Annulation de certification

edit : pour ne pas polluer le topic initial, je déplace les posts concernant la possibilité d’annulation de certification ici.


Concernant plus spécifiquement ce point-ci :

L’idée qui revient (déjà évoquée sur le salon XMPP à deux reprises au moins) est de pouvoir annuler une certification. Ce qui permettrait de corriger une erreur par exemple.

J’ai déjà dit que j’étais contre les anti-certifications, mais il y a tout de même des solutions :

  1. ne pas diffuser immédiatement les certifications au réseau dans les clients (évite d’avoir à anti-certifier une identité, il suffit d’annuer la diffusion)
  2. avoir une anti-certification de niveau piscine
  3. avoir une anti-certification de niveau blockchain, mais dont la portée est limitée à 7 jours par exemple

Le point 1. consisterait à ne diffuser certains documents sensibles (certifications, transactions, …) qu’au bout de 5 minutes par exemple, en laissant le client ouvert. Il pourrait y avoir un bouton pour forcer l’action immédiatement, ce qui donnerait donc une étape supplémentaire.

Le point 2. est compliqué, car il faut que strictement tous les nœuds respectent cette règle, et ça ne peut pas être garanti.

Le point 3. je viens juste d’y penser, c’est en fait tout à fait faisable : avoir la possibilité d’annuler une certification, mais seulement dans un certain délai après son inscription en blockchain. Par exemple, ici l’une des certifications du compte aurait pu tomber alors qu’il venait de devenir membre en révoquant celle-ci. Le compte serait alors sorti de la toile, et aurait dû récupérer une certification supplémentaire ainsi que renouveler sa demande d’adhésion pour passer. Il est important que la fenêtre d’action soit limitée, sinon ça peut vite mener à des situations de chantage, etc.

4 Likes

Si une telle solution était acceptée et déployée suffisamment rapidement, alors la situation serait réparable.

Personnellement j’approuve cette solution, mais j’ai besoin de confirmations pour ajouter un tâche là-dessus car le changement n’est pas anodin : c’est une évolution de protocole.

1 Like

J’approuve, et je recommande de blinder la communication.

Comment vois-tu les choses ? Autoriser les 2 types de comportement possible dans la blockchain, ou forcer un fork de la blockchain avec activation de la fonctionnalité dès qu’un quorum est atteint ?

1 Like

C’est une fonction qui n’est pas rétro-compatible, et qui fait passer le document Block en version 11.

Le plus simple c’est de mettre une date d’activation, à laquelle on est à peu près sûr que la majorité du réseau aura migré et pourra gérer la nouvelle version de bloc. Aujourd’hui il faut bien 3 semaines / 1 mois pour qu’une nouvelle version soit correctement déployée.

Et il va bien me falloir 1 semaine pour développer cela.

2 Likes

Je comprends que développer ça si les gens ne sont pas d’accord n’est pas une bonne idée.
Mais pour formaliser leur accord, date d’activation + quorum de noeuds migrés me paraissent sexy et éviteraient que la blockchain qui a la modif activée soit minoritaire en nombre de noeuds, mais c’est peut-être compliqué à mettre en oeuvre ?

Le protocole à ne pas changer c’est la forme de la monnaie, qui assure la symétrie - pour les membres. Le protocole de la TdC lui peut évoluer, la forme de la monnaie ne dit rien quant à la TdC. Par ailleurs cela ne change pas vraiment la TdC non plus, ça change juste légèrement le processus d’adhésion.

3 Likes

Oui bien sûr il s’agit juste d’ajouter un droit de rétractation, qui ne joue que sur le processus d’évolution de la toile de confiance.

3 Likes

Je transfère ici les parties de réponses d’un autre sujet qui concernant l’annulation de certification.

Si vous en voyez d’autres que j’aurais loupées, n’hésitez pas à les reposter ici.


1 Like

Après réflexion je pense que ce mécanisme d’anti-certification ne pourra être efficace que si le temps est suffisamment long pour que d’éventuelles enquêtes soient faîtes et que les certificateurs qui se sont trompés est le temps d’émettre leur anti-certification, un délai de deux mois me semble donc être un minimum, or c’est aussi un maximum, donc deux mois c’e’st parfaits. D’ailleurs pour éviter d’ajouter un paramètre monétaire on peut poser maxCancellationSigPeriod = sigWindow.

1 Like

Deux mois me semble trop long et cela ne changera rien. La personne qui va certifier quelqu’un va oublier qu’elle a envoyé un certificat. Alors que 24 ou 48h, elle y pensera.
Si une enquête identifie un “mauvais certificat donné” seule la personne ayant donnée le certificat en son âme et conscience pourra l’annuler. Nous ne somme pas dans un état policier ou quelques personnes dirons si un certificat est “valable” ou non… Elle est ou la liberté et l’erreur humain qui était jusqu’à présent une force?
A mon avis une enquête ne fait que renforcer le sentiment de surveillant et d’un état “policier” qui me semble à l’encontre d’une monnaie libre.
Dans la même fibre il y a déjà ce sentiment dans le fait que quiconque peux consulter le compte de quiconque! Ce qui est très intrusif et quelque part voyeurisme (plus restrictif que la monnaie non-libre). Que l’on me dise pas: je n’ai rien à cacher!

1 Like

Cf ce que je disais à propos du pendant humain des sentinelles.
Enquête n’est peut-être pas le bon mot. Levée de doute ?

Et il s’agit bien après avoir expliqué à la personne qui avait potentiellement une lacune sur la licence, les détails de celle-ci qu’elle ait la possibilité -en son âme et conscience- de révoquer sa certification.

Nous ne sommes pas un état tout court, et oui la toile de confiance peut amener ses membres à faire des vérifications pour s’assurer que la licence engagée est bien respectée. C’est normal.

1 Like

La confiance n’exclue pas la vérification.
La vérification ne doit pas être un outils de pression, d’imposer, de voyeurisme.

PS: comment va-t-on gérer deux entreprises concurrentes utilisant des Ğ1 ou chacune peux regarder les comptes de l’autre? …mais c’est hors sujet…

C’est précisément pour ça qu’on souhaite que l’auteur puisse annuler sa certification, par exemple parce qu’il aurait fait une erreur.

Tu peux très bien monter une banque à qui tu confies la gestion de tes comptes monétaires. Alors personne ne pourra savoir combien tu as et à qui tu envoies. Sauf ta banque.

2 Likes

@stephane Il est parfaitement possible d’utiliser la Ğ1 anonymement de la même façon qu’il est possible d’utiliser le bitcoin anonymement : personne ne sait a qui appartiennent les comptes simples portefeuilles, et même une analyse d’ un graphe des transactions ne te donnera pas les réponse, un exemple simple :

Je vend un service à Bob, Bob me paye sur une clé publique X1 que viens de générer et de lui envoyer de façon chiffrée.
je laisses les Ğ1 présentent sur cette clé X1 un certain temps, et le jours ou j’en ai besoin je les verses directement sur une autre clé X2 appartenant a quelqu’un a qui j’achète quelque chose :slight_smile:

j’ai personnellement déjà réaliser de tel types d’échanges dans la Ğ1, et chaque personne avec qui j’ai échanger ne connait qu’une étape de la chaîne et ne sais pas qui sont les autres, Ainsi personne ne peut savoir quel est l’ensemble de mes échanges en Ğ1 ni quel est mon solde total réel :wink:

Je viens d’envisager un cas d’attaque pouvant profiter des anti-certifications :
5 complices malveillants certifient de concerts des faux comptes puis qui en certifient d’autres puis graçe aux anti-certifications ils peuvent en certifier beaucoup plus que leur stock réel : comme les certifications écrites en blockchain ne disparaissent pas lorsque leur auteur perd le statut de membre (ce qui est nécessaire pour éviter des effondrement de wot en cascade dans des situations légitimes) et bien les faux comptes intermédiaires qui sont “anti-certifiés” auront tout de même eu le temps de jouer leur rôle en apportant quelques certifications au passage.

Propositions pour nous prémunir de cela :
lors de l’écriture d’une anti-certification, ne pas ré-incrémenter le stock de certification du membre émetteur, sont stock ne serait ré-incrémenter que lors de l’expiration de la certification en question si elle n’avais pas été neutralisée.
Pour faire simple, le stock évoluerai comme si la certification n’avais pas été annulée, de façon a éviter que cette annulation ne serve de moyen de remplacer cette certification par une autre.

1 Like

Je ne comprends pas le bénéfice de l’attaque ? réduction de distance ?

En tous les cas sur le principe ça me paraît bien : certifier doit coûter cher pour éviter que ce ne soit fait avec légèreté. C’est trop facile d’annuler et de recommencer.

Et aussi : est-il possible de rejouer la même certification une fois annulée ?

le bénéfice : Augmentation artificielle du stock de certifications donc de la taille maximale de la région sybille (qui est aussi fonction de sigStock). Quand a l’impact vis à vis de la règle de distance, difficile à dire ça dépend des configurations…

Si la personne perd le statut de membre suite a l’annulation, elle devra republier son identité donc la certification ne pourra pas être considérée comme “la même”.
Dans le cas ou la personne est toujours membre suite à l’annulation, le plus simple est d’autoriser de la rejouée après le délai sigPeriod, c’est une sorte de délai anti-spam à la msPeriod.

1 Like

Je ne vois pas bien où, car pour que l’édifice tienne (que la région sybille persiste) il faut bien garder les certifications actives.

Ah non elle aura juste à publier à nouveau une demande d’adhésion et récupérer la certification manquante.

OK, ça me paraît correct.

Alors d’une part non car les certification peuvent être renouvelés suivant le même stratagème. Et d’autre part selon le type d’attaque ce qui compte c’est la taille max que peut atteindre une région sybil a un instant t, qu’elle ne puisse pas maintenir cette taille dans la durée l’attaquant s’en fou, s’il veut prendre le contrôle de la monnaie ou/et la “tuée” alors son objectif sera de frapper fort et vite.

Effectivement je confond avec la révocation, l’exclusion par perte de certif ne détruit pas l’identité. Donc la personne peut être certifiée, pour éviter un jeu de pig-pong infini il faut une durée anti-spam, ce que j’ai proposé au dessus :slight_smile:

Bon j’avoue que je ne vois toujours pas en quoi ça lui ferait du stock supplémentaire, puisque pour prendre le contrôle il faut bien que ses sybilles restent membre. Donc chacune à au moins 5 certifs, qu’il ne peut pas annuler.

Enfin peu importe, le fait de ne pas réincrémenter le stock me confient tout à fait.

Et pour l’histoire de sigPeriod, oui ça me va bien.