Fase 4: Onboarding de Nos Institucionais

2026-02-15

Uma rede P2P composta apenas por individuos e fragil. Discos rigidos morrem, celulares sao perdidos, pessoas perdem interesse. A sobrevivencia a longo prazo das memorias da humanidade depende de instituicoes — bibliotecas, arquivos, museus, universidades — que medem seus tempos de vida em seculos. A Fase 4 continua com o onboarding de nos institucionais: organizacoes verificadas agora podem prometer armazenamento, manter indices de busca e participar da rede com uma identidade distinta.

O design segue um principio de confiar mas verificar: instituicoes se identificam via registros DNS TXT (o mesmo mecanismo usado por SPF, DKIM e DMARC para email), prometem um orcamento de armazenamento e recebem isencoes de reciprocidade para que possam armazenar fragmentos para outros sem esperar nada em troca. Em contrapartida, a rede trata seus fragmentos como replicas de maior qualidade e limita a dependencia excessiva de qualquer instituicao individual atraves de restricoes de diversidade.

O que foi construido

Bits de capacidade (tesseras-core/src/network.rs) — Dois novos flags adicionados ao bitfield Capabilities: INSTITUTIONAL (bit 7) e SEARCH_INDEX (bit 8). Um novo construtor institutional_default() retorna o conjunto completo de capacidades da Fase 2 mais esses dois bits e RELAY. Nos normais anunciam phase2_default() que nao inclui flags institucionais. Testes de roundtrip de serializacao verificam que os novos bits sobrevivem a codificacao MessagePack.

Tipos de busca (tesseras-core/src/search.rs) — Tres novos tipos de dominio para o subsistema de busca:

SearchFilters — parametros de consulta: memory_type, visibility, language, date_range, geo (bounding box), page, page_size
SearchHit — um resultado individual: hash do conteudo mais um MetadataExcerpt (titulo, descricao, tipo de memoria, data de criacao, visibilidade, idioma, tags)
GeoFilter — bounding box com min_lat, max_lat, min_lon, max_lon para consultas espaciais

Todos os tipos derivam Serialize/Deserialize para transporte e Clone/Debug para diagnostico.

Configuracao institucional do daemon (tesd/src/config.rs) — Uma nova secao [institutional] no TOML com domain (o dominio DNS a verificar), pledge_bytes (compromisso de armazenamento em bytes) e search_enabled (toggle para o indice FTS5). O metodo to_dht_config() agora define Capabilities::institutional_default() quando a configuracao institucional esta presente, para que nos institucionais anunciem os bits de capacidade corretos em respostas Pong.

Verificacao DNS TXT (tesd/src/institutional.rs) — Resolucao DNS assincrona usando hickory-resolver para verificar identidade institucional. O daemon consulta registros TXT em _tesseras.<dominio> e analisa campos chave-valor: v (versao), node (node ID em hexadecimal) e pledge (compromisso de armazenamento em bytes). A verificacao checa:

Um registro TXT existe em _tesseras.<dominio>
O campo node corresponde ao node ID do proprio daemon
O campo pledge esta presente e e valido

Na inicializacao, o daemon tenta a verificacao DNS. Se bem-sucedida, o no roda com capacidades institucionais. Se falhar, o no registra um aviso e faz downgrade para um no completo normal — sem crash, sem intervencao manual.

Comando CLI de setup (tesseras-cli/src/institutional.rs) — Um novo subcomando institutional setup que guia operadores pelo onboarding:

Le a identidade do no a partir do diretorio de dados
Solicita nome de dominio e tamanho do pledge
Gera o registro DNS TXT exato a adicionar: v=tesseras1 node=<hex> pledge=<bytes>
Escreve a secao institucional no arquivo de configuracao do daemon
Imprime os proximos passos: adicionar o registro TXT, reiniciar o daemon

Indice de busca SQLite (tesseras-storage) — Uma migracao (003_institutional.sql) que cria tres estruturas:

search_content — uma tabela virtual FTS5 para busca full-text sobre metadados de tesseras (titulo, descricao, criador, tags, idioma)
geo_index — uma tabela virtual R-tree para consultas espaciais de bounding box sobre latitude/longitude
geo_map — uma tabela de mapeamento ligando IDs de linhas do R-tree a hashes de conteudo

O adaptador SqliteSearchIndex implementa o port trait SearchIndex com index_tessera() (inserir/atualizar) e search() (consultar com filtros). Consultas FTS5 suportam busca em linguagem natural; consultas geo usam INTERSECT do R-tree para lookups de bounding box. Resultados sao ranqueados por score de relevancia do FTS5.

A migracao tambem adiciona uma coluna is_institutional a tabela reciprocity, tratada de forma idempotente via checagens pragma_table_info (o ALTER TABLE ADD COLUMN do SQLite nao tem IF NOT EXISTS).

Bypass de reciprocidade (tesseras-replication/src/service.rs) — Nos institucionais sao isentos de checagens de reciprocidade. Quando receive_fragment() e chamado, se o node ID do remetente esta marcado como institucional no ledger de reciprocidade, a checagem de saldo e ignorada completamente. Isso significa que instituicoes podem armazenar fragmentos para toda a rede sem precisar "ganhar" creditos primeiro — sua identidade verificada por DNS e compromisso de armazenamento servem como credencial.

Restricao de diversidade por tipo de no (tesseras-replication/src/distributor.rs) — Uma nova funcao apply_institutional_diversity() limita quantas replicas de uma unica tessera podem ir para nos institucionais. O limite e ceil(fator_replicacao / 3.5) — com o padrao r=7, no maximo 2 de 7 replicas vao para instituicoes. Isso impede que a rede se torne dependente de um pequeno numero de grandes instituicoes: se os servidores de uma universidade cairem, pelo menos 5 replicas permanecem em nos independentes.

Extensoes de mensagens DHT (tesseras-dht/src/message.rs) — Duas novas variantes de mensagem:

Mensagem	Proposito
`Search`	Cliente envia string de consulta, filtros e numero da pagina
`SearchResult`	No institucional responde com resultados e contagem total

A funcao encode() foi trocada de serializacao MessagePack posicional para nomeada (rmp_serde::to_vec_named) para lidar corretamente com campos opcionais de SearchFilters — a codificacao posicional quebra quando skip_serializing_if omite campos.

Metricas Prometheus (tesd/src/metrics.rs) — Oito metricas especificas institucionais:

tesseras_institutional_pledge_bytes — compromisso de armazenamento configurado
tesseras_institutional_stored_bytes — bytes realmente armazenados
tesseras_institutional_pledge_utilization_ratio — razao armazenado/prometido
tesseras_institutional_peers_served — peers unicos que receberam fragmentos
tesseras_institutional_search_index_total — tesseras no indice de busca
tesseras_institutional_search_queries_total — consultas de busca recebidas
tesseras_institutional_dns_verification_status — 1 se verificado por DNS, 0 caso contrario
tesseras_institutional_dns_verification_last — timestamp Unix da ultima verificacao

Testes de integracao — Dois testes em tesseras-replication/tests/integration.rs:

institutional_peer_bypasses_reciprocity — verifica que um peer institucional com deficit massivo (-999.999 de saldo) ainda pode armazenar fragmentos, enquanto um peer nao institucional com o mesmo deficit e rejeitado
institutional_node_accepts_fragment_despite_deficit — teste async completo usando ReplicationService com DHT, fragment store, reciprocity ledger e blob store mockados: envia um fragmento de um remetente institucional e verifica que e aceito

322 testes passam em todo o workspace. Clippy limpo com -D warnings.

Decisoes de arquitetura

DNS TXT ao inves de PKI ou blockchain: DNS e universalmente implantado, universalmente compreendido e ja usado para verificacao de dominio (SPF, DKIM, Let's Encrypt). Instituicoes ja gerenciam DNS. Nenhuma autoridade certificadora, nenhum token, nenhuma transacao on-chain — apenas um registro TXT. Se uma instituicao perder controle de seu dominio, a verificacao naturalmente falha na proxima checagem.
Degradacao graciosa em falha DNS: se a verificacao DNS falha na inicializacao, o daemon faz downgrade para um no completo normal ao inves de recusar iniciar. Isso previne incidentes operacionais — uma misconfiguracao DNS nao deveria tirar um no do ar.
Limite de diversidade em ceil(r / 3.5): com r=7, no maximo 2 replicas vao para instituicoes. Isso e conservador — garante que a rede nunca dependa de instituicoes para quorum majoritario, enquanto ainda se beneficia de sua capacidade de armazenamento e uptime.
Codificacao MessagePack nomeada: trocar de codificacao posicional para nomeada adiciona ~15% de overhead por mensagem mas elimina uma classe de bugs de serializacao quando campos opcionais estao presentes. O DHT nao e limitado por largura de banda no nivel de mensagem, entao o tradeoff vale a pena.
Isencao de reciprocidade ao inves de concessao de creditos: ao inves de dar as instituicoes um saldo inicial grande de creditos (que e arbitrario e precisa de ajuste), isentamos completamente. Sua identidade verificada por DNS e compromisso publico de armazenamento substituem o mecanismo de reciprocidade bilateral.
FTS5 + R-tree no SQLite: busca full-text e indexacao espacial sao embutidas no SQLite como extensoes carregaveis. Nenhum motor de busca externo (Elasticsearch, Meilisearch) necessario. Isso mantem o deploy como um unico binario com um unico arquivo de banco de dados — critico para operadores institucionais que podem nao ter uma equipe de DevOps.

O que vem a seguir

Fase 4 continuacao — deduplicacao de armazenamento (armazenamento enderecavel por conteudo com BLAKE3), auditorias de seguranca, empacotamento para OS (Alpine, Arch, Debian, OpenBSD, FreeBSD)
Fase 5: Exploracao e Cultura — navegador publico de tesseras por era/localizacao/tema/idioma, curadoria institucional, integracao genealogica (FamilySearch, Ancestry), exportacao para midia fisica (M-DISC, microfilme, papel livre de acido com QR), contexto assistido por IA

O onboarding institucional fecha uma lacuna critica no modelo de preservacao do Tesseras. Nos individuais fornecem resiliencia de base — milhares de dispositivos ao redor do globo, cada um armazenando alguns fragmentos. Nos institucionais fornecem ancoragem — organizacoes com infraestrutura profissional, armazenamento redundante e horizontes operacionais de multiplas decadas. Juntos, formam uma rede onde memorias podem sobreviver tanto a dispositivos individuais quanto a instituicoes individuais.