políticas não mexem no código, os que operam os nós não podem alterar políticas, e os auditores só podem verificar, não modificar.
O design de chave também é dividido em quatro categorias: aprovação e atualização de chaves de governança e operações de emergência, emissão de chaves, assinatura e atestação, chaves operacionais para infraestrutura e chaves de auditoria para descriptografar dados de auditoria legítimos. As chaves de governança devem ser protegidas por múltiplas assinaturas ou módulos de segurança de hardware, todas as chaves têm um ciclo de rotação, e em caso de evento de segurança, devem ser rotacionadas imediatamente.
A aprovação é muito detalhada: upgrades diários são em sistema 2-of-3 multi-assinatura, upgrades de alto risco são em sistema 3-of-5 com aprovação conjunta, e pausas de emergência são em sistema 2-of-3 com um comitê de emergência e revisão pós-evento. Não é um processo decidido no improviso, é uma especificação que pode ser diretamente escrita em um edital de compra do governo.
O tratamento de falhas também foi planejado. Existem níveis de falha de SEV1 a SEV4, há um cronograma de plantão, há um plano de comunicação, há um modelo de revisão pós-evento e há um processo para exportar evidências. Em caso de falha do sistema, é possível alternar para um modo de degradação somente leitura ou de emissão restrita, em vez de parar completamente.
O modelo de ameaças listou cinco categorias: falsificação de certificados ou compromissos do emissor, Sybil recebendo repetidamente, abuso de ponte, manipulação de API de índice e vazamento de privacidade de metadados. Cada categoria tem medidas de mitigação. A classificação de dados também foi definida: informações pessoais devem estar fora da cadeia, enquanto apenas promessas e hashes devem estar na cadeia.
A implantação é dividida em quatro etapas: primeiro, avaliar e planejar o mapa dos stakeholders, depois realizar um piloto em pequena escala com forte monitoramento, em seguida, expandir para uma produção em múltiplas instituições e, finalmente, integrar completamente ao ecossistema de serviços do governo.
O Banco Nacional do Quirguistão, o Centro de Blockchain de Abu Dhabi, o Departamento de Inovação em Tecnologia da Comunicação de Serra Leoa e a Pi Network - ao avaliar o Sign, esses parceiros observam não apenas se a atestação é sofisticada, mas quem gerencia as chaves, quem é responsável em caso de problemas, como pausar, como reverter e se a auditoria pode exportar pacotes de evidências com um clique. O Sign tem respostas para todas essas questões.
$SIGN o consumo de tokens está vinculado à emissão e verificação de atestação. Mas a governança e a segurança abordam questões mais fundamentais: os clientes de nível nacional realmente se sentem seguros para colocar o sistema em operação. Sem uma estrutura de governança adequada, não importa quão boa seja a tecnologia, ela permanecerá na fase de piloto.
Entre os parceiros do Sign, quando houver um que avance de "assinar o MoU" para "entrar no piloto", esse será o verdadeiro divisor de águas.