BLUEPRINT

クレデンシャル管理

クレデンシャル管理は非常に工学的に聞こえます——FayID の発行、署名、撤回、更新、それぞれが具体的なアルゴリズムと鍵プロトコルに関わります。しかし本ブループリントではクレデンシャル管理は価値観の中に置かれ、技術議題ではありません。

理由はこうです。Faying Protocol が存在する目的は、「行動が誰の責任か」を明示的に表現することにあります。この事の全技術的引受は、具体的なプロトコル層に落ちると、すなわちクレデンシャルです。クレデンシャルは二つの問いに答えます。

この瞬間のこの Fay は、それが主張する Fay であるか? この瞬間のこの Fay は、依然としてその Human Prime に認可されているか?

二つの問いはいずれも工学的問題ではなく、責任問題です。クレデンシャルが偽造され、不正利用され、あるいは Human Prime 以外の第三者によって密かに発行できるようになった瞬間、Faying Protocol の全価値はゼロになります——Human Prime はもはや責任の真の保有者ではなくなります。

具体的なアルゴリズム、署名フォーマット、鍵プロトコルなどの技術詳細はプロトコル仕様文書と schema の領域であり、本章では展開しません。本章はクレデンシャル管理において譲歩が許されない数条の立場のみを宣言します。

FayID は Fay が Faying State に入る身元基盤

FayID は Fay の iFay フレームワークにおける統一一意身元識別子です。Faying Protocol の全監護契約は FayID の上に建てられます。Faying Action は「どの FayID が Faying State に入るか」を明確にしなければなりません。Faying State の帰責は「どの FayID がどの Human Prime に帰属するか」を明確にしなければなりません。Faying State の退出は「どの FayID が Rogue Fay へ移行するか」を明確にしなければなりません。

FayID が信頼できないなら、上記三箇所の全判断は意味を失います。

クレデンシャル失効即 Faying 失効

第 13 章が列挙した九項の Faying State → Rogue Fay 自動移行トリガー条件のうち、第 6 条にこう明記されています。

Fay の身元が検証できない(例:FayID 署名失効)。

この条は九条の中で「たまたま」クレデンシャルに関わるのではなく、クレデンシャル管理がプロトコル層で迂回不可能な具体的着地点です。FayID の有効性に問題が生じた瞬間、Fay の従前の業務がどれほど連続していようと、どれほど完成に近づいていようと、Faying State は直ちに退出しなければなりません。

クレデンシャル有効性への疑念は、Faying State がすでに失効したことに等しい。

「クレデンシャルは疑わしいが Faying State は依然として成立する」という中間的状況は存在せず、「先に当面のタスクを完成させてからクレデンシャル問題を処理する」という工学的妥協も存在しません。

撤回権は Human Prime 側に保持されねばならない

クレデンシャル管理にはプロトコル設計上、細部に見えるが極めて鍵となる選択があります——クレデンシャルの撤回権は最終的に誰に帰すか? 答えは自明です。Human Prime に帰します。

Fay 自身は自身のクレデンシャルを撤回する合法経路を持つべきではありません——これは第 13 章 D4 と同源で、Fay は自身で監護を離脱することも、自身で監護経路を切断することも決めてはなりません。

第三者プラットフォーム、Fay の Runtime ベンダー、Fay の能力提供者は、Human Prime の同意を経ずに FayID を撤回する権限を持つべきではありません——その第三者がコンプライアンス上の権威機構である場合(第 13 章トリガー条件第 8 条参照)を除きます。

Human Prime は常に対称的、到達可能、監査可能な撤回経路を保持しなければなりません。撤回動作の到達可能性は、Faying Action を発起する到達可能性を下回ってはなりません。これは Faying Protocol における「対称性」原則のクレデンシャル層面での具体的着地です。監護を確立すること、監護を撤回すること、二つは同等に到達可能な経路でなければなりません。撤回が確立より困難になった瞬間、監護関係は事実上「撤回不能な委託」へ滑り、ひいては Human View の「介入経路常時開放」要求に違反します。

更新はデフォルト動作ではない

第 12 章は Faying State に対して一つの厳格な制約を提示しました。Faying State は有限範囲でなければならず、無期限 Faying はアンチパターンである、と。この制約はクレデンシャル層面で具体的な立場に対応します——クレデンシャルの更新はデフォルトで完了されるべきではありません。

各更新は明示的、見証可能な動作であるべきであり、「Fay が自動提出、システムが自動更新」という暗黙ループであってはなりません。ブループリントは工学層面で「更新リマインド」「更新提案」などの便利機構の提供を許しますが、「更新」を Fay 自身が静かに完了できる事に作り変えることを禁止します——それは Faying を事実上無期限委託に変えてしまうからです。

責任視点から理解すれば、更新は責任端が監護意図を再表現する瞬間です。更新さえ工学的に静かに完了されれば、「監護」には署名一つだけが残り、意図はなくなります。

いくつかの違反不可なレッドライン

クレデンシャル管理の数条の価値観的立場は、いかなる技術案が着地する際にも違反不可なレッドラインです。

  • FayID は身元基盤である;
  • クレデンシャル不可信即 Faying 不成立;
  • 撤回権は Human Prime 側に保持されねばならない;
  • 更新はデフォルト動作ではない。

具体的な署名アルゴリズム、鍵階層、撤回リスト伝播、更新時間ウィンドウの精緻化設計、跨ベンダー相互信頼のルート証明書構造、撤回の最終一貫性などの技術詳細——プロトコル仕様の領域に属します。本章はそれを再述せず、先決もしませんが、いかなる技術案も上記四条の立場にまず服従しなければなりません。

クレデンシャル管理の図解:FayID、署名、撤回、更新における Human Prime 側の制御権