search

Confidentialité et sécurité dans Reppo

Le modèle de confidentialité de Reppo a évolué au fil des versions.

Le mécanisme commit-reveal faisait partie de Reppo V1. Il ne fait pas partie de Reppo V2.

Cette page sépare ce mécanisme de vote hérité du modèle actuel de confidentialité et de sécurité utilisé sur le réseau.

hashtag
1. Mécanisme de confidentialité hérité : Commit-Reveal dans Reppo V1

Reppo utilise un schéma commit-reveal pour prévenir les biais, la corruption ou la manipulation des votes lors des cycles d'émission et d'évaluation.

  1. Phase de commit

    • Les votants génèrent un hachage de leur vote combiné à un sel secret : commit = hash(vote + salt)

    • Ce commit est publié on-chain. Personne ne peut déduire le vote réel ou la préférence du votant à cette étape.

  2. Phase de reveal

    • Après la fermeture de la fenêtre de commit, les votants révèlent à la fois leur vote original et le sel.

    • Le système vérifie que hash(vote + salt) correspond au commit précédent.

    • Seuls les reveals valides sont pris en compte pour les résultats et les émissions.

  3. Avantages

    • Empêche la divulgation précoce des résultats.

    • Garantit que les votes ne peuvent pas être modifiés après le commit.

    • Maintient l'anonymat du vote tout en le rendant vérifiable.

Flux d'exemple : Utilisateur → commit("positive", salt123) → hachage stocké on-chain → révèle plus tard ("positive", salt123) → le système vérifie → distribution des récompenses.

Ce processus préserve l'équité tout en ancrant une preuve publique de participation sur la blockchain.

hashtag
2. Modèle actuel de confidentialité et de sécurité

Le modèle Reppo actuel ne repose pas sur le commit-reveal.

À la place, la confidentialité et la sécurité proviennent de la minimisation de l'exposition on-chain, du contrôle d'accès aux données sensibles et de la possibilité de rendre auditable les actions importantes sans exposer le contenu sous-jacent.

Conservation et minimisation des données

  • Données on-chain : Seules les preuves cryptographiques essentielles, les soldes et les enregistrements de participation sont stockés de façon permanente. En V1, cela incluait les hachages de vote. Aucune donnée lisible par un humain ou PII ne touche jamais la blockchain.

  • Données off-chain : Le contenu et les métadonnées résident dans un stockage distribué (par ex., IPFS, Arweave, bases de données datanet) pour le temps minimal requis pour la vérification ou les audits.

  • Politique d'expiration : Une fois les émissions et les litiges réglés, les données off-chain peuvent être élaguées ou réchiffrées pour supprimer la possibilité de liaison aux portefeuilles.

Contrôles d'accès pour les datanets restreints

Les datanets à accès restreint permettent aux organisations et créateurs de garder le contrôle total sur les jeux de données sensibles.

  • Accès basé sur les rôles : Les propriétaires de datanets définissent qui peut lire, écrire et voter. L'accès est appliqué par des listes blanches de portefeuilles ou des jetons de rôle.

  • Chiffrement : Toutes les données privées sont chiffrées au repos et en transit. Seuls les propriétaires de datanet ou leurs délégués détiennent les clés de déchiffrement.

  • Audits vérifiables : Chaque accès ou mise à jour émet une preuve légère on-chain, assurant la transparence sans révéler les données sous-jacentes.

Conformité et alignement juridique

Reppo s'aligne sur les principales normes mondiales de confidentialité tout en restant pleinement décentralisé.

  • Principes GDPR / CCPA

    • Minimisation des données : ne stocker que les métadonnées essentielles on-chain.

    • Droit à l'effacement : les propriétaires de datanet peuvent faire pivoter ou révoquer les clés de chiffrement pour rendre les données inaccessibles.

    • Limitation des finalités : les données recueillies pour l'entraînement de modèles ne peuvent pas être réutilisées ou revendues sans un nouveau consentement.

  • Limites des PII : Les informations personnellement identifiables ne doivent jamais être téléchargées. Le contenu doit être anonymisé ou pseudonymisé avant soumission.

  • Stockage régional : Les datanets d'entreprise peuvent choisir des points de stockage régionaux ou spécifiques à une juridiction pour se conformer aux lois de localisation des données.

Bonnes pratiques de sécurité

  • Les contrats intelligents sont minimaux et audités par Pashov Group, réduisant les surfaces d'attaque.

  • Les opérations sensibles telles que la gestion des clés, le chiffrement et les flux de vérification sont traitées off-chain sous preuve cryptographique lorsque cela est approprié.

  • Reppo prend en charge chasses aux bugs communautaires et audits de sécurité par des tiers pour maintenir la transparence et la confiance.

  • L'authentification par portefeuille remplace les comptes utilisateur centralisés, garantissant la garde complète des clés par les participants.

hashtag
Résumé

La conception de la confidentialité de Reppo équilibre transparence et confidentialité:

  • L'activité sensible est vérifiable sans exposer les données brutes des utilisateurs.

  • Les données sont vérifiables mais non exposées.

  • Les utilisateurs conservent le contrôle de leurs informations.

En V1, le commit-reveal protégeait la confidentialité des bulletins pendant le vote.

Dans le modèle actuel, la confidentialité et la sécurité reposent sur la minimisation de l'exposition on-chain, le contrôle d'accès aux données sensibles et la possibilité de rendre la vérification auditable sans rendre public le contenu sous-jacent.

PrécédentRépartition de l'allocation des jetonsSuivantRobustesse adversariale dans les marchés de vote en temps réel

Mis à jour