Rabbithole
  • Русский

      • Ключи и vetKeys

      Почему Rabbithole не просит пароль для шифрования

      Многие зашифрованные хранилища выводят ключи файлов из пароля или recovery phrase. Rabbithole использует другую модель: браузер входит через Internet Identity, а канистра хранилища просит Internet Computer вывести файловые ключи через vetKeys.

      Канистра хранилища не получает от вас сырой пароль. Она проверяет, есть ли у пользователя доступ к файлу, а затем запрашивает зашифрованный ответ с ключом для этой сессии браузера.

      Аналогия: сейф и закрытый конверт

      Представьте сейф без одного главного ключа. Несколько IC-узлов держат только свою долю, нужную для вывода ключа файла. Ваш браузер приносит закрытый конверт. Сеть кладёт в него производный ключ файла, а открыть конверт может только ваш браузер: временный секрет остался у него.

      Ни один отдельный узел не видит полный ключ. Rabbithole не получает читаемое содержимое файла. Задача канистры хранилища: решить, имеет ли principal право запросить ключ.

      Что происходит при деривации ключа

      Обычный поток короткий:

      1. Браузер просит канистру хранилища выдать ключ зашифрованного файла.
      2. Канистра проверяет правила доступа для вашего principal и этого файла.
      3. Канистра вызывает IC vetKD API с derivation input файла и временным публичным transport key браузера.
      4. Браузер получает зашифрованный vetKey, проверяет его и превращает в ключевой материал для локального шифрования или расшифровки.

      Один и тот же файл снова выводит тот же ключевой материал. Поэтому Rabbithole не нужно хранить постоянный файловый ключ в канистре.

      Standard и High Replication

      При создании зашифрованного хранилища Rabbithole просит выбрать VetKey level. Так вы выбираете, какой сервис ключей Internet Computer Rabbithole будет использовать для деривации.

      LevelТекущая репликация сервиса ключейОценка стоимости деривацииХороший выбор для
      Standard (по умолчанию)13 узловОколо $0.014Большинство зашифрованных хранилищ
      High Replication34 узлаОколо $0.035Пользователи, которым нужен более крупный сервис ключей и подходит более дорогая деривация

      Числа 13 и 34 описывают текущий IC threshold key service за каждым уровнем Rabbithole. Это не количество копий файла и не обязательно сабнет, на котором работает ваша канистра хранилища.

      Если конфигурация Internet Computer или Rabbithole изменится, актуальные варианты будут видны на экране создания хранилища. Документация объясняет модель; экран создания показывает конкретный вариант, который вы собираетесь купить.

      Как сюда вписывается OpenCloud

      OpenCloud позволяет разработчикам создавать Internet Computer cloud engines с выбранными узлами и провайдерами. В его pricing guide сейчас показан пример Hobby engine из 4 nano-узлов.

      Это выбор хостинга, а не замена VetKey level. У канистры хранилища есть сабнет хостинга. Деривация VetKey использует IC-сабнет, где находится выбранный vetKD master key. Management canister маршрутизирует запрос деривации между этими слоями.

      Для пользователей Rabbithole сегодня видимый выбор шифрования остаётся Standard или High Replication. OpenCloud важен потому, что будущие развёртывания могут дать контроль над хостингом отдельно от уровня сервиса ключей.

      Стоимость и циклы

      Каждая зашифрованная загрузка или скачивание, которым нужна новая деривация ключа, расходует циклы. Rabbithole показывает оценку в долларах для читаемости, но канистра платит сети циклами.

      Это отдельная статья расходов от хранения. Хранение оплачивает доступность байтов. Деривация оплачивает запрос к сети, которая возвращает зашифрованный ответ с файловым ключом.