Quem pode lê-lo, e o que continua privado

Às vezes você não quer provar algo para o mundo inteiro — apenas para algumas pessoas. Coautores de uma descoberta que você ainda não está pronto para anunciar. As partes de um contrato confidencial. Um amigo a quem você confia uma receita secreta. Você continua querendo o carimbo de data e hora permanente e à prova de adulteração que uma blockchain oferece. Só não quer estranhos lendo junto.

As provas seladas do Label 309 resolvem isso. Você tranca o conteúdo de modo que só as pessoas escolhidas consigam abri-lo e, mesmo assim, ancora no livro-razão público um registro com carimbo de data e hora. A preocupação natural é: trata-se de um livro-razão público. Qualquer um pode olhar. Então, o que essas pessoas de fato veem?

A resposta honesta é: surpreendentemente pouco. Mas não nada — e o Label 309 faz questão de ser preciso quanto a essa diferença.

Imagine uma fileira de caixas trancadas

Imagine que você guarda sua mensagem selada na parede de um cofre por onde todo mundo passa. Nessa parede há uma fileira de caixinhas trancadas, todas iguais — uma para cada pessoa a quem você está enviando. Cada caixa contém uma chave que abre a mesma mensagem, mas só pode ser destrancada pela chave privada de uma pessoa específica.

Quem passa consegue ver a parede. Consegue ver que há uma fileira de caixas. Consegue até contá-las. O que não consegue é abrir caixa nenhuma, descobrir de quem é a chave que abre qual, ou ler uma só palavra do que há lá dentro.

É quase exatamente assim que o selamento do Label 309 funciona.

O que um estranho consegue ver

• Que algo foi selado. O registro deixa claro, abertamente, que carrega conteúdo trancado, em vez de estar em texto claro. (Um observador pode até saber se você usou a tranca comum ou a pós-quântica — mas nada além disso.)
• O carimbo de data e hora — o momento em que a rede concordou que o registro existia, com precisão de segundos. É justamente esse o objetivo; ele foi feito para ser público.
• A impressão digital do conteúdo — o mesmo código de mão única de uma prova de existência comum. Ela não revela nada sobre o conteúdo em si e não pode ser convertida de volta nele.
• Mais ou menos quantos destinatários existem — o número de caixas trancadas. É a única informação que vaza, e voltaremos a ela.

O que continua oculto

• O conteúdo em si. Ele nunca fica no livro-razão — só ficam a sua impressão digital e as caixas trancadas, e o arquivo embaralhado em si vive fora da cadeia. Sem uma das chaves privadas correspondentes, o conteúdo não passa de ruído.
• Quem são os destinatários. O Label 309 não põe o nome nem a chave pública de nenhum destinatário em parte alguma do registro. Não há um campo "para:" a ler. O destinatário só descobre que uma mensagem é dele testando a própria chave, em silêncio, em cada caixa, até que uma abra. (Uma letra miúda honesta: se um observador já tiver em mãos o endereço público exato de alguém de quem desconfia, a tranca clássica X25519 ainda assim não confirma isso para ele — mas a tranca pós-quântica padrão não oferece essa garantia específica. Veja a ressalva mais adiante.)
• Quem enviou — caso você opte por não assinar. Assinar a autoria é sempre opcional no Label 309. Se você não assinar, o registro não carrega nada que o ligue a você: cada caixa contém apenas material de chave novo, de uso único, que não aponta para ninguém.

E duas proteções mais sutis pesam tanto quanto:

• Os destinatários não enxergam uns aos outros. Abrir a sua própria caixa não diz nada sobre a de ninguém. Você não tem como descobrir quem mais foi incluído, nem eles têm como descobrir você.
• A ordem é embaralhada. Antes da publicação, as caixas são misturadas em ordem aleatória. Assim, nem mesmo a posição de uma caixa — primeira, última — entrega qualquer pista sobre quem é o destinatário "principal" ou sobre como o grupo está organizado.

A única ressalva honesta

A quantidade fica visível. Um estranho não consegue dizer quem são seus destinatários, mas pode contar as caixas e saber quantos são. Na maioria dos casos, isso é inofensivo — três coautores, duas partes de um contrato. Mas se até o número for sensível, dá para disfarçá-lo: acrescente algumas caixas extras só para encher, ou divida o envio em registros separados. O Label 309 não esconde a quantidade por você, então, quando isso importa, a jogada é sua.

Mais uma honestidade sobre ocultar para quem uma caixa se destina. A tranca clássica X25519 é comprovadamente "privada quanto à chave": mesmo um observador que tenha em mãos uma lista dos endereços públicos de supostos destinatários não consegue testar qual caixa — se é que alguma — é endereçada a um deles. A tranca pós-quântica padrão (X-Wing) esconde as mesmas coisas de um estranho comum, mas o Label 309 não afirma essa garantia mais forte para ela: contra um adversário que já tenha as chaves públicas exatas dos seus supostos destinatários, só a tranca clássica promete derrotar esse teste. Se essa ameaça específica for a sua, escolha as chaves clássicas age1… para o selo; do contrário, o padrão pós-quântico é a escolha certa.

Mais dois pontos de honestidade, já que estamos sendo precisos. O carimbo de data e hora é exato ao segundo, então, num vazamento em que só o momento já é sensível, isso por si só é uma exposição real. E o registro não consegue esconder qual carteira pagou pela transação Cardano — isso fica na própria transação, fora do registro selado, de modo que quem precisar manter esse dado oculto tem de resolver no nível da carteira.

Vale lembrar também que qualquer pessoa a quem você de fato entregue uma chave poderá ler a mensagem enquanto o conteúdo armazenado existir. O selamento protege você do mundo, não das pessoas em quem você escolheu confiar.