Arbiter

Arbiter — сервіс підпису транзакцій з відкритим кодом та керуванням дозволами для криптовалютних гаманців. Він працює як фоновий демон із необов’язковим десктопним клієнтом для керування сховищем.

Основна гарантія. Сховище ніколи не розкриває матеріал приватних ключів за жодних обставин. Підпис виробляється лише тоді, коли запит задовольняє налаштовані власником політики — інструменти автоматизації та SDK-клієнти отримують рівно той доступ, який їм було надано, не більше.

Аутентифікація. Кожен учасник — клієнт керування чи інструмент автоматизації — проходить аутентифікацію через виклик-відповідь на основі публічних ключів. Сервер видає nonce-виклик, учасник його підписує, сервер перевіряє підпис до початку будь-яких операцій. При першому запуску генерується одноразовий bootstrap-токен для реєстрації першого клієнта; всі подальші SDK-клієнти мають бути явно схвалені власником.

Ієрархія ключів. Ключі організовано у три рівні: пароль користувача похідним чином отримує кореневий ключ, а кореневий ключ шифрує ключі окремих гаманців. Це означає, що зміна пароля перешифровує лише кореневий ключ — а не кожен гаманець — а ротація кореневого ключа не залежить від пароля. Усі дані у стані спокою шифруються версійним симетричним AEAD; сховище автоматично мігрує старіші записи до поточної схеми при розпечатуванні.

Цикл роботи сховища. При запуску Arbiter завантажується у стані Sealed (запечатаний) і не може виробляти жодних підписів. Щоб розпечатати, клієнт керування шифрує пароль одноразовим публічним ключем сервера та надсилає шифротекст — відкритий текст пароля ніколи не передається мережею. Після розпечатування кореневий ключ зберігається у захищеній комірці пам’яті, ізольованій від дампів, свопів і файлів гібернації.

Рушій дозволів. SDK-клієнти за замовчуванням не мають жодного доступу. Гранти видаються явно власником сховища, прив’язані до конкретного гаманця та мережі. Для EVM-мереж Arbiter декодує виклики відомих контрактів і відображає їх у зрозумілому вигляді (наприклад, «переказати 500 USDT на 0x…»), застосовуючи ліміти обсягу, ліміти частоти та часові вікна для кожного гранту. Невідомі контракти також можна дозволити з обмеженнями за кількістю транзакцій. Управління nonce автоматизовано для запобігання атакам повторного відтворення.