Fase 4: Onboarding de Nos Institucionais

2026-02-15

Uma rede P2P composta apenas por individuos e fragil. Discos rigidos morrem, -celulares sao perdidos, pessoas perdem interesse. A sobrevivencia a longo prazo -das memorias da humanidade depende de instituicoes — bibliotecas, arquivos, -museus, universidades — que medem seus tempos de vida em seculos. A Fase 4 -continua com o onboarding de nos institucionais: organizacoes verificadas agora -podem prometer armazenamento, manter indices de busca e participar da rede com -uma identidade distinta.

O design segue um principio de confiar mas verificar: instituicoes se -identificam via registros DNS TXT (o mesmo mecanismo usado por SPF, DKIM e DMARC -para email), prometem um orcamento de armazenamento e recebem isencoes de -reciprocidade para que possam armazenar fragmentos para outros sem esperar nada -em troca. Em contrapartida, a rede trata seus fragmentos como replicas de maior -qualidade e limita a dependencia excessiva de qualquer instituicao individual -atraves de restricoes de diversidade.

O que foi construido

Bits de capacidade (tesseras-core/src/network.rs) — Dois novos flags -adicionados ao bitfield Capabilities: INSTITUTIONAL (bit 7) e SEARCH_INDEX -(bit 8). Um novo construtor institutional_default() retorna o conjunto -completo de capacidades da Fase 2 mais esses dois bits e RELAY. Nos normais -anunciam phase2_default() que nao inclui flags institucionais. Testes de -roundtrip de serializacao verificam que os novos bits sobrevivem a codificacao -MessagePack.

Tipos de busca (tesseras-core/src/search.rs) — Tres novos tipos de dominio -para o subsistema de busca:

SearchFilters — parametros de consulta: memory_type, visibility, -language, date_range, geo (bounding box), page, page_size
SearchHit — um resultado individual: hash do conteudo mais um -MetadataExcerpt (titulo, descricao, tipo de memoria, data de criacao, -visibilidade, idioma, tags)
GeoFilter — bounding box com min_lat, max_lat, min_lon, max_lon para -consultas espaciais

Todos os tipos derivam Serialize/Deserialize para transporte e -Clone/Debug para diagnostico.

Configuracao institucional do daemon (tesd/src/config.rs) — Uma nova secao -[institutional] no TOML com domain (o dominio DNS a verificar), -pledge_bytes (compromisso de armazenamento em bytes) e search_enabled -(toggle para o indice FTS5). O metodo to_dht_config() agora define -Capabilities::institutional_default() quando a configuracao institucional esta -presente, para que nos institucionais anunciem os bits de capacidade corretos em -respostas Pong.

Verificacao DNS TXT (tesd/src/institutional.rs) — Resolucao DNS assincrona -usando hickory-resolver para verificar identidade institucional. O daemon -consulta registros TXT em _tesseras.<dominio> e analisa campos chave-valor: -v (versao), node (node ID em hexadecimal) e pledge (compromisso de -armazenamento em bytes). A verificacao checa:

Um registro TXT existe em _tesseras.<dominio>
O campo node corresponde ao node ID do proprio daemon
O campo pledge esta presente e e valido

Na inicializacao, o daemon tenta a verificacao DNS. Se bem-sucedida, o no roda -com capacidades institucionais. Se falhar, o no registra um aviso e faz -downgrade para um no completo normal — sem crash, sem intervencao manual.

Comando CLI de setup (tesseras-cli/src/institutional.rs) — Um novo -subcomando institutional setup que guia operadores pelo onboarding:

Le a identidade do no a partir do diretorio de dados
Solicita nome de dominio e tamanho do pledge
Gera o registro DNS TXT exato a adicionar: -v=tesseras1 node=<hex> pledge=<bytes>
Escreve a secao institucional no arquivo de configuracao do daemon
Imprime os proximos passos: adicionar o registro TXT, reiniciar o daemon

Indice de busca SQLite (tesseras-storage) — Uma migracao -(003_institutional.sql) que cria tres estruturas:

search_content — uma tabela virtual FTS5 para busca full-text sobre -metadados de tesseras (titulo, descricao, criador, tags, idioma)
geo_index — uma tabela virtual R-tree para consultas espaciais de bounding -box sobre latitude/longitude
geo_map — uma tabela de mapeamento ligando IDs de linhas do R-tree a hashes -de conteudo

O adaptador SqliteSearchIndex implementa o port trait SearchIndex com -index_tessera() (inserir/atualizar) e search() (consultar com filtros). -Consultas FTS5 suportam busca em linguagem natural; consultas geo usam -INTERSECT do R-tree para lookups de bounding box. Resultados sao ranqueados -por score de relevancia do FTS5.

A migracao tambem adiciona uma coluna is_institutional a tabela reciprocity, -tratada de forma idempotente via checagens pragma_table_info (o -ALTER TABLE ADD COLUMN do SQLite nao tem IF NOT EXISTS).

Bypass de reciprocidade (tesseras-replication/src/service.rs) — Nos -institucionais sao isentos de checagens de reciprocidade. Quando -receive_fragment() e chamado, se o node ID do remetente esta marcado como -institucional no ledger de reciprocidade, a checagem de saldo e ignorada -completamente. Isso significa que instituicoes podem armazenar fragmentos para -toda a rede sem precisar "ganhar" creditos primeiro — sua identidade verificada -por DNS e compromisso de armazenamento servem como credencial.

Restricao de diversidade por tipo de no -(tesseras-replication/src/distributor.rs) — Uma nova funcao -apply_institutional_diversity() limita quantas replicas de uma unica tessera -podem ir para nos institucionais. O limite e ceil(fator_replicacao / 3.5) — -com o padrao r=7, no maximo 2 de 7 replicas vao para instituicoes. Isso impede -que a rede se torne dependente de um pequeno numero de grandes instituicoes: se -os servidores de uma universidade cairem, pelo menos 5 replicas permanecem em -nos independentes.

Extensoes de mensagens DHT (tesseras-dht/src/message.rs) — Duas novas -variantes de mensagem:

- - - -

Mensagem	Proposito
`Search`	Cliente envia string de consulta, filtros e numero da pagina
`SearchResult`	No institucional responde com resultados e contagem total

A funcao encode() foi trocada de serializacao MessagePack posicional para -nomeada (rmp_serde::to_vec_named) para lidar corretamente com campos opcionais -de SearchFilters — a codificacao posicional quebra quando -skip_serializing_if omite campos.

Metricas Prometheus (tesd/src/metrics.rs) — Oito metricas especificas -institucionais:

tesseras_institutional_pledge_bytes — compromisso de armazenamento -configurado
tesseras_institutional_stored_bytes — bytes realmente armazenados
tesseras_institutional_pledge_utilization_ratio — razao armazenado/prometido
tesseras_institutional_peers_served — peers unicos que receberam fragmentos
tesseras_institutional_search_index_total — tesseras no indice de busca
tesseras_institutional_search_queries_total — consultas de busca recebidas
tesseras_institutional_dns_verification_status — 1 se verificado por DNS, 0 -caso contrario
tesseras_institutional_dns_verification_last — timestamp Unix da ultima -verificacao

Testes de integracao — Dois testes em -tesseras-replication/tests/integration.rs:

institutional_peer_bypasses_reciprocity — verifica que um peer institucional -com deficit massivo (-999.999 de saldo) ainda pode armazenar fragmentos, -enquanto um peer nao institucional com o mesmo deficit e rejeitado
institutional_node_accepts_fragment_despite_deficit — teste async completo -usando ReplicationService com DHT, fragment store, reciprocity ledger e blob -store mockados: envia um fragmento de um remetente institucional e verifica -que e aceito

322 testes passam em todo o workspace. Clippy limpo com -D warnings.

Decisoes de arquitetura

DNS TXT ao inves de PKI ou blockchain: DNS e universalmente implantado, -universalmente compreendido e ja usado para verificacao de dominio (SPF, DKIM, -Let's Encrypt). Instituicoes ja gerenciam DNS. Nenhuma autoridade -certificadora, nenhum token, nenhuma transacao on-chain — apenas um registro -TXT. Se uma instituicao perder controle de seu dominio, a verificacao -naturalmente falha na proxima checagem.
Degradacao graciosa em falha DNS: se a verificacao DNS falha na -inicializacao, o daemon faz downgrade para um no completo normal ao inves de -recusar iniciar. Isso previne incidentes operacionais — uma misconfiguracao -DNS nao deveria tirar um no do ar.
Limite de diversidade em ceil(r / 3.5): com r=7, no maximo 2 replicas -vao para instituicoes. Isso e conservador — garante que a rede nunca dependa -de instituicoes para quorum majoritario, enquanto ainda se beneficia de sua -capacidade de armazenamento e uptime.
Codificacao MessagePack nomeada: trocar de codificacao posicional para -nomeada adiciona ~15% de overhead por mensagem mas elimina uma classe de bugs -de serializacao quando campos opcionais estao presentes. O DHT nao e limitado -por largura de banda no nivel de mensagem, entao o tradeoff vale a pena.
Isencao de reciprocidade ao inves de concessao de creditos: ao inves de -dar as instituicoes um saldo inicial grande de creditos (que e arbitrario e -precisa de ajuste), isentamos completamente. Sua identidade verificada por DNS -e compromisso publico de armazenamento substituem o mecanismo de reciprocidade -bilateral.
FTS5 + R-tree no SQLite: busca full-text e indexacao espacial sao -embutidas no SQLite como extensoes carregaveis. Nenhum motor de busca externo -(Elasticsearch, Meilisearch) necessario. Isso mantem o deploy como um unico -binario com um unico arquivo de banco de dados — critico para operadores -institucionais que podem nao ter uma equipe de DevOps.

O que vem a seguir

Fase 4 continuacao — deduplicacao de armazenamento (armazenamento -enderecavel por conteudo com BLAKE3), auditorias de seguranca, empacotamento -para OS (Alpine, Arch, Debian, OpenBSD, FreeBSD)
Fase 5: Exploracao e Cultura — navegador publico de tesseras por -era/localizacao/tema/idioma, curadoria institucional, integracao genealogica -(FamilySearch, Ancestry), exportacao para midia fisica (M-DISC, microfilme, -papel livre de acido com QR), contexto assistido por IA

O onboarding institucional fecha uma lacuna critica no modelo de preservacao do -Tesseras. Nos individuais fornecem resiliencia de base — milhares de -dispositivos ao redor do globo, cada um armazenando alguns fragmentos. Nos -institucionais fornecem ancoragem — organizacoes com infraestrutura -profissional, armazenamento redundante e horizontes operacionais de multiplas -decadas. Juntos, formam uma rede onde memorias podem sobreviver tanto a -dispositivos individuais quanto a instituicoes individuais.

- -