La confidentialité sur Dusk n'est pas un paramètre global.
C'est une décision que vous prenez encore et encore.
Et la plupart des équipes le font trop tôt.
Ils supposent que le silence est neutre. Que cacher l'état est toujours plus sûr que de l'exposer. Puis la réalité frappe. Les intégrations stagnent. L'observabilité s'effondre. Les outils commencent à se contredire. Soudain, personne ne peut répondre à une question directe sans qualifications.
Ce n'est pas un coût théorique.
C'est une dette opérationnelle.
DuskVM existe parce que cette dette doit vivre quelque part. Si vous ne l'isolez pas, elle imprègne tout le reste.
Je ne comprenais pas cela au début. J'ai vu un prototype sortir où la vie privée était la norme pour chaque transition. Cela semblait propre sur le papier. En pratique, la première semaine d'intégrations n'était qu'un contrôle des dommages. Les indexeurs n'avaient rien de stable sur quoi s'accrocher. Les audits ont ralenti à un rythme d'escargot. Une question de snapshot basique - qui a été qualifié à l'exécution - n'avait pas de réponse native. Chaque réponse a été reconstruite après coup.
C'est à ce moment-là que la ligne devient visible.
Pas dans les documents de conception.
Dans la friction.
Lorsque le système ne peut pas répondre à une question simple et légitime sans exporter l'état, vous l'avez franchi.
L'exécution confidentielle n'est justifiée que là où la visibilité change le comportement. Pendant que les allocations se forment encore. Là où les conditions liées à l'identité ne devraient pas se durcir en étiquettes publiques. Là où les identifiants expirent et où la fraîcheur a réellement de l'importance. Là où les soldes laissent filtrer la stratégie par inférence.
Ces chemins méritent un chiffrement et des preuves. La seule chose que le monde extérieur doit savoir, c'est que la règle a tenu au moment de l'exécution. Pas de couleur supplémentaire. Pas d'explication future.
Tout le reste devrait rester lisible.
Les marchés ont besoin d'ancres. D'autres contrats ont besoin d'interfaces stables. Les systèmes de risque ont besoin de faits sur lesquels ils peuvent raisonner à l'intérieur d'une fenêtre temporelle. Si vous poussez ces surfaces dans DuskVM, vous ne gagnez pas en sécurité - vous perdez en cohérence. L'observabilité devient judiciaire. Les tableaux de bord cessent d'être des références et commencent à être des interprétations.
C'est pourquoi Moonlight et Phoenix comptent - mais seulement en tant que séparation des préoccupations. L'exécution protégée vit dans Moonlight. L'état lisible reste dans Phoenix. Lorsque la divulgation se déclenche, le règlement ne veut pas d'une histoire. Il veut la plus petite vérité défendable, prouvée liée à l'exécution.
« Nous divulguerons plus tard » sonne flexible.
Ce n'est pas.
Plus tard, c'est là que se cachent les cas limites. Plus tard, c'est là que les équipes renégocient ce qui s'est déjà passé. Une fois l'exécution stabilisée, la clarté rétroactive est perdue. Si une divulgation n'était pas conçue dans le flux, elle n'est plus sûre.
Vous ne remarquerez rien de tout cela en écrivant.
Vous le remarquez à la coupure.
Quelqu'un demande une preuve qui devrait exister. Cela n'existe pas. Et la seule façon de répondre est d'ouvrir le système que vous essayiez de protéger.
Ce n'est pas un échec de la vie privée.
C'est un échec de la frontière.
DuskVM consiste à rendre cette frontière explicite - avant que la douleur ne la rende évidente.
