Доверие и безопасность

Echo спроектирован таким образом, что ни одна сторона -- даже координатор, инициализирующий сеть -- не может в одностороннем порядке контролировать систему. Доверие распределено между участниками, а критические инварианты обеспечиваются в блокчейне валидаторами Cardano.

Минимальное доверие к координатору

Координатор играет ограниченную операционную роль: он инициализирует новые эпохи и обеспечивает связь между участниками. Однако координатор не может:

• Подделывать консенсусные подписи -- только коллективная сеть может создать валидную пороговую подпись
• Изменять членство -- каждое изменение членства требует верификации в блокчейне владения NFT и криптографических доказательств
• Похищать средства -- приложения, построенные на Echo (такие как Sailfish), обеспечивают собственные механизмы безопасности в блокчейне независимо от координатора

Ключ подписи координатора используется только для административных действий, таких как инициализация эпох. Фактический консенсусный ключ принадлежит коллективной сети и ротируется каждый раз при изменении состава участников.

Пороговые подписи

Echo использует схему пороговых подписей, при которой минимальное количество участников должно независимо согласиться, прежде чем какое-либо действие может быть одобрено. Ни один участник -- и никакое подмножество ниже порога -- не может создать валидную подпись.

Это означает, что даже если некоторые участники скомпрометированы или уходят в офлайн, сеть продолжает корректно работать, пока порог соблюдается. Система обладает византийской отказоустойчивостью: она выдаёт правильные результаты даже в присутствии злоумышленников, если они остаются в меньшинстве.

Верификация в блокчейне

Каждый переход состояния в Echo проверяется валидаторами Cardano в блокчейне. При изменении членства валидаторы проверяют:

• Новый участник хранит необходимые NFT на своём Smart Account
• Участник криптографически подтвердил авторизацию присоединения
• Реестр членства был корректно обновлён
• Предыдущий консенсусный ключ авторизовал переход к новому ключу

Когда приложение ссылается на доказательство Echo, валидаторы независимо подтверждают, что доказательство подписано валидным консенсусным ключом, количество участников соответствует требуемому порогу и состояние не истекло. Ни одно внесетевое утверждение не принимается на веру.

Истечение на основе эпох

Токены состояния Echo имеют встроенный срок действия. После окончания эпохи её консенсусный ключ больше не может использоваться для создания новых доказательств. Это ограничивает окно ущерба в случае компрометации ключа и обеспечивает регулярное обновление состава участников сети.

Страховочный механизм: самостоятельный вывод

Приложения, построенные на Echo, могут реализовать собственные механизмы безопасности. Например, если координатор Echo или сеть становятся недоступными, пользователи зависимых сервисов не теряют доступ к своим средствам. Сервисы, такие как Sailfish, включают процесс вывода средств с временной блокировкой, позволяющий пользователям вернуть свои активы напрямую в Cardano -- без необходимости содействия какого-либо оператора.

Этот механизм безопасности обеспечивается в блокчейне. В случае исчезновения координатора и отключения сети Echo, процесс самостоятельного вывода спроектирован для того, чтобы пользователи могли вернуть свои активы напрямую в Cardano.