<340 ns Per beslutning
<600 ps Logisk op.
2.9M/sec Gennemløb
On-premise nativt Ingen cloud-kørsel

Teknisk arkitekturnotat — Version 1.0

Status Kontrolleret offentlig artefakt
Version 1.0
Udgivelsesdato 2026-02-17
Jurisdiktion Schweiz
Omfang Demonstrationsgrænse

Problembeskrivelse

Konventionelle autorisationssystemer anvender probabilistisk inferens, scorebaserede tærskler eller heuristisk klassifikation til at producere beslutninger. Disse tilgange introducerer tvetydighed på beslutningspunktet, hvilket gør det strukturelt umuligt at garantere deterministiske udfald under fjendtlige eller ufuldstændige forhold. Arkitekturen beskrevet i dette dokument anvender en indeterminacy-first-tilgang: systemet er designet til at producere en formelt afgrænset beslutning — inklusiv en eksplicit indeterminate-tilstand — for hvert input. Dette eliminerer den klasse af fejl, der opstår fra tvungen binær opløsning, og sikrer, at hver beslutning er sporbar, genafspillelig og bevisbundet. Arkitekturen infererer ikke hensigt, forudsiger ikke udfald og interpolerer ikke manglende beviser. Den evaluerer udelukkende det, der præsenteres, inden for formelt erklærede grænser.

Formelle invarianter

De følgende fem invarianter er arkitektoniske begrænsninger håndhævet på hvert lag i systemet. De er ikke konfigurerbare, ikke valgfrie og ikke underlagt runtime-tilsidesættelse.

1. Ingen probabilistisk inferens

  • Definition: Systemet anvender ikke maskinlæring, statistisk scoring, bayesiansk inferens eller nogen form for probabilistisk ræsonnement i sin beslutningssti.
  • Garanti: Hver beslutning produceres ved deterministisk evaluering af eksplicit erklærede politikregler mod præsenterede beviser.
  • Grænse: Eksterne systemer, der leverer data til platformen, kan anvende probabilistiske metoder; denne invariant gælder udelukkende for beslutningsevalueringsstien.

2. Bevisbundet udtrækning

  • Definition: Ingen beslutning kan produceres uden en komplet bevisregistrering. Systemet fabrikerer, antager eller standardiserer ikke manglende bevisfelter.
  • Garanti: Hvert beslutningsoutput ledsages af et kryptografisk knyttet bevissæt, der var til stede på evalueringstidspunktet.
  • Grænse: Bevisfuldstændighed defineres af politikskemaet. Systemet validerer ikke bevisernes sandhedsværdi — kun deres strukturelle tilstedeværelse og formatkonformitet.

3. Deterministisk genafspilbarhed

  • Definition: Givet den samme politikversion og det samme bevissæt skal systemet producere det identiske beslutningsoutput ved hver eksekvering.
  • Garanti: Beslutningsgenafspilning er en førsterangs revisionskapacitet. Enhver historisk beslutning kan genevalueres med sine originale input for at verificere konsistens.
  • Grænse: Genafspilbarhed forudsætter uforanderlig politikversionering. Hvis en politikversion ændres på stedet (en overtrædelse af driftsprotokol), gælder genafspilningsgarantierne ikke.

4. Ikke-selveksekverende arkitektur

  • Definition: Systemet producerer beslutninger, men håndhæver dem ikke. Det har ingen kapacitet til at eksekvere handlinger, ændre eksterne systemer eller udløse downstream-effekter selvstændigt.
  • Garanti: Beslutningsoutputtet er en rådgivende artefakt. Håndhævelse delegeres altid til det kaldende system, som bevarer fuld kontrol over handlingseksekvering.
  • Grænse: Integrationsmønstre kan automatisere handling baseret på beslutningsoutput. Sådan automatisering er ekstern i forhold til arkitekturen og uden for denne invariants omfang.

5. Grænse for menneskelig tilsidesættelse

  • Definition: Hver beslutning produceret af systemet er underlagt menneskelig gennemgang og tilsidesættelse. Arkitekturen inkluderer ingen sti, der omgår menneskelig autoritet.
  • Garanti: Tilsidesættelseshændelser registreres i den samme append-only hovedbog som originale beslutninger, hvilket bevarer den fulde revisionskæde inklusiv identiteten og begrundelsen for tilsidesættelsen.
  • Grænse: Platformen leverer mekanismen til registrering af tilsidesættelser. Organisatoriske politikker for, hvornår tilsidesættelser er tilladt, ligger uden for systemets omfang.

Definition af deterministisk garanti

En beslutning betragtes som deterministisk, hvis og kun hvis alle følgende betingelser er opfyldt:

  • Politikversionen anvendt til evaluering er uforanderlig og versionslåst på forespørgselstidspunktet.
  • Bevissættet er komplet som defineret af politikskemaet, uden felter der er infereret eller standardiseret.
  • Evalueringsfunktionen indeholder ingen sideeffekter, ingen eksterne kald og ingen tilfældige input.
  • Outputtet er én af præcis tre tilstande: ALLOW, DENY eller INDETERMINATE.
  • Det komplette input-output-par registreres i en append-only hovedbog og er tilgængeligt til uafhængig genafspilningsverifikation.

Demonstrationsgrænse-klausul

Denne artefakt beskriver arkitekturen som implementeret i et kontrolleret demonstrationsmiljø. Den repræsenterer ikke en produktionsimplementering, et certificeret system eller en kommercielt drevet tjeneste. Demonstrationsmiljøet opererer med syntetiske data, begrænsede belastningsforhold og begrænset lejeromfang. Der fremsættes ingen påstande vedrørende skalerbarhed, tilgængelighed eller regulatorisk certificering af den beskrevne arkitektur. Organisationer, der evaluerer dette system til operationel implementering, skal gennemføre deres egen uafhængige vurdering af egnethed til formålet.

Integritetsfingeraftryk

SHA-256-integritetsfingeraftrykket vil blive offentliggjort sammen med den signerede PDF-artefakt. Kontakt ingeniørteamet for at modtage den signerede version under NDA.

Kontakt teamet

Anmod om fuld artefakt

Modtag det komplette tekniske arkitekturnotat som et portabelt dokument under NDA.

Anmod om PDF