O problema da rotação de chaves: atualizar credenciais num agente que nunca para

O pressuposto que falha

A rotação de chaves parece resolvida até ser aplicada a um sistema que não pode parar. O procedimento tradicional agenda uma janela de manutenção, revoga o par de chaves atual, emite substituição, atualiza configuração e reinicia. O serviço volta com credenciais novas.

Agentes em domínios consequentes não oferecem uma pausa limpa. Um agente de cuidados não tem janela de manutenção. Um agente de liquidação financeira pode ter estado em curso que não pode ser invalidado. Um agente dentro de um enclave de hardware pode ter a identidade ligada a material criptográfico específico. Trocar esse material a meio da operação não é só configuração; é continuidade de identidade.

Três padrões

No padrão quiesce-and-rotate, o agente para novas ações, termina ou transfere tarefas em curso, recebe credenciais novas e retoma. É limpo, mas custa disponibilidade.

No padrão de sobreposição de credenciais, o agente aceita a credencial nova enquanto conclui tarefas antigas com a credencial anterior. Preserva disponibilidade, mas cria uma janela de dupla identidade que deve estar clara no log, na delegação e na revogação.

No padrão hierárquico, a identidade fica ancorada numa raiz de hardware e as chaves operacionais são folhas certificadas por essa raiz. Folhas podem rodar frequentemente, inclusive entre famílias algorítmicas, enquanto a âncora prova continuidade.

A âncora de hardware como invariante

A abordagem hierárquica separa o material usado para assinar operações da identidade do agente. Num modelo plano, trocar a chave parece trocar a identidade. Num modelo enraizado em hardware, a raiz segura é a âncora e as chaves operacionais são instrumentos dessa identidade.

Isto torna a migração pós-quântica administrável. A raiz pode migrar no ciclo de renovação do hardware; folhas podem migrar continuamente à medida que contrapartes atualizam verificadores. A identidade atestada permanece estável enquanto os algoritmos de prova mudam.

Consentimento e processo contínuo

Em cuidados, a rotação levanta uma pergunta de consentimento: quando a credencial muda, o consentimento original continua válido? Uma cadeia de atestação hierárquica dá uma resposta: o agente atestado é o mesmo, embora a chave operacional tenha mudado. Essa distinção deve aparecer na arquitetura de consentimento.

A migração pós-quântica mostra que rotação não é evento raro. Para agentes contínuos, identidade enraizada em hardware, semântica explícita de sobreposição e continuidade de consentimento são requisitos de arquitetura, não otimizações.