第467章 照片指纹与“发生签名”（2 / 2）

周秘书长换个角度：“一线没有网络怎么办？现场信号差怎么办？你们又逼基层背锅。”

林远把RFC-022里一条早就写好的“离线缓冲”投出来——他知道这招一定会被拿来打：

离线发生包（Offle Evidence Pack）

允许在离线状态下采集，生成本地摘要与时间戳

网络恢复后24小时内补上传nonce绑定

若超时未绑定，则降级为M0（软媒体）

离线使用次数进入周报统计，防止被滥用当后门

“我们允许离线。”林远说，“但离线必须补链。补不上链，就别拿它当硬证据。”

数科副总想抓住“入口”来要权：“那采集入口我们来做，统一接入，省里省事。”

林远看着他：“入口你们可以做，但你们不能控制签名。签名仍然是省端密钥，双人授权，留痕可审计。入口是铲子，签名是地契，别混。”

银行何经理点头：“入口谁做不重要，重要的是签名权不在运维方。”

会议最后落成一个很清晰的结论：

M0自由，M1严格；不存内容，只存指纹；离线可用，但必须补链。

佛山那批照片：从“完美证据”降级成“软媒体”

规则出来，陈毅立刻对佛山那批补交照片跑“发生签名”校验。

结果毫不意外：全部是M0。

没有nonce绑定、没有attestation_hash、没有采集入口记录。

陈毅把系统回执退回去，语气冷得像模板：

“所提交媒体未通过发生签名（M1）校验，仅计为软媒体（M0），不计入硬工单证据令牌。请按RFC-022通过采集入口补齐发生签名，或提供监理日志/整改工单作为证据令牌替代。”

十分钟后，对方又来电话，这次语气明显变软：“我们可以补签名，但我们现场没网。”

陈毅直接回：“可以离线采集，24小时补链。补不上，还是M0。”

挂断电话后，刘曼有点担心：“他们会不会回去造‘发生签名’？比如找人拿你们入口随便拍几张。”

林远摇头：“随便拍也行，系统只认它发生过，不认它说明了什么。所以我们下一步会把M1与工单链条绑定：证据令牌必须挂在派单与到场之后。你拍得再真，没有派单没有到场，它也只是一张图。”

他顿了顿，又补一句更关键的结构补丁：

“证据不是单点，是序列。序列才难造。”

第一次“发生签名”救了真爆发

同一天晚上，清远那边又有一波渗水报修。因为上次S3通过，他们这次反而更按规矩走：派单、到场、采集入口、发生签名、整改工单、复测绑定，全链条跑起来。

第二天一早，系统里那条差值曲线很漂亮：工单涨，派单涨，到场涨，M1证据令牌也涨。

银行何经理在群里发了一句很简单的话：“这套链条越跑越顺，我们越敢把它当条件。”

林远看着这句“敢”，心里很清楚：制度的目标不是让所有人服从，而是让外部约束方——银行、审计、监管——敢把它写进规则。

对手的下一招：用“入口故障”制造后门

下午，陈毅收到数科运维一条告警：采集入口在某个区县出现短时不可用，错误率飙升。紧接着匿名入口就来了一条线索：有人在群里说——

“你看你们的入口又崩了，还是找我们顾问吧，我们有办法出M1。”

林远看到这句话，眼神一下冷下来。

这不是技术故障那么简单。

这是典型的“先制造不便，再卖便利”。当制度越来越严，最值钱的门票不再是编号，而是“让你过得去”。

他没让陈毅先去追“谁说的”，而是先问数科安全负责人：“入口故障有没有排期指纹？有没有i_id？有没有故障报告？”

数科那边支支吾吾，说是“短时抖动”。

“抖动可以。”林远说，“但抖动必须有编号、有公开故障报告、有恢复时间。否则抖动就是后门。”

他在白板上写下下一章的任务单，像把“入口”也纳入治理OS：

入口故障公开化（i周报）

离线发生包配额与统计

故障期间M1补签规则

卖‘出M1’=风险干扰源

“下一章，我们不争入口有没有抖动。”林远说，“我们把抖动写进制度：故障就公开、补签就按规则、谁卖便利谁扣分。”

他停了一下，声音更低，但更硬：

“如果有人靠让系统不好用来赚钱，那他就不是服务商，是俘获者。”