단일 동사 커널 내의 객체, 이력 및 트랜잭션 전송

객체-권한 (object-capability) 시스템, 스마트 컨트랙트 (smart-contract) 플랫폼, 분산 액터 (distributed actors), 그리고 이벤트 소싱 (event-sourced) 아키텍처 전반에 걸친 다자간 객체 조정 (Multi-party object coordination)은 여섯 가지 구조적 속성에 의해 형성됩니다: 인증된 출처 (authenticated provenance), 불투명한 캡슐화 (opaque encapsulation), 원자적 다중 객체 커밋 (atomic multi-object commit), 결정론적 재생 (deterministic replay), 불변의 이력 (immutable history), 그리고 이력 유도 상태 (history-derived state). 기존 시스템들은 별도의 계층화된 메커니즘 (RPC, 권한 ACL, 트랜잭션 코디네이터, 이벤트 저널, vat 경계)을 통해 이들의 하위 집합을 구성하며, 각 계층은 충분히 연구되었으나 이들의 조합은 취약합니다. 우리는 이들을 공동으로 호환되게 만드는 최소한의 커널 (minimal kernel)을 제시합니다. 우리의 커널은 s-표현식 (s-expressions), 균일한 'send' 인터페이스, 트랜잭션, 그리고 하나의 원시적인 객체 구분인 일시적 (ephemeral) (호출자의 컨텍스트 상속) 대 지속적 (persistent) (컨텍스트가 대상의 커널 할당 ID 및 추가 전용 로그로 전환됨)을 기반으로 구축되었습니다. 커널은 호출자의 입력 없이 모든 send 대상을 여섯 가지 사례 중 하나로 구조적으로 분류합니다 — 즉, 균일한 호출자 인터페이스와 의도적인 커널 디스패치 (intensional kernel dispatch)를 제공합니다. 커널 충실 신뢰 (kernel-faithful trust, 커널이 명시된 대로 자신의 의미론을 실행함) 하에서, 이 설계는 임의의 프로그램에 대해 여섯 가지 속성 모두를 커널 수준에서 유지합니다 — 커널의 전이 함수 (transition function)는 이를 위반하는 상태를 거부합니다. 운영자에 대한 불투명성 (Opacity against the operator)은 추가적으로 운영자 충실 신뢰 (operator-faithful trust, 운영자가 'recall'을 통해서만 로그에 접근하며 트랜잭션을 검열하거나 재정렬하지 않음)를 요구합니다; 커널 충실 신뢰만 있는 경우, 여섯 가지 보장 중 다섯 가지가 제약 없는 운영자 하에서도 생존합니다. 추가 전용 로그 (Append-only logs)는 불변성, 재생, 그리고 이력 유도 상태의 근간이 됩니다; 커널이 제어하는 지속적 디스패치는 인증된 출처와 불투명성을 제공하며; 트랜잭션은 원자적 조정을 전달합니다. 운영자 적대적 (Operator-adversarial) 배포는 암호화 컴파일러 (cryptographic compiler)를 통해 구현될 수 있습니다.