Coffre-fort immuable
Rien n'est jamais écrasé.
Tous les autres coffres-forts modifient sur place. Modifiez un mot de passe et l'ancien disparaît — aucun enregistrement de son existence, aucun moyen de prouver ce qui était vrai mardi dernier. Clavitor n'écrase pas. Chaque modification écrit une nouvelle révision. L'historique est conservé. L'enregistrement est complet.
Ajout uniquement, jusqu'au bout.
Un identifiant dans Clavitor n'est pas une ligne que vous modifiez. C'est une pile de révisions. Mettez à jour un mot de passe et le coffre-fort insère une nouvelle version — il ne touche jamais à l'ancienne. La dernière révision est la valeur actuelle ; chaque révision précédente est toujours là, intacte, dans l'ordre.
01 — Écrire
Une nouvelle révision, à chaque fois
Chaque mise à jour est une INSERTION, jamais une MISE À JOUR. L'entrée conserve une identité stable ; le numéro de version augmente. Lire un identifiant renvoie la version la plus élevée — la même valeur que vous attendriez — tandis que chaque version précédente reste exactement telle qu'elle a été écrite.
02 — Conserver
Historique pour la durée de vie du coffre-fort
Les anciennes révisions sont conservées aussi longtemps que le coffre-fort existe. L'historique de rotation, la valeur avant la violation, le champ tel qu'il était à une date donnée — rien n'est rejeté. Le passé n'est pas un journal que vous espérez que quelqu'un a conservé. C'est la donnée elle-même.
03 — Supprimer
Une pierre tombale, pas un effacement
Supprimer un identifiant écrit une révision supplémentaire qui le marque comme disparu. L'entrée cesse de se résoudre — mais l'enregistrement de son existence, et de quand il a été supprimé, demeure. Une suppression que vous pouvez prouver vaut plus qu'une suppression qui ne laisse aucune trace.
Pourquoi c'est important
Les questions auxquelles un coffre-fort mutable ne peut pas répondre.
Lorsque chaque modification détruit ce qui la précède, des classes entières de questions deviennent impossibles à répondre. L'immuabilité y répond par construction.
"Quelle était la clé le jour de l'incident ?"
Un secret mis en rotation disparaît généralement au moment où il est remplacé. Ici, la valeur qui était active pendant la période est toujours dans le coffre-fort, à sa version, avec l'horodatage qui le prouve. La criminalistique cesse d'être de l'archéologie.
"Qui a changé cela, et qu'est-ce que cela disait avant ?"
Chaque mise à jour, suppression, changement de portée et changement d'agent écrit un événement d'audit lié à la nouvelle révision. L'historique et l'enregistrement de qui l'a fait sont la même histoire, racontée de deux manières — et aucune ne peut être discrètement réécrite. Voir la piste d'audit inviolable →
"Pouvons-nous simplement annuler cela ?"
Une mauvaise rotation, une modification effectuée par inadvertance, un agent compromis qui a écrasé un champ — lorsque rien n'est détruit, récupérer la valeur précédente consiste à lire une version antérieure, pas à restaurer une sauvegarde en espérant qu'elle soit suffisamment récente.
"Quelque chose a-t-il changé pendant que nous ne regardions pas ?"
Cela ne peut pas changer silencieusement. Il n'y a pas de mutation sur place à manquer. L'état actuel est une révision avec un numéro, un auteur et un horodatage — et il en va de même pour chaque état qui l'a précédé.
Un principe, pour tout le coffre-fort.
L'immuabilité n'est pas une fonctionnalité ajoutée aux identifiants. C'est ainsi que chaque enregistrement dans Clavitor est construit. Vos entrées, le journal d'audit, les enregistrements de clés encapsulées, le contenu même de ces pages — tout est en ajout uniquement, tout de la même manière. Il n'y a aucun endroit dans le système où la vérité est écrasée.
Répliqué sans conflit
Parce qu'une révision est écrite une fois et jamais modifiée, la copier de l'autre côté de la planète est trivial : un curseur unidirectionnel avec un accusé de réception explicite lorsque la ligne arrive. Pas de modification à réconcilier, pas de conflit à résoudre, pas de "quelle copie est la bonne". Les données en ajout uniquement ont exactement un historique.
Chiffré, conservé — pas en clair, divulgué
L'historique conservé est chiffré au repos, exactement comme la valeur active, avec des clés qui n'atteignent jamais nos serveurs. Conserver le passé ne vous coûte rien en exposition : un disque volé contient du vieux et du nouveau texte chiffré, tous deux également illisibles. Comment le chiffrement fonctionne →
La seule exception
Nous documentons le seul endroit où nous écrivons sur place.
L'honnêteté fait partie de la conception. Il existe exactement un champ qui est écrit sur place plutôt qu'en tant que nouvelle révision : verified_at, le marqueur qui enregistre quand un identifiant a fonctionné pour la dernière fois. Il s'agit de métadonnées d'utilisation, pas d'un changement de contenu — il met donc à jour la dernière révision directement, et chaque marque est elle-même enregistrée dans le journal d'audit. Nous vous en parlons ici car une exception non documentée est ce qui rend une affirmation d'immuabilité creuse. C'est la seule.
Suppression, effectuée correctement.
L'ajout uniquement ne signifie pas que vous ne pouvez jamais être oublié. Cela signifie que l'oubli est délibéré, complet et consigné. Les pierres tombales par révision gèrent le cas courant. Lorsqu'un véritable effacement est requis — une demande RGPD, une fermeture de compte — la suppression concerne l'ensemble du coffre-fort et est irréversible, exécutée comme une opération délibérée, jamais un écrasement silencieux par champ. Vous n'êtes jamais modifié discrètement ; lorsque vous êtes supprimé, vous l'êtes intentionnellement et entièrement.
Un coffre-fort honnête conserve son historique.
L'immuabilité n'est que la moitié de l'histoire. L'autre moitié est l'enregistrement de qui a touché quoi — chaîné, témoigné et prouvable.