soulprint-core 0.1.1 → 0.1.3

package/dist/index.d.ts

@@ -3,10 +3,43 @@ export interface SoulprintKeypair {
     publicKey: Uint8Array;
     privateKey: Uint8Array;
 }
+/**
+ * Una attestation es un +1 o -1 emitido por un servicio verificado
+ * contra el DID de un bot específico.
+ *
+ * Solo servicios con score >= 60 pueden emitir attestations válidas.
+ * La firma Ed25519 vincula la attestation al DID del emisor.
+ */
+export interface BotAttestation {
+    issuer_did: string;
+    target_did: string;
+    value: 1 | -1;
+    context: string;
+    timestamp: number;
+    sig: string;
+}
+/**
+ * Snapshot de reputación de un bot — se incluye en el SPT como campo `bot_rep`.
+ *
+ * score: 0-20 (empieza en 10 — neutral)
+ *   +1 por cada attestation positiva recibida de servicio verificado
+ *   -1 por cada attestation negativa
+ *   Clamped: nunca < 0 ni > 20
+ *
+ * Sin identidad humana: el bot puede tener hasta 20 puntos sólo por reputación.
+ * Con identidad humana: identidad (0-80) + reputación (0-20) = 100 total.
+ */
+export interface BotReputation {
+    score: number;
+    attestations: number;
+    last_updated: number;
+}
 export interface SoulprintToken {
     sip: "1";
     did: string;
     score: number;
+    identity_score: number;
+    bot_rep: BotReputation;
     level: TrustLevel;
     country?: string;
     credentials: CredentialType[];
@@ -18,54 +51,52 @@ export interface SoulprintToken {
 }
 export type TrustLevel = "Unverified" | "EmailVerified" | "PhoneVerified" | "KYCLite" | "KYCFull";
 export type CredentialType = "EmailVerified" | "PhoneVerified" | "GitHubLinked" | "DocumentVerified" | "FaceMatch" | "BiometricBound";
-/**
- * Genera un keypair Ed25519 y construye un did:key
- * El DID es portable — mismo keypair = mismo DID en cualquier dispositivo
- */
 export declare function generateKeypair(): SoulprintKeypair;
-/**
- * Reconstruye el keypair desde una llave privada guardada
- */
 export declare function keypairFromPrivateKey(privateKey: Uint8Array): SoulprintKeypair;
-/**
- * Deriva el nullifier desde datos del documento + embedding de cara cuantizado.
- * Determinístico: mismo documento + misma cara = mismo nullifier en cualquier dispositivo.
- * Resistente a Sybil: misma cédula no puede generar dos nullifiers distintos
- * si el face embedding se mantiene.
- *
- * @param cedulaNumber     Número de cédula colombiana
- * @param fechaNacimiento  YYYY-MM-DD
- * @param faceEmbedding    Float32Array (512 dims de InsightFace), cuantizado a 2 decimales
- */
 export declare function deriveNullifier(cedulaNumber: string, fechaNacimiento: string, faceEmbedding: Float32Array): string;
+export declare function quantizeEmbedding(embedding: Float32Array, precision: number): Float32Array;
+export declare function sign(payload: object, privateKey: Uint8Array): string;
+export declare function verify(payload: object, signature: string, did: string): boolean;
 /**
- * Cuantiza el embedding de cara para que pequeñas variaciones
- * entre fotos del mismo rostro produzcan el mismo resultado.
- * precision=2 → rounds to 0.01 increments
+ * Crea una attestation firmada desde un servicio verificado hacia un bot.
+ *
+ * @param serviceKeypair - Keypair del servicio que emite (ej: MCP de Uber)
+ * @param targetDid      - DID del bot que recibe la calificación
+ * @param value          - +1 buen comportamiento, -1 mal comportamiento
+ * @param context        - Descriptor: "payment-completed", "spam-detected", etc.
  */
-export declare function quantizeEmbedding(embedding: Float32Array, precision: number): Float32Array;
+export declare function createAttestation(serviceKeypair: SoulprintKeypair, targetDid: string, value: 1 | -1, context: string): BotAttestation;
 /**
- * Firma un payload con la llave privada del DID
+ * Verifica la firma de una attestation.
+ * Retorna false si la firma no coincide con el issuer_did.
  */
-export declare function sign(payload: object, privateKey: Uint8Array): string;
+export declare function verifyAttestation(att: BotAttestation): boolean;
 /**
- * Verifica una firma contra un DID did:key:...
+ * Aplica una lista de attestations verificadas a una reputación base.
+ * El score se clampea a [0, 20] y empieza en 10 (neutral).
+ *
+ * Solo attestations con firma válida son consideradas.
+ *
+ * @param attestations - Lista de attestations recibidas
+ * @param base         - Score inicial (default: 10)
  */
-export declare function verify(payload: object, signature: string, did: string): boolean;
+export declare function computeReputation(attestations: BotAttestation[], base?: number): BotReputation;
 /**
- * Crea un Soulprint Token (SPT) firmado — el JWT de Soulprint.
- * Lifetime por defecto: 24 horas.
+ * Reputación neutral por defecto — para bots sin historial.
  */
+export declare function defaultReputation(): BotReputation;
 export declare function createToken(keypair: SoulprintKeypair, nullifier: string, credentials: CredentialType[], options?: {
     lifetimeSeconds?: number;
     country?: string;
     zkProof?: string;
+    bot_rep?: BotReputation;
 }): string;
-/**
- * Decodifica y verifica un SPT. Retorna null si es inválido o expirado.
- */
 export declare function decodeToken(spt: string): (SoulprintToken & {
     sig: string;
 }) | null;
 export declare function calculateScore(credentials: CredentialType[]): number;
+/**
+ * Score total = identidad (0-80) + reputación bot (0-20) = 0-100
+ */
+export declare function calculateTotalScore(credentials: CredentialType[], botRep?: BotReputation): number;
 export declare function calculateLevel(credentials: CredentialType[]): TrustLevel;

package/dist/index.js

@@ -9,89 +9,56 @@ exports.deriveNullifier = deriveNullifier;
 exports.quantizeEmbedding = quantizeEmbedding;
 exports.sign = sign;
 exports.verify = verify;
+exports.createAttestation = createAttestation;
+exports.verifyAttestation = verifyAttestation;
+exports.computeReputation = computeReputation;
+exports.defaultReputation = defaultReputation;
 exports.createToken = createToken;
 exports.decodeToken = decodeToken;
 exports.calculateScore = calculateScore;
+exports.calculateTotalScore = calculateTotalScore;
 exports.calculateLevel = calculateLevel;
 const ed25519_1 = require("@noble/curves/ed25519");
 const sha256_1 = require("@noble/hashes/sha256");
 const utils_1 = require("@noble/curves/abstract/utils");
 const bs58_1 = __importDefault(require("bs58"));
 // ── DID generation ────────────────────────────────────────────────────────────
-/**
- * Genera un keypair Ed25519 y construye un did:key
- * El DID es portable — mismo keypair = mismo DID en cualquier dispositivo
- */
 function generateKeypair() {
     const privateKey = ed25519_1.ed25519.utils.randomPrivateKey();
     const publicKey = ed25519_1.ed25519.getPublicKey(privateKey);
     const did = publicKeyToDID(publicKey);
     return { did, publicKey, privateKey };
 }
-/**
- * Reconstruye el keypair desde una llave privada guardada
- */
 function keypairFromPrivateKey(privateKey) {
     const publicKey = ed25519_1.ed25519.getPublicKey(privateKey);
     const did = publicKeyToDID(publicKey);
     return { did, publicKey, privateKey };
 }
-/**
- * did:key format: did:key:z6Mk<base58btc(0xed01 + publicKey)>
- * 0xed01 = multicodec prefix para Ed25519
- */
 function publicKeyToDID(publicKey) {
     const multicodec = new Uint8Array([0xed, 0x01, ...publicKey]);
     const encoded = bs58_1.default.encode(multicodec);
     return `did:key:z${encoded}`;
 }
 // ── Nullifier ─────────────────────────────────────────────────────────────────
-/**
- * Deriva el nullifier desde datos del documento + embedding de cara cuantizado.
- * Determinístico: mismo documento + misma cara = mismo nullifier en cualquier dispositivo.
- * Resistente a Sybil: misma cédula no puede generar dos nullifiers distintos
- * si el face embedding se mantiene.
- *
- * @param cedulaNumber     Número de cédula colombiana
- * @param fechaNacimiento  YYYY-MM-DD
- * @param faceEmbedding    Float32Array (512 dims de InsightFace), cuantizado a 2 decimales
- */
 function deriveNullifier(cedulaNumber, fechaNacimiento, faceEmbedding) {
-    // Cuantizar embedding para absorber ruido entre fotos del mismo rostro
     const quantized = quantizeEmbedding(faceEmbedding, 2);
-    // Combinar datos estables del documento con la llave biométrica
     const input = `${cedulaNumber}:${fechaNacimiento}:${float32ToHex(quantized)}`;
-    // Hash final — 32 bytes = 256 bits de seguridad
     const hash = (0, sha256_1.sha256)(new TextEncoder().encode(input));
     return "0x" + (0, utils_1.bytesToHex)(hash);
 }
-/**
- * Cuantiza el embedding de cara para que pequeñas variaciones
- * entre fotos del mismo rostro produzcan el mismo resultado.
- * precision=2 → rounds to 0.01 increments
- */
 function quantizeEmbedding(embedding, precision) {
     const factor = Math.pow(10, precision);
     return new Float32Array(embedding.map(v => Math.round(v * factor) / factor));
 }
 function float32ToHex(arr) {
-    return Array.from(arr).map(v => {
-        // Representación fija de 4 decimales para consistencia cross-platform
-        return v.toFixed(2).replace("-", "n").replace(".", "p");
-    }).join(",");
+    return Array.from(arr).map(v => v.toFixed(2).replace("-", "n").replace(".", "p")).join(",");
 }
 // ── Firmas ────────────────────────────────────────────────────────────────────
-/**
- * Firma un payload con la llave privada del DID
- */
 function sign(payload, privateKey) {
     const msg = (0, sha256_1.sha256)(new TextEncoder().encode(JSON.stringify(payload)));
     const sig = ed25519_1.ed25519.sign(msg, privateKey);
     return (0, utils_1.bytesToHex)(sig);
 }
-/**
- * Verifica una firma contra un DID did:key:...
- */
 function verify(payload, signature, did) {
     try {
         const publicKey = didToPublicKey(did);
@@ -107,19 +74,73 @@ function didToPublicKey(did) {
         throw new Error("Solo did:key:z... soportado");
     const encoded = did.replace("did:key:z", "");
     const multicodec = bs58_1.default.decode(encoded);
-    return multicodec.slice(2); // saltar 0xed 0x01
+    return multicodec.slice(2);
+}
+// ── Bot Reputation — Attestations ─────────────────────────────────────────────
+/**
+ * Crea una attestation firmada desde un servicio verificado hacia un bot.
+ *
+ * @param serviceKeypair - Keypair del servicio que emite (ej: MCP de Uber)
+ * @param targetDid      - DID del bot que recibe la calificación
+ * @param value          - +1 buen comportamiento, -1 mal comportamiento
+ * @param context        - Descriptor: "payment-completed", "spam-detected", etc.
+ */
+function createAttestation(serviceKeypair, targetDid, value, context) {
+    const payload = {
+        issuer_did: serviceKeypair.did,
+        target_did: targetDid,
+        value,
+        context,
+        timestamp: Math.floor(Date.now() / 1000),
+    };
+    const sig = sign(payload, serviceKeypair.privateKey);
+    return { ...payload, sig };
+}
+/**
+ * Verifica la firma de una attestation.
+ * Retorna false si la firma no coincide con el issuer_did.
+ */
+function verifyAttestation(att) {
+    const { sig, ...payload } = att;
+    return verify(payload, sig, att.issuer_did);
+}
+/**
+ * Aplica una lista de attestations verificadas a una reputación base.
+ * El score se clampea a [0, 20] y empieza en 10 (neutral).
+ *
+ * Solo attestations con firma válida son consideradas.
+ *
+ * @param attestations - Lista de attestations recibidas
+ * @param base         - Score inicial (default: 10)
+ */
+function computeReputation(attestations, base = 10) {
+    const valid = attestations.filter(verifyAttestation);
+    const delta = valid.reduce((sum, a) => sum + a.value, 0);
+    const score = Math.max(0, Math.min(20, base + delta));
+    return {
+        score,
+        attestations: valid.length,
+        last_updated: Math.floor(Date.now() / 1000),
+    };
 }
-// ── SPT Token ─────────────────────────────────────────────────────────────────
 /**
- * Crea un Soulprint Token (SPT) firmado — el JWT de Soulprint.
- * Lifetime por defecto: 24 horas.
+ * Reputación neutral por defecto — para bots sin historial.
  */
+function defaultReputation() {
+    return { score: 10, attestations: 0, last_updated: Math.floor(Date.now() / 1000) };
+}
+// ── SPT Token ─────────────────────────────────────────────────────────────────
 function createToken(keypair, nullifier, credentials, options = {}) {
     const now = Math.floor(Date.now() / 1000);
+    const identity_s = calculateScore(credentials);
+    const botRep = options.bot_rep ?? defaultReputation();
+    const total_score = Math.min(100, identity_s + botRep.score);
     const payload = {
         sip: "1",
         did: keypair.did,
-        score: calculateScore(credentials),
+        score: total_score,
+        identity_score: identity_s,
+        bot_rep: botRep,
         level: calculateLevel(credentials),
         country: options.country,
         credentials,
@@ -132,9 +153,6 @@ function createToken(keypair, nullifier, credentials, options = {}) {
     const tokenData = { ...payload, sig: signature };
     return Buffer.from(JSON.stringify(tokenData)).toString("base64url");
 }
-/**
- * Decodifica y verifica un SPT. Retorna null si es inválido o expirado.
- */
 function decodeToken(spt) {
     try {
         const raw = JSON.parse(Buffer.from(spt, "base64url").toString());
@@ -150,19 +168,30 @@ function decodeToken(spt) {
     }
 }
 // ── Trust Score ───────────────────────────────────────────────────────────────
+/**
+ * Puntajes de credenciales humanas — escalados a 80 puntos máximo.
+ * Los 20 puntos restantes vienen de BotReputation.
+ * Total máximo: 80 (identidad) + 20 (reputación) = 100.
+ */
 const CREDENTIAL_SCORES = {
-    EmailVerified: 10,
-    PhoneVerified: 15,
-    GitHubLinked: 20,
-    DocumentVerified: 25,
-    FaceMatch: 20,
-    BiometricBound: 10,
+    EmailVerified: 8, // antes: 10
+    PhoneVerified: 12, // antes: 15
+    GitHubLinked: 16, // antes: 20
+    DocumentVerified: 20, // antes: 25
+    FaceMatch: 16, // antes: 20
+    BiometricBound: 8, // antes: 10
+    // Total máximo: 80
 };
 function calculateScore(credentials) {
     return credentials.reduce((sum, c) => sum + (CREDENTIAL_SCORES[c] ?? 0), 0);
 }
+/**
+ * Score total = identidad (0-80) + reputación bot (0-20) = 0-100
+ */
+function calculateTotalScore(credentials, botRep = defaultReputation()) {
+    return Math.min(100, calculateScore(credentials) + botRep.score);
+}
 function calculateLevel(credentials) {
-    const score = calculateScore(credentials);
     const has = (c) => credentials.includes(c);
     if (has("DocumentVerified") && has("FaceMatch"))
         return "KYCFull";

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "soulprint-core",
-  "version": "0.1.1",
+  "version": "0.1.3",
   "description": "Soulprint core — DID keypairs, SPT tokens, Ed25519 signatures, trust scoring",
   "main": "dist/index.js",
   "types": "dist/index.d.ts",