隐私、安全与提交-揭示机制（V1）

在 Reppo V1 中，我们优先考虑 投票过程中的隐私。 隐私通过以下两方面强制执行： 加密投票（提交-揭示） 以及跨子网的数据治理控制。

---

1. 提交-揭示投票（内建隐私）

Reppo 使用一种 提交-揭示方案 以防止在发放和评估周期中出现偏见、贿赂或投票操纵。

1. 提交阶段

   • 选民生成包含秘密盐的投票哈希： commit = hash(vote + salt)

   • 该提交被发布到链上。在此阶段，任何人都无法推断出实际投票或选民偏好。

2. 揭示阶段

   • 在提交窗口关闭后，选民揭示其原始投票和盐。

   • 系统会验证 hash(vote + salt) 是否与先前的提交匹配。

   • 只有有效的揭示才会计入结果和发放。

3. 优点

   • 防止提前披露结果。

   • 确保提交后投票不能更改。

   • 保持投票的匿名性并可被验证。

示例流程： 用户 → commit("positive", salt123) → 在链上存储哈希 → 稍后揭示 ("positive", salt123) → 系统验证 → 奖励分配。

此流程在区块链上锚定了公开的参与证明，同时保全了公平性。

---

2. 数据保留与最小化

• 链上数据： 仅将加密证明、投票哈希和余额永久存储。任何人类可读的内容或个人身份信息均不会被写入区块链。

• 链下数据： 内容和元数据存储在分布式存储中（例如 IPFS、Arweave、子网数据库），以用于 验证或审计所需的最短时间 。

• 到期策略： 一旦发放和争议解决，链下数据可被修剪或重新加密以移除与钱包的可关联性。

---

3. 私有子网的访问控制

私有子网允许组织和创作者对敏感数据集保持完全控制。

• 基于角色的访问： 子网所有者定义谁可以读取、写入和投票。访问通过钱包允许名单或角色代币来强制执行。

• 加密： 所有私有数据在静态和传输中均被加密。只有子网所有者或其委托者持有解密密钥。

• 可验证的审计： 每次访问或更新都会发出轻量级的链上证明，确保透明性而不泄露底层数据。

---

4. 合规与法律对齐

Reppo 与主要的全球隐私标准保持一致，同时保持完全去中心化。

• GDPR / CCPA 原则

  • 数据最小化： 仅在链上存储必要的元数据。

  • 删除权： 子网所有者可以轮换或撤销加密密钥以使数据不可访问。

  • 用途限制： 为模型训练收集的数据在未经新同意的情况下不得被重新用于其他目的或转售。

• 个人身份信息边界： 切勿上传可识别个人身份的信息。提交前必须对内容进行匿名化或假名化处理。

• 区域存储： 企业子网可选择区域性或司法管辖区特定的存储端点以遵守数据本地化法律。

---

5. 安全最佳实践

• 智能合约保持精简，并由 Pashov 集团进行审计，减少攻击面。

• 敏感操作（投票揭示、密钥管理、加密）在链下并在密码学证明下处理。

• Reppo 支持 社区漏洞赏金 和 第三方安全审计 以保持透明度和信任。

• 钱包认证取代集中式用户账户，确保参与者对密钥的完全保管。

---

摘要

Reppo 的隐私设计在以下方面取得平衡： 透明性 和 保密性:

• 投票可被证明但保持匿名。

• 数据可被验证但不被暴露。

• 用户保留其信息的控制权。

提交-揭示与严格的数据治理原则共同确保 Reppo 保持 一个无需信任但能保护隐私的人类反馈与 AI 数据协调网络.