Confidențialitatea pe Dusk nu este o setare globală.
Este o decizie pe care o iei din nou și din nou.
Și majoritatea echipelor o fac prea devreme.
Ei presupun că tăcerea este neutră. Că starea de ascundere este întotdeauna mai sigură decât expunerea acesteia. Apoi, realitatea lovește. Integrările se blochează. Observabilitatea se prăbușește. Instrumentele încep să se contrazică. Dintr-o dată, nimeni nu poate răspunde la o întrebare directă fără calificative.
Aceasta nu este o cost teoretic.
Aceasta este o datorie operațională.
DuskVM există pentru că acea datorie trebuie să trăiască undeva. Dacă nu o izolezi, se răspândește în tot cealaltă.
Nu am înțeles asta la început. Am urmărit un prototip să iasă unde confidențialitatea era implicită pentru fiecare tranziție. Arăta bine pe hârtie. În practică, prima săptămână de integrare a fost doar controlul daunelor. Indexerii nu aveau nimic stabil la care să se ancoreze. Auditările au încetinit la un pas. O întrebare de bază despre instantanee—cine s-a calificat la execuție—nu avea un răspuns nativ. Fiecare răspuns a fost reconstruit după fapt.
Atunci linia devine vizibilă.
Nu în documentele de proiectare.
În frecare.
Când sistemul nu poate răspunde la o întrebare simplă și legitimă fără a exporta stare, ai depășit-o.
Execuția confidențială este justificată doar acolo unde vizibilitatea schimbă comportamentul. În timp ce alocările sunt încă în formare. Acolo unde condițiile legate de identitate nu ar trebui să se întărească în etichete publice. Acolo unde acreditivele expiră și prospețimea contează cu adevărat. Acolo unde soldurile scurg strategia prin inferență.
Acele căi merită criptare și dovezi. Singurul lucru pe care lumea exterioară trebuie să-l știe este că regula a fost respectată în momentul execuției. Fără culoare suplimentară. Fără explicație viitoare.
Tot ce altceva ar trebui să rămână lizibil.
Piețele au nevoie de ancore. Alte contracte au nevoie de interfețe stabile. Sistemele de risc au nevoie de fapte despre care să poată raționa într-un interval de timp. Dacă împingi acele suprafețe în DuskVM, nu câștigi securitate—pierzi coerența. Observabilitatea devine forensică. Panourile de control încetează să mai fie referințe și încep să fie interpretări.
De aceea contează Moonlight și Phoenix—dar doar ca separare a preocupărilor. Execuția protejată trăiește în Moonlight. Starea lizibilă rămâne în Phoenix. Când divulgarea este declanșată, soluționarea nu vrea o poveste. Vrea cea mai mică adevăr defensibilă, legată prin dovezi de execuție.
„Vom divulga mai târziu” sună flexibil.
Nu este.
Mai târziu este locul unde se ascund cazurile limite. Mai târziu este locul unde echipele renegociază ceea ce s-a întâmplat deja. Odată ce execuția se stabilizează, claritatea retroactivă dispare. Dacă o divulgare nu a fost proiectată în flux, nu mai este sigur.
Nu vei observa nimic din toate acestea în timp ce scrii.
Observi asta la întrerupere.
Cineva cere dovezi care ar trebui să existe. Nu există. Iar singura modalitate de a răspunde este să deschizi sistemul pe care încercai să-l protejezi.
Aceasta nu este o eșec de confidențialitate.
Aceasta este o eșec de limită.
DuskVM este despre a forța ca acea limită să fie explicită—înainte ca durerea să devină evidentă.
