Parte V · 1 — Identidade e transporte
Aqui a teoria aterrissa. Cada escolha da Koder Stack para provar quem é e proteger o que trafega é uma primitiva das partes anteriores, escolhida de propósito — não um default acidental.
1.1 Koder ID — a identidade da Stack
O Koder ID (services/foundation/id) é o provedor de identidade único de toda a Stack: um servidor OAuth/OIDC pelo qual todo login passa. Suas escolhas criptográficas mapeiam direto na Parte II:
| Função | Primitiva | Parte |
|---|---|---|
| Hash de senha | Argon2id (\(m\)19 MiB, \(t\)2, \(p\)=1) | II — KDF/senhas |
| Token de sessão | 256-bit aleatório + HMAC-SHA256 | II — MAC |
| Assinatura de JWT | Ed25519 (não HS256/RS256) | II — assinatura |
| Login sem senha | Passkeys / WebAuthn | II — assimétrica |
A assinatura de JWT por Ed25519 é a decisão exemplar: chave pública publicada em /.well-known/jwks.json, qualquer serviço verifica o token sem compartilhar segredo — exatamente a propriedade de não-repúdio que separa assinatura de MAC (Parte I). E passkeys levam isso ao login: a chave privada nunca sai do dispositivo; o servidor guarda só a pública.
1.2 TLS no Koder Jet
Todo tráfego web passa pelo Koder Jet (infra/net/jet), o servidor único da Stack. A postura TLS é a Parte III aplicada:
- TLS 1.3 only para sites novos (1.2 com ECDHE-AEAD só em compat legada).
- Suites AEAD apenas: AES-GCM e ChaCha20-Poly1305 (preferida sem AES-NI) —
- Troca de chave X25519, com o híbrido X25519MLKEM768 em piloto — a
Parte IV já entrando em produção.
- Proibidos: TLS 1.0/1.1, RC4, 3DES, MD5, SHA-1, RSA key transport, modos
CBC — toda a lista de fragilidades históricas das partes anteriores.
- HSTS com
preloadem todos os subdomínios; só HTTPS, redirect 301(
policies/security.kmd).
Os certificados vêm do services/foundation/certs via ACME DNS-01 (ClouDNS), encadeados pela PKI da web — com rotação automática a cada 90 dias (validade curta no lugar de revogação).
1.3 SSH endurecido
Acesso a servidores e ao Koder Flow usa OpenSSH 9.6+ com strict KEX (mitigação do ataque Terrapin):
- Chaves de host Ed25519; autenticação só por chave (senha desligada);
root só com chave.
- KEX
sntrup761x25519— note: já pós-quântico híbrido, como o TLS. - Cifra ChaCha20-Poly1305 (AEAD); MAC HMAC-SHA-512-ETM (encrypt-then-MAC).
É o mesmo encaixe do TLS — troca de chave + AEAD + MAC — num protocolo diferente, reforçando a lição da Parte III: os protocolos mudam, as primitivas e o padrão se repetem.
Referência densa: suites exatas, config SSH completa e o piloto híbrido em
14-koder-aplicada. A seguir: Dados e chaves — criptografia em repouso e o ciclo de vida das chaves.