brahman

Author	SHA1	Message	Date
Sergio	7a0481962e	feat(brahman-net+handshake): swarm-level deny via libp2p block_list Optimizacion de seguridad: la denylist ya no espera al handshake brahman para rechazar — ahora se proyecta al block_list behaviour del swarm libp2p. Conexiones desde peers baneados son rechazadas ANTES del Noise handshake, ahorrando el round-trip TCP+Noise por cada intento denegado. brahman-net: - Nuevo behaviour block_list: allow_block_list::Behaviour<BlockedPeers> añadido al BrahmanBehaviour derivado. Default vacio. - Nuevos comandos BlockPeer / UnblockPeer en el enum interno. - API publica: BrahmanNet::block_peer / unblock_peer. Idempotentes. - Dep nueva: libp2p-allow-block-list 0.6 (sub-crate, no es feature de libp2p en 0.56). brahman_handshake::peer_policy: - PeerPolicy gana net: Arc<RwLock<Option<Arc<BrahmanNet>>>>. Default None preserva callers existentes. - Nuevo attach_to_net(net): sync inicial (block_peer por cada en deny) + guarda net para diff-sync en cada reload. - reload extendido: snapshot prev_deny ANTES de mutar inner. Tras mutar, sync_deny_to_swarm aplica block/unblock por cada added/removed. - Atomicidad preservada: si parse falla, sync no ocurre y la version anterior persiste tanto en policy como en block_list. ente-zero: tras setup_brahman_net + setup_brahman_policy, si AMBOS estan presentes -> policy.attach_to_net(net.clone()) con log informativo. Tests: 1 nuevo E2E swarm_level_deny_blocks_before_noise. A configura policy con deny + attach_to_net. Cliente baneado intenta connect_libp2p; en lugar del Unauthorized del handshake, ahora falla con error de transporte/stream o timeout — el dial nunca completa porque el swarm rechaza la conexion. 5 tests verdes en network_libp2p.rs. 31 tests totales en brahman- handshake + brahman-net. Trade-offs documentados: - Mas eficiente contra DoS (no consume CPU del Noise por peer baneado). - Misma fuente de verdad: PeerPolicy. Swarm es cache derivado, sync via diff en cada reload, sin drift posible. - El handshake-level gate sigue activo como segunda linea (defensa en profundidad si por bug/race un peer baneado pasa el block_list).	2026-05-09 15:44:03 +00:00
Sergio	2e6afd0973	feat(brahman-net+handshake): stop_providing automatico en cleanup Cierra el pendiente conocido del DHT: hasta ahora cuando una sesion con outputs cerraba (Farewell, EOF, error), el record que la anunciaba en el DHT seguia vivo hasta su TTL natural (~24h en kad default). Consumers remotos podian descubrir un peer "vivo" que ya no servia nada. Cambios: - BrahmanNet::stop_providing(key) (nuevo): contraparte simetrica de start_providing. Manda Command::StopProviding al swarm que llama kad.stop_providing(&key). Borra el record local al instante; replicas remotas siguen expirando por TTL (kad no expone retraccion cross-peer, simetrico al hecho de que start_providing tambien propaga eventualmente). - brahman_handshake::network::withdraw_outputs(net, card) (nuevo): contraparte de announce_outputs. Itera card.flow.output y llama net.stop_providing(flow_dht_key(...)) por cada uno. - server::cleanup: extrae la ResolvedCard removida del registro de sesiones (en lugar de descartarla) y, si config.net esta set, llama withdraw_outputs(net, &card) antes de broadcast_match_diffs. Tests: nuevo E2E dht_discovery_withdraws_on_session_cleanup: 1. A registra Card con flow.output = monad-list:json. 2. B descubre a A via find_remote_providers (assert before contains a_peer). 3. Cliente local de A hace farewell -> cleanup -> withdraw_outputs. 4. Espera a que la sesion salga del registro + 100ms para que el swarm procese el Command. 5. Nueva query desde B: after NO debe contener a_peer. 3 tests verdes en network_discovery.rs (positivo, negativo, withdraw). 18 tests totales en handshake + net.	2026-05-09 15:10:30 +00:00
Sergio	c164e9f422	feat(brahman-handshake): Fase 3 — trust remoto via firma Ed25519 Cuarto paso del plan "el encuentro entre Entes no se restringe a local". Cierra la falla de seguridad que dejaba la red P2P abierta: hasta ahora un atacante que pudiera dial-ar al multiaddr del Init podia registrar cualquier Card con cualquier label/flow. Fase 3 exige que el Hello via libp2p venga firmado con la misma keypair Ed25519 que produce el peer_id autenticado por Noise. Modelo de trust: - Local Unix: SO_PEERCRED del kernel autentica. Firma opcional pero verificada si presente (defensa en profundidad). - Remoto libp2p: firma obligatoria; public key del Hello debe derivar al peer_id autenticado por Noise. Si falta o no coincide -> HandshakeError::Unauthorized. Wire: - Hello.signature: Option<HelloSignature> (default None, backwards compat para path Unix). - HelloSignature { public_key: Vec<u8>, signature: Vec<u8> } — public_key en formato canonico libp2p (encode_protobuf), firma Ed25519 sobre (SIGNATURE_VERSION, WireCard, Option<WitInterface>) serializado postcard. Nuevo modulo signature: - sign_hello / verify_hello con SignatureError tipado. - 4 unit tests: roundtrip, peer mismatch, card tampered, sig flipped. Server: - Session<S> gana expected_peer: Option<PeerId>. - session_from_libp2p_stream(stream, peer) para path remoto; session_from_stream sin peer para Unix. - do_handshake exige firma + verifica peer match si expected_peer. Client: - connect_with_stream_signed(stream, card, wit, &Keypair) (nuevo). - connect_libp2p ahora requiere &Keypair (breaking change). BrahmanNet: - Almacena Arc<Keypair> internamente; expose keypair() accessor. Truco: ed25519::Keypair SI es Clone, se duplica para que swarm (Noise) y caller (signing) compartan identidad sin copiar bytes. - with_keypair rechaza no-Ed25519. Tests: 4 unit signature + 1 E2E negativo nuevo (libp2p_handshake_rejects_mismatched_signing_key) + E2E positivo ya pasaba con keypair correcta. 90+ tests verdes en brahman-handshake/brahman-net/brahman-card/minga-p2p. Lo que cierra: la cadena completa de discovery + connect + trust funciona cross-machine sin paths hardcodeados ni confianza implicita. Brahman-net es una malla publicamente dial-able CON autenticacion criptografica end-to-end. Pendientes futuros: stop_providing en cleanup, wire de Arje con ServerConfig.net configurado, allowlist/denylist de peers, persistencia de la keypair entre reboots.	2026-05-09 14:50:04 +00:00
Sergio	73dadbb166	feat(brahman-handshake): Fase 1 — handshake brahman sobre stream libp2p Segundo paso del plan "el encuentro entre Entes no se restringe a local". El protocolo brahman (Hello / HelloAck / Ping / Pong / MatchEvent / Farewell, frames postcard length-prefixed) ahora tambien viaja sobre streams libp2p de la malla brahman-net — el mismo Init acepta sesiones por Unix socket Y por libp2p indistintamente, y un consumer remoto puede dial-ar al multiaddr y completar handshake. Cambios: - Session<S> y Client<S> genericos: ambos dejan de estar atados a UnixStream y pasan a ser genericos sobre S: AsyncRead + AsyncWrite + Unpin + Send + 'static. El path Unix queda como Client = Client<UnixStream> (default generico). Constructores nuevos: Server::session_from_stream(stream), Client::connect_with_stream(stream, card, wit). - Refactor del post-handshake con split: tokio::select! sobre &mut self.stream requeria S: Sync indirectamente, y libp2p::Stream no es Sync. Reemplazado por tokio::io::split(stream) -> reader loop principal + writer task separada que drena el push channel. Writer compartido bajo Arc<Mutex<WriteHalf<S>>> para serializar Pong/Error inline con los MatchEvents pusheados. Cleanup garantizado en todas las ramas. La logica del post-handshake migra a funciones libres (run_post_handshake, handle_inbound_frame, cleanup, broadcast_match_diffs, do_handshake, register_session, validate_hello). - Nuevo modulo brahman-handshake::network: - BRAHMAN_HANDSHAKE_PROTOCOL = "/brahman/handshake/1.0.0" - LibP2pHandshakeStream = Compat<libp2p::Stream> - run_libp2p_accept_loop(server, net): accept loop que delega cada stream entrante a session_from_stream(stream.compat()). Sesiones libp2p y Unix conviven en el mismo Server — comparten broker, push table, last_matches. - connect_libp2p(net, peer, card, wit): abre stream libp2p al peer y arranca handshake. - NetworkError tipado. Deps: brahman-handshake gana brahman-net, futures, tokio-util. brahman-net re-exporta Multiaddr, PeerId, Stream, StreamProtocol, Protocol, OpenStreamError para que callers no necesiten dep directa a libp2p. Tests: 9 verdes en el path Unix (sin regresion). Nuevo tests/network_libp2p.rs E2E que arma server con BrahmanNet, hace listen TCP, monta accept loop; cliente con su propio BrahmanNet dial-ea al peer_id, completa handshake remoto, ping, farewell. Verifica que la sesion se registro durante la conversacion y se removio tras farewell.	2026-05-09 12:51:43 +00:00
Sergio	ad0d475a2e	feat(brahman-net): capa P2P compartida — Fase 0 (extracción del swarm) Primer paso del plan "el encuentro entre Entes no se restringe a local". El swarm libp2p que vivía dentro de minga-p2p::network (282 LOC) sale a una crate compartida brahman-net para que cualquier protocolo de la familia (handshake brahman remoto en Fase 1, sync minga, futuros) reuse una sola malla TCP+Noise+Yamux+Kad+Identify+Stream. BrahmanNet expone: - new() / with_keypair() para identidad efimera o persistente - API de comandos uniforme: dial, listen, add_dht_peer, find_closest_peers, start_providing, find_providers - Publica peer_id (libp2p) y control (stream::Control) — cada protocolo registra su StreamProtocol sin acoplarse al swarm - Re-exporta Stream y StreamProtocol para evitar dep directa a libp2p minga-p2p::network reduce de 282 LOC a 22: re-export del nuevo BrahmanNet bajo el alias historico LibP2pNode (zero churn en MingaPeer) y la const SYNC_PROTOCOL = "/minga/sync/1.0.0" especifica del sub-protocolo de sync Minga. Aclaracion semantica anclada por el usuario: Arje es el init (PID 1), Brahman es el encuentro entre Entes. El nombre brahman-net refleja que la malla pertenece al encuentro, no al runtime — Minga es un cliente de la malla, no su dueño. Tests: minga-p2p completo verde (58 tests, sin regresion). Behavior identico — solo se movio codigo, ningun cambio funcional.	2026-05-09 12:29:16 +00:00

5 Commits