Конфиденциальность в Dusk не является глобальной настройкой.
Это решение, которое вы принимаете снова и снова.
И большинство команд делает это слишком рано.
Они предполагают, что молчание нейтрально. Что скрытое состояние всегда безопаснее, чем его раскрытие. Затем приходит реальность. Интеграции застревают. Наблюдаемость рушится. Инструменты начинают противоречить сами себе. Вдруг никто не может ответить на прямой вопрос без уточнений.
Это не теоретическая стоимость.
Это операционный долг.
DuskVM существует, потому что этот долг должен жить где-то. Если вы его не изолируете, он проникает во все остальное.
Сначала я этого не понял. Я наблюдал, как прототип вышел, где конфиденциальность была по умолчанию для каждого перехода. На бумаге выглядело чисто. На практике первая неделя интеграций была просто контролем ущерба. Индексаторы не имели ничего стабильного, к чему можно было бы привязаться. Аудиты замедлились до черепашьей скорости. Простой вопрос о снимке — кто квалифицировался при выполнении — не имел естественного ответа. Каждый ответ был реконструирован постфактум.
Вот тогда линия становится видимой.
Не в документах по дизайну.
В трении.
Когда система не может ответить на простой, законный вопрос без экспорта состояния, вы её пересекли.
Конфиденциальное выполнение оправдано только там, где видимость изменяет поведение. Пока аллокации всё еще формируются. Где условия, связанные с личностью, не должны превращаться в публичные ярлыки. Где учетные данные истекают, и свежесть действительно имеет значение. Где балансы сливают стратегию через выводы.
Эти пути заслуживают шифрования и доказательств. Единственное, что должен знать внешний мир, это то, что правило соблюдалось в момент выполнения. Никакого лишнего цвета. Никакого будущего объяснения.
Все остальное должно оставаться читаемым.
Рынкам нужны якоря. Другим контрактам нужны стабильные интерфейсы. Системам риска нужны факты, о которых они могут рассуждать в пределах временного окна. Если вы задвигаете эти поверхности в DuskVM, вы не получаете безопасность — вы теряете согласованность. Наблюдаемость становится судебной. Панели инструментов перестают быть справочниками и начинают быть интерпретациями.
Вот почему важны Moonlight и Phoenix — но только как разделение проблем. Защищенное выполнение живет в Moonlight. Читаемое состояние остается в Phoenix. Когда раскрытие происходит, расчет не хочет истории. Ему нужна наименьшая защищаемая правда, доказуемо связанная с выполнением.
« Мы раскроем позже » звучит гибко.
Это не так.
Позже — это место, где скрываются крайние случаи. Позже — это место, где команды пересматривают то, что уже произошло. Как только выполнение стабилизируется, ретроактивная ясность исчезает. Если раскрытие не было задумано в потоке, оно больше не безопасно.
Вы не заметите ничего из этого, пока пишете.
Вы замечаете это на разрезе.
Кто-то спрашивает о доказательствах, которые должны существовать. Их нет. И единственный способ ответить — это разорвать систему, которую вы пытались защитить.
Это не сбой конфиденциальности.
Это сбой границы.
DuskVM заставляет эту границу быть явной — до того, как боль сделает это очевидным.
