Актуальность для сценария примененияОдних записей недостаточноПодать заявку на доступ
Подать заявку на доступАктуальность для сценария примененияОдних записей недостаточноО насСвязаться с нами

Зависимость верификации

Скрытый риск не в том, что записей нет. Он в том, что последующая верификация по-прежнему зависит от того, остаётся ли исходная система доступной, заслуживающей доверия и работоспособной.

Зависимость верификации — это структурное условие, при котором ценность сертификата, записи, сообщения или решения нельзя оценить позже без обращения к действующим системам эмитента. CERTCRYPT существует для того, чтобы сделать такую зависимость опциональной.

Скрытая зависимость

Большинство организаций считают, что хранят записи, логи, сертификаты или временные метки, документирующие произошедшее. Так и есть.

Часто упускают из виду, что последующая верификация этих записей по-прежнему зависит от того, остаётся ли исходная система доступной, продолжает ли первоначальный поставщик сотрудничать, остаётся ли исходная инфраструктура живой и сохраняют ли исходные учётные данные силу.

Эта зависимость невидима, пока всё работает. Она становится центральной проблемой в тот момент, когда что-то ставится под сомнение, проходит аудит, оспаривается или рассматривается в независимых условиях.

Записи, логи, расписки, якорения недостаточны

Записи, логи, внутренние базы данных, аудиторские следы, подписи, расписки в блокчейне и хэш-якоря — все они добавляют полезные сигналы целостности.

Ни один из них сам по себе не устраняет зависимость от эмитента для последующей верификации. Они показывают, что нечто существовало в определённый момент, или что запись можно восстановить, обратившись к породившей её системе. Сами по себе они не делают сертификат независимо проверяемым по публичным правилам без действующей инфраструктуры эмитента.

Это различие подробно рассмотрено в Одних записей недостаточно.

Непрерывность эмитента — это риск

Верификация, зависящая от эмитента, — это позиция, подверженная операционным, организационным и контрактным изменениям.

  • Системы мигрируют, заменяются или выводятся из эксплуатации.
  • Поставщики поглощаются, реструктурируются или ликвидируются.
  • Внутренние базы данных ротируются, разделяются или архивируются за контролем доступа.
  • Сотрудничество между контрагентами со временем ухудшается.
  • Учётные данные, договоры и политики доступа истекают.
  • Обязательства и споры переживают системы, которые их породили.

Каждое из этих явлений нормально. Ни одно не является исключением. Вместе они делают непрерывность эмитента ненадёжной основой для долгосрочной верификации.

Переход к `Independent`

CERTCRYPT вводит различие между двумя формальными состояниями сертификата.

`Issued` означает, что эмитент создал сертификат. Сертификат существует. Его можно запросить, предъявить и сослаться на него через системы эмитента.

`Independent` означает, что последующая верификация больше не зависит от действующих систем эмитента. Сертификат достиг структурных условий, необходимых для независимой верификации по публичным правилам.

`Issued` — это не `Independent`. Сертификат может быть выпущен, так и не достигнув `Independent`. CERTCRYPT — это инфраструктура, позволяющая выбранным сертификатам достигать `Independent` в момент выпуска, чтобы зависимость верификации разрешалась в момент создания сертификата, а не восстанавливалась позже.

Лежащая в основе архитектурная модель описана в Архитектура сертификации.

Области с зависимостью верификации

Зависимость верификации становится узнаваемым структурным риском в средах, где стоимость неудавшейся будущей верификации выше стоимости сертификации независимости в момент выпуска.

  • Банковское дело, финансы и аудит, где регуляторы, суды и контрагенты могут позднее требовать подтверждений в независимых условиях.
  • Управление ИИ, где автоматизированные решения могут потребовать пересмотра, защиты или оспаривания спустя долгое время после изменений модели и системы.
  • Юридические и комплаенс-процессы, где конкретная версия, состояние или момент должны оставаться атрибутируемыми спустя годы.
  • Образование и сертификация, где сертификаты должны оставаться проверяемыми за пределами операционного окна эмитента.
  • Коммуникации и уведомления с последующими юридическими или контрактными последствиями.
  • Токенизированные и цифровые активы, где переходы состояний должны оставаться оцениваемыми независимо от платформы, их зафиксировавшей.
  • Критические операционные процессы, где одних логов недостаточно для последующей независимой верификации.

Следующий шаг

Если ваша среда несёт зависимость верификации от систем, поставщиков или институтов, долгосрочная доступность которых не гарантирована, вопрос в том, должны ли отдельные сертификаты, записи или решения достигать `Independent` в момент выпуска.

Отправить сценарий использования →

Если сначала нужен концептуальный каркас, см. тезисы CERTCRYPT.

Если нужно проверить, подходит ли ваша ситуация, см. актуальность сценария использования.