Integriteit

Verifieer dit archief zelf.

Elk bestand dat met dit archief wordt meegeleverd, heeft een gepubliceerde SHA-256-hash. Deze pagina berekent die hashes opnieuw in uw browser — met behulp van de Web Crypto API die uw browser al meelevert — en vergelijkt ze met het manifest. Geen enkel kakao.io-servereindpunt wordt in de keten vertrouwd. Als er iets is gemanipuleerd tussen de bronrepository en uw scherm, mislukt de controle zichtbaar.

Zero-trust-houding — de verifier is gewone JavaScript ingebed in deze pagina. U kunt deze lezen via Broncode bekijken. Hij haalt de dataset op, hasht deze lokaal, haalt het manifest op en vergelijkt. Het resultaat wordt op uw machine berekend.

Controleer cacao-origins.json

Controleer alle bronbestanden

Controleer een specifieke origin-record

Verifieer de dataset-hash vanaf de opdrachtregel

Als u liever helemaal niet op browsercode vertrouwt, is dezelfde controle triviaal met standaard Unix-tools.

# Verify the dataset hash matches:
curl -s https://kakao.io/data/cacao-origins.json | shasum -a 256
# Compare against the hash in:
curl -s https://kakao.io/.well-known/source-manifest.json \
  | jq '.files["data/cacao-origins.json"]'

Verifieer OpenTimestamps-bewijzen lokaal

Elke origin-record wordt ook gestempeld met OpenTimestamps — een gratis, op Bitcoin verankerd tijdstempelprotocol. Het bewijs vouwt de SHA-256 van het record in een gepubliceerde Bitcoin-blokheader, zodat het bestaan van het record op het tijdstip van dat blok cryptografisch aantoonbaar is zonder dat u ons of een tijdstempelautoriteit hoeft te vertrouwen.

# Install the OpenTimestamps client:
pip3 install opentimestamps-client

# Download an origin record and its proof:
curl -O https://kakao.io/data/ots/records/ve-chuao.json
curl -O https://kakao.io/data/ots/records/ve-chuao.json.ots

# Verify — folds the Bitcoin block hash into a verification chain:
ots verify ve-chuao.json.ots

Hoe dit werkt

SHA-256 wordt in uw browser berekend via window.crypto.subtle.digest — hetzelfde primitief dat door TLS en HTTPS wordt gebruikt, beschikbaar in elke moderne browser zonder polyfill. Het manifest is een klein JSON-bestand dat de verwachte hash voor elk meegeleverd bestand opsomt. OpenTimestamps-bewijzen worden ingediend bij openbare kalenderservers en samengevoegd in de Bitcoin-blockchain — er is geen account, geen kosten, geen centrale autoriteit om te vertrouwen. Alle drie de bovenstaande controles zijn pure berekeningen aan de clientzijde.

Als een controle mislukt, open dan de licentiepagina voor het contactkanaal. Dit duidt meestal op een anomalie in de Netlify CDN-cache tijdens implementatie in plaats van manipulatie — maar de fout is hoe dan ook het melden waard.