ELI5

ELI5 · Partie 5 sur 7

Qui peut le lire, et ce qui reste privé

Parfois, vous ne voulez pas prouver quelque chose au monde entier — seulement à quelques personnes. Les coauteurs d’une découverte que vous n’êtes pas encore prêt à annoncer. Les parties d’un contrat confidentiel. Un ami à qui vous confiez une recette secrète. Vous voulez tout de même l’horodatage permanent et à l’épreuve de la falsification que vous offre une blockchain. Mais vous ne voulez pas que des inconnus lisent par-dessus votre épaule.

Les preuves scellées de Label 309 résolvent ce problème. Vous verrouillez le contenu de sorte que seules les personnes que vous choisissez puissent l’ouvrir, et vous ancrez malgré tout sur le registre public un enregistrement horodaté. L’inquiétude naturelle est la suivante : il s’agit d’un registre public. N’importe qui peut regarder. Alors, que voient-ils réellement ?

La réponse honnête est : étonnamment peu de chose. Mais pas rien — et Label 309 prend soin d’être précis sur cette différence.

Imaginez une rangée de coffres verrouillés

Imaginez que vous déposiez votre message scellé dans le mur d’une chambre forte devant lequel tout le monde peut passer. Sur ce mur se trouve une rangée de petits coffres verrouillés, tous identiques — un pour chaque personne à qui vous envoyez le message. Chaque coffre renferme une clé qui ouvre le même message, mais chaque coffre ne peut être déverrouillé que par la clé privée d’une personne bien précise.

Un passant peut voir le mur. Il peut voir qu’il y a une rangée de coffres. Il peut même les compter. Ce qu’il ne peut pas faire, c’est ouvrir un coffre, voir quelle clé correspond à quel coffre, ni lire un seul mot de ce qu’il y a à l’intérieur.

C’est presque exactement ainsi que fonctionne le scellement de Label 309.

Ce qu’un inconnu peut voir

  • Que quelque chose a été scellé. L’enregistrement indique ouvertement qu’il transporte un contenu verrouillé plutôt qu’en clair. (Un observateur peut même savoir si vous avez utilisé un verrouillage ordinaire ou résistant au quantique — mais rien de plus.)
  • L’horodatage — le moment où le réseau a convenu que l’enregistrement existait, précis à la seconde. C’est tout l’intérêt ; il est destiné à être public.
  • L’empreinte du contenu — le même code à sens unique qu’une preuve d’existence ordinaire. Elle ne révèle rien du contenu lui-même et ne peut pas être inversée pour le reconstituer.
  • Approximativement combien il y a de destinataires — le nombre de coffres verrouillés. C’est la seule chose qui transparaît, et nous y reviendrons.

Ce qui reste caché

  • Le contenu lui-même. Il n’est jamais sur le registre — seules son empreinte et les coffres verrouillés le sont, et le fichier chiffré lui-même vit hors de la chaîne. Sans l’une des clés privées correspondantes, le contenu n’est que du bruit.
  • Qui sont les destinataires. Label 309 n’inscrit le nom ni la clé publique d’aucun destinataire où que ce soit dans l’enregistrement. Il n’y a aucun champ « à : » à lire. Un destinataire découvre qu’un message lui est destiné uniquement en essayant discrètement sa clé sur chaque coffre, jusqu’à ce que l’un s’ouvre. (Une mention honnête en petits caractères : si un observateur détient déjà l’adresse publique exacte de quelqu’un qu’il soupçonne, le verrouillage classique X25519 ne le lui confirmera tout de même pas — mais le verrouillage post-quantique par défaut ne fait pas cette promesse particulière. Voyez la réserve plus bas.)
  • Qui l’a envoyé — si vous choisissez de ne pas signer. Signer votre paternité est toujours facultatif dans Label 309. Omettez-la, et l’enregistrement ne porte rien qui le rattache à vous : chaque coffre ne contient que du matériel de clé neuf, à usage unique, qui ne désigne personne.

Et deux protections plus subtiles comptent tout autant :

  • Les destinataires ne peuvent pas se voir entre eux. Ouvrir votre propre coffre ne vous apprend rien sur celui de quiconque. Vous ne pouvez pas savoir qui d’autre a été inclus, et les autres ne peuvent rien apprendre à votre sujet.
  • L’ordre est mélangé. Avant la publication, les coffres sont brassés dans un ordre aléatoire. Ainsi, même la position d’un coffre — le premier, le dernier — ne laisse transparaître aucun indice sur qui est le destinataire « principal » ni sur la façon dont le groupe est organisé.

La seule réserve honnête

Le nombre est visible. Un inconnu ne peut pas savoir qui sont vos destinataires, mais il peut compter les coffres et apprendre combien il y en a. Pour la plupart des usages, c’est inoffensif — trois coauteurs, deux parties à un contrat. Mais si le nombre lui-même est sensible, vous pouvez en atténuer la portée : ajoutez quelques coffres supplémentaires en guise de rembourrage, ou répartissez l’envoi en enregistrements distincts. Label 309 ne cache pas le nombre à votre place, donc quand cela importe, c’est à vous de jouer.

Encore une honnêteté à propos de la dissimulation de qui est le destinataire d’un coffre. Le verrouillage classique X25519 est, de façon démontrable, « privé quant à la clé » : même un observateur disposant d’une liste des adresses publiques de destinataires présumés ne peut pas vérifier quel coffre — s’il y en a un — est adressé à l’un d’eux. Le verrouillage post-quantique par défaut (X-Wing) cache les mêmes choses à un inconnu ordinaire, mais Label 309 ne revendique pas cette garantie plus forte pour lui : face à un adversaire qui détient déjà les clés publiques exactes de vos destinataires présumés, seul le verrouillage classique promet de déjouer le test. Si c’est précisément cette menace qui vous concerne, choisissez les clés classiques age1… pour le sceau ; sinon, le verrouillage post-quantique par défaut est le bon choix.

Deux honnêtetés plus modestes, tant que nous sommes dans la précision. L’horodatage est exact à la seconde, donc pour une fuite où le moment à lui seul est sensible, cela constitue en soi une véritable exposition. Et l’enregistrement ne peut pas cacher quel portefeuille a payé la transaction Cardano — cela vit dans la transaction elle-même, en dehors de l’enregistrement scellé, de sorte que quiconque a besoin de le dissimuler doit le traiter au niveau du portefeuille.

Il vaut aussi la peine de se rappeler que toute personne à qui vous confiez une clé peut lire le message aussi longtemps que le contenu stocké existe. Le scellement vous protège du monde, pas des personnes à qui vous avez choisi de faire confiance.

Confidentialité solide, une petite fuite — dit sans détour

Le scellement de Label 309 cache le contenu, l’identité des destinataires et (si vous ne signez pas) même la vôtre. La seule chose qu’un observateur de la chaîne apprend de manière fiable est, approximativement, pour combien de personnes vous l’avez scellé. La seule réserve en petits caractères : face à un adversaire qui détient déjà la clé publique exacte d’un destinataire présumé, la garantie la plus forte du « ne peut même pas confirmer que c’est lui » n’est revendiquée que pour le verrouillage classique X25519, pas pour le verrouillage post-quantique par défaut. Pour le traitement complet, consultez le modèle de sécurité.