La maggior parte delle persone parla di sicurezza come se risiedesse interamente nel consenso.
Validatori, firme, finalità. È lì che va l'attenzione. Lo storage è considerato una semplice infrastruttura di fondo. Importante, ma separata.
Quella separazione funziona solo finché i dati sono sempre disponibili quando qualcuno ne ha bisogno.
Il momento in cui l'accesso ai dati diventa incerto, la sicurezza smette di essere crittografica e inizia a essere sociale. Qualcuno ha i dati. Qualcun altro no. La fiducia si insinua dalla porta di servizio.
Walrus è stato progettato per evitare proprio quel momento. WAL esiste perché gli incentivi per lo storage fanno parte del modello di sicurezza, indipendentemente dal fatto che la gente lo ammetta o meno.
La sicurezza si rompe silenziosamente quando i dati diventano difficili da ottenere
Non è necessario che qualcosa di drammatico fallisca perché la sicurezza si indebolisca.
Nessun attacco.
Nessun exploit.
Nessun fallimento di consenso.
Basta che i dati diventino più difficili da ottenere per i partecipanti ordinari.
Man mano che i dati crescono, meno nodi conservano copie complete. Nel tempo, le persone si affidano agli stessi pochi operatori per l'accesso storico. La verifica funziona ancora, ma solo se si fa affidamento sul fatto che le parti giuste collaborino.
A quel punto, la crittografia è intatta ma la sicurezza è già compromessa.
Walrus considera questo esito inaccettabile, non semplicemente sfortunato.
Gli incentivi modellano chi può verificare
Le reti di archiviazione tendono a premiare la capacità.
Più dati memorizzi, più guadagni. Sembra ragionevole finché non segui le conseguenze fino in fondo. Lo spazio di archiviazione cresce all'infinito. I costi si accumulano. Solo gli operatori ben capitalizzati rimangono competitivi. Gli altri smettono semplicemente di interessarsi.
Niente nel protocollo dice che la verifica sia limitata. Nella pratica, però, diventa comunque limitata.
WAL evita questo non pagando per la dimensione.
Paga il fatto di essere presente in modo costante. Mantieni ciò che ti è stato assegnato. Servilo quando richiesto. Rimani disponibile quando l'attività è bassa e nessuno sta guardando.
La sicurezza deriva dal fatto che molti partecipanti possano verificare, non dal fatto che pochi partecipanti siano molto bravi a memorizzare tutto.
La codifica di cancellazione riguarda la distribuzione del potere
La codifica di cancellazione viene di solito spiegata come efficienza.
Questo trascura il punto più importante.
Suddividendo i dati in frammenti e distribuendo la responsabilità, Walrus rende difficile che un singolo operatore o un piccolo gruppo controlli l'accesso. Non è necessario che tutti si comportino perfettamente. Basta che esistano abbastanza pezzi indipendenti.
Questo cambia la dinamica della sicurezza.
Il ritardo diventa rilevabile.
Il fallimento diventa sopravvivibile.
La verifica rimane accessibile ai partecipanti normali.
WAL esiste per assicurarsi che questi incentivi rimangano validi nel tempo, non solo quando i premi sono attraenti.
Perché Walrus evita completamente l'esecuzione
L'esecuzione complica la sicurezza in modi lenti.
Lo stato cresce.
Le regole cambiano.
La verifica diventa più pesante ogni anno.
I requisiti dei nodi aumentano lentamente.
Anche i layer di esecuzione ben progettati accumulano bagagli col tempo. L'archiviazione legata all'esecuzione eredita tutto questo bagaglio, indipendentemente dal volerlo o meno.
Walrus evita completamente questo.
Nessuna esecuzione.
Nessun saldo.
Nessuna macchina a stato in evoluzione.
I dati vengono pubblicati, verificati per la disponibilità e poi lasciati in pace. Questo mantiene superficie di sicurezza stabile. WAL non deve mai sussidiare la crescente complessità solo per mantenere il sistema sicuro.
I sistemi semplici sono più facili da mantenere sicuri per lunghi periodi.
Il vero test di sicurezza avviene nei periodi di calma
Le assunzioni di sicurezza raramente vengono testate durante i mercati rialzisti.
Vengono testati quando:
l'attività cala
i premi si appiattiscono
gli operatori se ne vanno silenziosamente
nessuno sta prestando attenzione
È in quel momento che emergono gli accorgimenti sugli incentivi.
Se l'archiviazione funziona solo quando è redditizia, la sicurezza funziona solo in condizioni ideali. WAL è progettato per l'ambiente opposto. Ricompensa la persistenza nei periodi noiosi, quando l'affidabilità conta davvero.
È così che la disponibilità dei dati rimane una proprietà di sicurezza e non un servizio a discrezione.
Sicurezza attraverso l'allineamento, non attraverso il controllo
Walrus non cerca di imporre un buon comportamento in modo aggressivo.
Non dipende da interventi costanti.
Non assume attori perfetti.
Non cerca di spaventare i partecipanti per ottenere il rispetto.
Invece, rende il comportamento sicuro quello ragionevole. Rimanere disponibili viene ricompensato. Centralizzare il potere no. Ritardare i dati diventa visibile.
Questo tipo di allineamento invecchia meglio rispetto a un'implementazione autoritaria.
È per questo che Walrus attribuisce tanta importanza alla progettazione degli incentivi. La sicurezza che dipende da un controllo costante raramente sopravvive a lungo.
Conclusione finale
La sicurezza della rete non si ferma al consenso.
Se gli utenti non possono accedere indipendentemente ai dati necessari per verificare cosa è accaduto, la crittografia diventa solo un ornamento. La sicurezza reale dipende dagli incentivi che mantengono i dati disponibili per molti partecipanti per lunghi periodi.
WAL allinea gli incentivi per l'archiviazione con la sicurezza tramite:
rendere la affidabilità più preziosa della dimensione
distribuire la responsabilità invece di concentrarla
mantenere il sistema abbastanza semplice da rimanere verificabile nel tempo
Quell'allineamento è silenzioso. Non appare nei grafici. Ma è ciò che impedisce ai sistemi decentralizzati di trasformarsi lentamente in sistemi con permessi senza che nessuno se ne accorga.
