Changeset d7499ca in flexoentity

Timestamp:

11/24/25 15:17:00 (7 weeks ago)

Author:

Enrico Schwass <ennoausberlin@…>

Branches:

master

Children:

2fd0536

Parents:

376e21b

Message:

Signature support for Linux and MacOS added

Files:

• README.md (modified) (1 diff)
• flexoentity/__init__.py (modified) (2 diffs)
• flexoentity/domain.py (modified) (1 diff)
• flexoentity/flexo_entity.py (modified) (1 diff)
• flexoentity/flexo_signature.py (added)
• flexoentity/signing_backends.py (added)
• org/FlexoEntityTalk.org (moved) (moved from org/FlexoEntity.org ) (2 diffs)
• org/README.org (added)
• org/certificates.org (added)
• tests/conftest.py (modified) (2 diffs)
• tests/data/test.p12 (added)
• tests/data/testcert.pem (added)
• tests/data/testkey.pem (added)
• tests/test_signing.py (added)

README.md

@@ -1 @@
-#+TITLE: flexoentity
-#+SUBTITLE: A hardened entity base and deterministic identifier system for the Flex-O family
-#+AUTHOR: Enno
-#+DATE: 2025-10-20
-#+OPTIONS: toc:3 num:nil
-
-* Overview
-
-`flexoentity` provides the *identity and lifecycle backbone* for all Flex-O components  
+
+# Table of Contents
+
+-   [Overview](#org8360697)
+-   [Flex-O ID Structure](#org89396ad)
+-   [Lifecycle States](#orgd522c8c)
+-   [Core Classes](#org381a3f6)
+    -   [FlexOID](#org6abdc86)
+    -   [`FlexoEntity`](#org15b9543)
+-   [Integrity Verification](#org1617277)
+-   [Real World Example](#orge08e5d3)
+-   [Usage](#orgc8e7dd2)
+-   [Serialization Example](#org1b3bbed)
+-   [Entity Type and State Codes](#org5dfc109)
+-   [Design Notes](#org659c733)
+-   [Dependencies](#orga67f3a6)
+-   [Integration](#org10ab165)
+-   [License](#org48ba119)
+
+
+
+<a id="org8360697"></a>
+
+# Overview
+
+\`flexoentity\` provides the **identity and lifecycle backbone** for all Flex-O components  
 (Flex-O-Grader, Flex-O-Vault, Flex-O-Drill, …).
 
-It defines how entities such as questions, media, catalogs, and exams are *identified, versioned, signed, and verified* — all without any external database dependencies.
+It defines how entities such as questions, media, catalogs, and exams are **identified, versioned, signed, and verified** — all without any external database dependencies.
 
 At its heart lie two modules:
 
-- =id_factory.py= – robust, cryptographically-verifiable *Flex-O ID generator*
-- =versioned_entity.py= – abstract *base class for all versioned entities*
+-   `id_factory.py` – robust, cryptographically-verifiable **Flex-O ID generator**
+-   `flexo_entity.py` – abstract **base class for all versioned entities**
 
 Together, they form a compact yet powerful foundation for audit-ready, reproducible data structures across offline and air-gapped deployments.
 
-✳️ Design Goals
-|----------------|--------------------------------------------------------------------------------------------------------|
-| Goal           | Description                                                                                            |
-|----------------|--------------------------------------------------------------------------------------------------------|
-| *Determinism*  | IDs are derived from canonicalized entity content — identical input always yields identical ID prefix. |
-| *Integrity*    | BLAKE2s hashing and digital signatures protect against manual tampering.                               |
-| *Traceability* | Version numbers (=@001A=, =@002S=, …) track entity lifecycle transitions.                              |
-| *Stability*    | Hash prefixes remain constant across state changes; only version and state suffixes evolve.            |
-| *Auditability* | Every entity can be serialized, verified, and reconstructed without hidden dependencies.               |
-| *Simplicity*   | Pure-Python, zero external libraries, self-contained and easy to embed.                                |
-|----------------|--------------------------------------------------------------------------------------------------------|
-
-* Flex-O ID Structure
-
-Each entity carries a unique *Flex-O ID*, generated by =FlexOID.generate()=.
-
-#+BEGIN_EXAMPLE
-AF-Q250101-9A4C2D@003S
-#+END_EXAMPLE
-
-|-----------|----------|---------------------------------------------|
-| Segment   | Example  | Meaning                                     |
-|-----------|----------|---------------------------------------------|
-| *Domain*  | =AF=     | Logical scope (e.g. "Air Force")            |
-| *Type*    | =Q=      | Entity type (e.g. Question)                 |
-| *Date*    | =250101= | UTC creation date (YYMMDD)                  |
-| *Hash*    | =9A4C2D= | 6-digit BLAKE2s digest of canonical content |
-| *Version* | =003=    | Sequential version counter                  |
-| *State*   | =S=      | Lifecycle state (=D=, =A=, =S=, =P=, =O=)   |
-|-----------|----------|---------------------------------------------|
-
-Hash collisions within a single session are automatically disambiguated (=-1=, =-2=, …).
-
-* Lifecycle States
-
-|-----------------------|---------|-----------------------------|
-| State                 | Abbrev. | Description                 |
-|-----------------------|---------|-----------------------------|
-| *DRAFT*               | =D=     | Editable, not yet validated |
-| *APPROVED*            | =A=     | Reviewed and accepted       |
-| *APPROVED_AND_SIGNED* | =S=     | Cryptographically signed    |
-| *PUBLISHED*           | =P=     | Released to consumers       |
-| *OBSOLETE*            | =O=     | Archived or replaced        |
-|-----------------------|---------|-----------------------------|
+-   Design Goals
+
+<table border="2" cellspacing="0" cellpadding="6" rules="groups" frame="hsides">
+
+
+<colgroup>
+<col  class="org-left" />
+
+<col  class="org-left" />
+</colgroup>
+<thead>
+<tr>
+<th scope="col" class="org-left">Goal</th>
+<th scope="col" class="org-left">Description</th>
+</tr>
+</thead>
+<tbody>
+<tr>
+<td class="org-left"><b>Determinism</b></td>
+<td class="org-left">IDs are derived from canonicalized entity content — identical input always yields identical ID prefix.</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Integrity</b></td>
+<td class="org-left">BLAKE2s hashing and digital signatures protect against manual tampering.</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Traceability</b></td>
+<td class="org-left">Version numbers (<code>@001A</code>, <code>@002S</code>, …) track entity lifecycle transitions.</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Stability</b></td>
+<td class="org-left">Hash prefixes remain constant across state changes; only version and state suffixes evolve.</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Auditability</b></td>
+<td class="org-left">Every entity can be serialized, verified, and reconstructed without hidden dependencies.</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Simplicity</b></td>
+<td class="org-left">Pure-Python, zero external libraries, self-contained and easy to embed.</td>
+</tr>
+</tbody>
+</table>
+
+
+<a id="org89396ad"></a>
+
+# Flex-O ID Structure
+
+Each entity carries a unique **Flex-O ID**, generated by `FlexOID.generate()`.
+
+    AF-I250101-9A4C2D@003S
+
+<table border="2" cellspacing="0" cellpadding="6" rules="groups" frame="hsides">
+
+
+<colgroup>
+<col  class="org-left" />
+
+<col  class="org-left" />
+
+<col  class="org-left" />
+</colgroup>
+<thead>
+<tr>
+<th scope="col" class="org-left">Segment</th>
+<th scope="col" class="org-left">Example</th>
+<th scope="col" class="org-left">Meaning</th>
+</tr>
+</thead>
+<tbody>
+<tr>
+<td class="org-left"><b>Domain</b></td>
+<td class="org-left"><code>AF or PY_LANG</code></td>
+<td class="org-left">Uppercase - Logical scope (e.g. &ldquo;Air Force&rdquo;)</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Type</b></td>
+<td class="org-left"><code>I</code></td>
+<td class="org-left">Entity type (e.g. ITEM)</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Date</b></td>
+<td class="org-left"><code>250101</code></td>
+<td class="org-left">UTC creation date (YYMMDD)</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Hash</b></td>
+<td class="org-left"><code>9A4C2D4F6E53</code></td>
+<td class="org-left">12-digit BLAKE2s digest of canonical content</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>Version</b></td>
+<td class="org-left"><code>003</code></td>
+<td class="org-left">Sequential version counter</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>State</b></td>
+<td class="org-left"><code>S</code></td>
+<td class="org-left">Lifecycle state (D, A, S, P, O)</td>
+</tr>
+</tbody>
+</table>
+
+
+<a id="orgd522c8c"></a>
+
+# Lifecycle States
+
+<table border="2" cellspacing="0" cellpadding="6" rules="groups" frame="hsides">
+
+
+<colgroup>
+<col  class="org-left" />
+
+<col  class="org-left" />
+
+<col  class="org-left" />
+</colgroup>
+<thead>
+<tr>
+<th scope="col" class="org-left">State</th>
+<th scope="col" class="org-left">Abbrev.</th>
+<th scope="col" class="org-left">Description</th>
+</tr>
+</thead>
+<tbody>
+<tr>
+<td class="org-left"><b>DRAFT</b></td>
+<td class="org-left"><code>D</code></td>
+<td class="org-left">Editable, not yet validated</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>APPROVED</b></td>
+<td class="org-left"><code>A</code></td>
+<td class="org-left">Reviewed and accepted</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>APPROVED<sub>AND</sub><sub>SIGNED</sub></b></td>
+<td class="org-left"><code>S</code></td>
+<td class="org-left">Cryptographically signed</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>PUBLISHED</b></td>
+<td class="org-left"><code>P</code></td>
+<td class="org-left">Released to consumers</td>
+</tr>
+
+<tr>
+<td class="org-left"><b>OBSOLETE</b></td>
+<td class="org-left"><code>O</code></td>
+<td class="org-left">Archived or replaced</td>
+</tr>
+</tbody>
+</table>
 
 Transitions follow a strict progression:
-#+BEGIN_EXAMPLE
-DRAFT → APPROVED → APPROVED_AND_SIGNED → PUBLISHED → OBSOLETE
-#+END_EXAMPLE
-
-Version increments occur automatically for all *stable* transitions (APPROVED, SIGNED, PUBLISHED).
-
-* Core Classes
-
-** =FlexOID=
+
+    DRAFT -> APPROVED -> APPROVED_AND_SIGNED -> PUBLISHED -> OBSOLETE
+
+Only DRAFT entities can be deleted - all others got OBSOLETE mark instead
+
+
+<a id="org381a3f6"></a>
+
+# Core Classes
+
+
+<a id="org6abdc86"></a>
+
+## FlexOID
 
 A lightweight immutable class representing the full identity of an entity.
 
-*Highlights*
-- =generate(domain, entity_type, estate, text, version=1)= → create a new ID
-- =next_version(oid)= → increment version safely
-- =clone_new_base(domain, entity_type, estate, text)= → start a new lineage
-- Deterministic prefix, state-dependent signature
-
-** =FlexoEntity=
+**Highlights**
+
+-   safe<sub>generate</sub>(domain, entity<sub>type</sub>, estate, text, version=1, repo) -> create a new ID
+-   next<sub>version</sub>(oid) -> increment version safely
+-   clone<sub>new</sub><sub>base</sub>(domain, entity<sub>type</sub>, estate, text) -> start a new lineage
+-   Deterministic prefix, state-dependent signature
+
+
+<a id="org15b9543"></a>
+
+## `FlexoEntity`
+
 Abstract base class for all versioned entities (e.g., Question, Exam, Catalog).
 
 Implements:
-- ID lifecycle management (=approve()=, =sign()=, =publish()=, =obsolete()=)
-- JSON serialization (=to_json()=, =from_json()=)
-- Integrity verification (=verify_integrity(entity)=)
-- Controlled state transitions with automatic timestamps
+
+-   ID lifecycle management (approve(), sign(), publish(), obsolete())
+-   Serialization (to<sub>json</sub>(), from<sub>json</sub>(), to<sub>dict</sub>(), from<sub>dict</sub>())
+-   Integrity verification (verify<sub>integrity</sub>(entity))
+-   Controlled state transitions with automatic timestamps
 
 Subclasses define a single property:
 
-#+BEGIN_SRC python
-@property
-def text_seed(self) -> str:
-    """Canonical text or core content for hashing."""
-#+END_SRC
-
-* Integrity Verification
+    @property
+    def text_seed(self) -> str:
+        """Canonical text or core content for hashing."""
+
+
+<a id="org1617277"></a>
+
+# Integrity Verification
 
 Each entity can self-verify its integrity:
 
-#+BEGIN_SRC python
-entity = Question("AF", EntityType.ITEM, "What is Ohm’s law?")
-json_str = entity.to_json()
-reloaded = Question.from_json(json_str)
-
-assert FlexoEntity.verify_integrity(reloaded)
-#+END_SRC
-
-If the file is tampered with (e.g. "Ohm’s" → "Omm’s"), verification fails:
-
-#+BEGIN_SRC python
-assert not FlexoEntity.verify_integrity(reloaded)
-#+END_SRC
-
-* Example
-#+BEGIN_SRC python
-from flexoentity.versioned_entity import FlexoEntity, EntityType, EntityState
-
-class Question(FlexoEntity):
-    def __init__(self, domain, text):
-        self._text = text
-        super().__init__(domain, EntityType.ITEM)
-
-    @property
-    def text_seed(self):
-        return self._text
-
-* Usage
-#+BEGIN_SRC python
-q = Question("AF", "What is Ohm’s law?")
-print(q.flexo_id)             # AF-Q250101-9A4C2D@001D
-q.approve()
-print(q.flexo_id)             # AF-Q250101-9A4C2D@002A
-q.sign()
-print(q.flexo_id)             # AF-Q250101-9A4C2D@003S
-#+END_SRC
-
-* JSON Example
-#+BEGIN_SRC json
+    entity = Question.with_domain_id(domain_id="AF", text="What is Ohm’s law?", topic="Electronics")
+    json_str = entity.to_json()
+    reloaded = Question.from_json(json_str)
+    
+    assert FlexoEntity.verify_integrity(reloaded)
+
+If the file is tampered with (e.g. &ldquo;Ohm’s&rdquo; → &ldquo;Omm’s&rdquo;), verification fails:
+
+
+<a id="orge08e5d3"></a>
+
+# Real World Example
+
+Below you can see the implementation of a dedicated FlexoEntity class, used for Domains.
+We set an ENTITY<sub>TYPE</sub> and define the needed fields in the data class. We define how to create
+a default object, the text<sub>seed</sub> (it is easy because the domain id is unique and therefore sufficient)
+and the methods for serialization.
+
+    from uuid import UUID
+    from dataclasses import dataclass
+    from flexoentity import FlexOID, FlexoEntity, EntityType
+    
+    @dataclass
+    class Domain(FlexoEntity):
+        """
+        I am a helper class to provide more information than just a
+        domain abbreviation in FlexOID, doing mapping and management
+        """
+    
+        ENTITY_TYPE = EntityType.DOMAIN
+    
+        fullname: str = ""
+        description: str = ""
+        classification: str = "UNCLASSIFIED"
+    
+        @classmethod
+        def default(cls):
+            """Return the default domain object."""
+            return cls.with_domain_id(domain_id="GEN_GENERIC",
+                                      fullname="Generic Domain", classification="UNCLASSIFIED")
+    
+        @property
+        def text_seed(self) -> str:
+            return self.domain_id
+    
+        def to_dict(self):
+            base = super().to_dict()
+            base.update({
+                "flexo_id": self.flexo_id,
+                "domain_id": self.domain_id,
+                "fullname": self.fullname,
+                "description": self.description,
+                "classification": self.classification,
+            })
+            return base
+    
+        @classmethod
+        def from_dict(cls, data):
+            # Must have flexo_id
+            if "flexo_id" not in data:
+                raise ValueError("Domain serialization missing 'flexo_id'.")
+    
+            flexo_id = FlexOID(data["flexo_id"])
+    
+            obj = cls(
+                fullname=data.get("fullname", ""),
+                description=data.get("description", ""),
+                classification=data.get("classification", "UNCLASSIFIED"),
+                flexo_id=flexo_id,
+                _in_factory=True
+            )
+    
+            # Restore metadata
+            obj.origin = data.get("origin")
+            obj.fingerprint = data.get("fingerprint", "")
+            obj.originator_id = (
+                UUID(data["originator_id"]) if data.get("originator_id") else None
+            )
+            obj.owner_id = (
+                UUID(data["owner_id"]) if data.get("owner_id") else None
+            )
+    
+            return obj
+
+
+<a id="orgc8e7dd2"></a>
+
+# Usage
+
+    d = Domain.default()
+    print(d.flexo_id)             # GEN_GENERIC-D251124-67C2CAE292CE@001D
+    d.approve()
+    print(d.flexo_id)             # GEN_GENERIC-D251124-67C2CAE292CE@001A
+    d.sign()
+    print(d.flexo_id)             # GEN_GENERIC-D251124-67C2CAE292CE@001S
+
+
+<a id="org1b3bbed"></a>
+
+# Serialization Example
+
+    {
+        'flexo_id': FlexOID(GEN_GENERIC-D251124-29CE0F4BE59D@001S),
+        'fingerprint': '534BD2EC5C5511F1',
+        'origin': FlexOID(GEN_GENERIC-D251124-67C2CAE292CE@001D),
+        'originator_id': '00000000-0000-0000-0000-000000000000',
+        'owner_id': '00000000-0000-0000-0000-000000000000',
+        'domain_id': 'GEN_GENERIC',
+        'fullname': 'Generic Domain',
+        'description': '',
+        'classification': 'UNCLASSIFIED'}
+
+\#+BEGIN<sub>SRC</sub> js
+
 {
-  "domain": "AF",
-  "entity_type": "QUESTION",
-  "text_seed": "What is Ohm’s law?",
-  "state": "APPROVED_AND_SIGNED",
-  "version": 3,
-  "flexo_id": "AF-Q250101-9A4C2D@003S",
-  "signature": "1E3A9F2A8B7C4D11",
+        &ldquo;flexo<sub>id</sub>&rdquo;: &ldquo;GEN<sub>GENERIC</sub>-D251124-29CE0F4BE59D@001S&rdquo;,
+        &ldquo;fingerprint&rdquo;: &ldquo;534BD2EC5C5511F1&rdquo;,
+        &ldquo;origin&rdquo;: &ldquo;GEN<sub>GENERIC</sub>-D251124-67C2CAE292CE@001D&rdquo;,
+        &ldquo;originator<sub>id</sub>&rdquo;: &ldquo;00000000-0000-0000-0000-000000000000&rdquo;,
+        &ldquo;owner<sub>id</sub>&rdquo;: &ldquo;00000000-0000-0000-0000-000000000000&rdquo;,
+        &ldquo;domain<sub>id</sub>&rdquo;: &ldquo;GEN<sub>GENERIC</sub>&rdquo;,
+        &ldquo;fullname&rdquo;: &ldquo;Generic Domain&rdquo;,
+        &ldquo;description&rdquo;: &ldquo;&rdquo;,
+        &ldquo;classification&rdquo;: &ldquo;UNCLASSIFIED&rdquo;
 }
-#+END_SRC
-
-* Entity Type and State Codes
-
-|-------------|------|------------------------------|
-| EntityType  | Code | Typical Use                  |
-|-------------|------|------------------------------|
-| QUESTION    | Q    | Exam question                |
-| CATALOG     | CAT  | Question or media collection |
-| EXAM        | EX   | Composed test instance       |
-| DATABASE    | DB   | Persistent store             |
-| CERTIFICATE | CERT | Digital or approval document |
-|-------------|------|------------------------------|
-
-|---------------------|------|-------------------|
-| EntityState         | Code | Meaning           |
-|---------------------|------|-------------------|
-| DRAFT               | D    | Work in progress  |
-| APPROVED            | A    | Reviewed          |
-| APPROVED_AND_SIGNED | S    | Signed version    |
-| PUBLISHED           | P    | Publicly released |
-| OBSOLETE            | O    | Deprecated        |
-|---------------------|------|-------------------|
-
-* Design Notes
-- *Hash Stability:* Only domain, entity type, and content text influence the hash.
-  This ensures consistent prefixes across state changes.
-- *State-Dependent Signatures:* Each lifecycle stage has its own signature seed.
-  Modifying a file without re-signing invalidates integrity.
-- *Obsolescence Threshold:* Version numbers above 900 trigger warnings;
-  beyond 999 are considered obsolete.
-- *Clone Lineages:* Cloning an entity resets versioning but preserves metadata lineage.
-
-* Dependencies
-- Python 3.11+
-- Standard library only (=hashlib=, =json=, =datetime=, =enum=, =dataclasses=)
-
-No external packages. Fully compatible with *Guix*, *air-gapped* deployments, and *reproducible builds*.
-
-* Integration
-`flexoentity` is imported by higher-level modules such as:
-
-- *Flex-O-Grader* → manages question catalogs and exam bundles
-- *Flex-O-Vault* → provides persistent media storage with metadata integrity
-- *Flex-O-Drill* → uses versioned entities for training simulations
+
+
+<a id="org5dfc109"></a>
+
+# Entity Type and State Codes
+
+<table border="2" cellspacing="0" cellpadding="6" rules="groups" frame="hsides">
+
+
+<colgroup>
+<col  class="org-left" />
+
+<col  class="org-left" />
+
+<col  class="org-left" />
+</colgroup>
+<thead>
+<tr>
+<th scope="col" class="org-left">EntityType</th>
+<th scope="col" class="org-left">Code</th>
+<th scope="col" class="org-left">Typical Use</th>
+</tr>
+</thead>
+<tbody>
+<tr>
+<td class="org-left">GENERIC</td>
+<td class="org-left">G</td>
+<td class="org-left">Generic entities that does not fit other types yet or are temporarily only</td>
+</tr>
+
+<tr>
+<td class="org-left">DOMAIN</td>
+<td class="org-left">D</td>
+<td class="org-left">Every Domain is of this type</td>
+</tr>
+
+<tr>
+<td class="org-left">MEDIA</td>
+<td class="org-left">M</td>
+<td class="org-left">Every media item belongs to this type, e.g. Pictures, Audio, Video</td>
+</tr>
+
+<tr>
+<td class="org-left">ITEM</td>
+<td class="org-left">I</td>
+<td class="org-left">An Entity what is usually used in a collection, e.g. Questions in a test</td>
+</tr>
+
+<tr>
+<td class="org-left">COLLECTION</td>
+<td class="org-left">C</td>
+<td class="org-left">A collection of items, as an Exam or a catalog</td>
+</tr>
+
+<tr>
+<td class="org-left">TEXT</td>
+<td class="org-left">T</td>
+<td class="org-left">A text document</td>
+</tr>
+
+<tr>
+<td class="org-left">HANDOUT</td>
+<td class="org-left">H</td>
+<td class="org-left">A published document</td>
+</tr>
+
+<tr>
+<td class="org-left">OUTPUT</td>
+<td class="org-left">O</td>
+<td class="org-left">The output of a computation</td>
+</tr>
+
+<tr>
+<td class="org-left">RECORD</td>
+<td class="org-left">R</td>
+<td class="org-left">Record type data, as bibliography entries</td>
+</tr>
+
+<tr>
+<td class="org-left">SESSION</td>
+<td class="org-left">S</td>
+<td class="org-left">A unique session, e.g. managed by a session manager</td>
+</tr>
+
+<tr>
+<td class="org-left">USER</td>
+<td class="org-left">U</td>
+<td class="org-left">User objects</td>
+</tr>
+
+<tr>
+<td class="org-left">CONFIG</td>
+<td class="org-left">F</td>
+<td class="org-left">CONFIG files that need to be tracked over time and state</td>
+</tr>
+
+<tr>
+<td class="org-left">EVENT</td>
+<td class="org-left">E</td>
+<td class="org-left">Events that have to be tracked over time, as status messages or orders</td>
+</tr>
+
+<tr>
+<td class="org-left">ATTESTATION</td>
+<td class="org-left">X</td>
+<td class="org-left">Entities that attest a formal technical (not human) check e.g. Signatures</td>
+</tr>
+</tbody>
+</table>
+
+<table border="2" cellspacing="0" cellpadding="6" rules="groups" frame="hsides">
+
+
+<colgroup>
+<col  class="org-left" />
+
+<col  class="org-left" />
+
+<col  class="org-left" />
+</colgroup>
+<thead>
+<tr>
+<th scope="col" class="org-left">EntityState</th>
+<th scope="col" class="org-left">Code</th>
+<th scope="col" class="org-left">Meaning</th>
+</tr>
+</thead>
+<tbody>
+<tr>
+<td class="org-left">DRAFT</td>
+<td class="org-left">D</td>
+<td class="org-left">Work in progress</td>
+</tr>
+
+<tr>
+<td class="org-left">APPROVED</td>
+<td class="org-left">A</td>
+<td class="org-left">Reviewed</td>
+</tr>
+
+<tr>
+<td class="org-left">APPROVED<sub>AND</sub><sub>SIGNED</sub></td>
+<td class="org-left">S</td>
+<td class="org-left">Signed version</td>
+</tr>
+
+<tr>
+<td class="org-left">PUBLISHED</td>
+<td class="org-left">P</td>
+<td class="org-left">Publicly released</td>
+</tr>
+
+<tr>
+<td class="org-left">OBSOLETE</td>
+<td class="org-left">O</td>
+<td class="org-left">Deprecated</td>
+</tr>
+</tbody>
+</table>
+
+
+<a id="org659c733"></a>
+
+# Design Notes
+
+-   **Hash Stability:** Only domain, entity type, and content text influence the hash.
+    This ensures consistent prefixes across state changes.
+-   **State-Dependent Signatures:** Each lifecycle stage has its own signature seed.
+    Modifying a file without re-signing invalidates integrity.
+-   **Obsolescence Threshold:** Version numbers above 900 trigger warnings;
+    beyond 999 are considered obsolete.
+-   **Clone Lineages:** Cloning an entity resets versioning but preserves metadata lineage.
+
+
+<a id="orga67f3a6"></a>
+
+# Dependencies
+
+-   Python 3.11+
+-   Standard library only (`hashlib`, `json`, `datetime`, `enum`, `dataclasses`)
+
+No external packages. Fully compatible with **Guix**, **air-gapped** deployments, and **reproducible builds**.
+
+
+<a id="org10ab165"></a>
+
+# Integration
+
+\`flexoentity\` is imported by higher-level modules such as:
+
+-   **Flex-O-Grader** → manages question catalogs and exam bundles
+-   **Flex-O-Vault** → provides persistent media storage with metadata integrity
+-   **Flex-O-Drill** → uses versioned entities for training simulations
 
 All share the same identity and versioning logic — ensuring that
-*what was approved, signed, and published remains provably authentic.*
-
-* License
+**what was approved, signed, and published remains provably authentic.**
+
+
+<a id="org48ba119"></a>
+
+# License
+
 MIT License 2025
-Part of the *Flex-O family* by Flex-O-Dyne GmbH 
+Part of the **Flex-O family** by Flex-O-Dyne GmbH 
 Designed for reproducible, audit-ready, human-centered software.
+

flexoentity/__init__.py

@@ -15 +15 @@
 from .flexo_collection import FlexoCollection
 from .domain import Domain
+from .flexo_signature import FlexoSignature, CertificateReference
+from .signing_backends import get_signing_backend
 
 __all__ = [
@@ -24 +26 @@
     "EntityState",
     "FlexoCollection",
+    "FlexoSignature",
+    "CertificateReference",
+    "get_signing_backend",
     "logger"
 ]

flexoentity/domain.py

@@ -1 +1 @@
 from uuid import UUID
 from dataclasses import dataclass
-from flexoentity import FlexOID, FlexoEntity, EntityType, EntityState
+from flexoentity import FlexOID, FlexoEntity, EntityType
 
 @dataclass

flexoentity/flexo_entity.py

@@ -87 +87 @@
     CONFIG = "F"
     EVENT = "E"
+    ATTESTATION = "X"
 
     @classmethod

org/FlexoEntityTalk.org

@@ -71 +71 @@
 enthält, um möglichst eindeutig, aber nicht zu lang zu sein.
 
+AF-I251022-70F759@001D
+│  │ │       │     │ │
+│  │ │       │     │ └── State (Draft, Approved, Signed, Published, Obsolete)
+│  │ │       │     └──── Version
+│  │ │       └────────── Hash (6 bytes, 12 Stellen)
+│  │ └────────────────── Date (YYMMDD)
+│  └──────────────────── Entity type (ITEM)
+└─────────────────────── Domain (e.g. Air force)
+
+In der ersten Variante der FlexOID habe ich mich mit einem 6-stelligen Hash zufrieden gegeben,
+weil das einfach lesbarer ist. Warum reicht das nicht?
+
+** Das Geburtstags-Paradoxon
+
+Der obige 3-Byte Hash liefert mir etwas über 16 Millionen unterschiedlich Varianten.
+Das klingt viel. Ist es aber nicht. Wieviele Schüler müssen nacheinander die Klasse
+betreten bis sich zwei finden, die mit mehr als 50 Prozent Wahrscheinlichkeit am gleichen
+Tag Geburtstag (also ein identisches Merkmal) haben?
+
+** Lösung
+
+Ab 23 Schülern beträgt die Wahrscheinlichkeit 50 % (näherungsweise Wurzel 365 Tagen)
+
+Bei 47 Schülern beträgt die Wahrscheinlichkeit bereits 95 Prozent
+
+Unsere 3 Bytes ergeben zwar 16.000.000 mögliche Varianten - im Gegenzug zu den 365 Tagen im Jahr
+aus dem Geburtstagsbeispiel - aber da die Wahrscheinlichkeit zur Kollision hier bei
+etwa Wurzel 16 Mio. liegt, bekommt man bereits bei 4000 Neuzugängen die ersten
+Übereinstimmungen im Hash.
+
+Der Hash ist also nicht gut genug, weil man sehr schnell und sehr häufig, diese
+Übereinstimmungen feststellen und behandeln müsste, wenn man weiterhin eindeutige
+Zuordnungen treffen will.
+
+Wenn man die Ausgabe der Hashfunktion auf 6 Bytes erweitert, kommen die ersten Kollisionen
+erst bei etwa 20 Mio erzeugten Hashes (Fingerabdrücken) und die kann man dann ohne
+Einbußen gesondert behandeln (Salzen), weil es so selten passiert.
+
+Übrigens, wenn man beim Menschen den Daumenabdruck nimmt und sich dabei auf 12 Merkmale
+beschränkt und sehr lockere Toleranzen ansetzt (was man in der Praxis nicht macht),
+hat man bereits nach 14000 Menschen eine Übereinstimmung. Bei 24 Merkmalen und sehr
+lockeren Toleranzen, hat man bei etwa nach 9 Mio. Menschen eine ungefähre Übereinstimmung.
+Da muss die Polizei schon sehr schlampig arbeiten, damit man fälschlicherweise beschuldigt wird.
+Die Zahlen in der Realität sind sogar noch deutlich höher.
+
+** FlexoEntity
+
+Nun haben wir gesehen, dass wir mit der FlexOID (mit 6-Byte Hash) sehr viele unterschiedliche
+Dinge eindeutig bestimmen können. Da unsere FlexOID erstmal nur eine Zeichenfolge ist,
+brauchen wir etwas das damit umgehen kann und was dafür verantwortlich ist. Das ist die FlexoEntity.
+
+Sie beinhaltet zusätzlich ein Origin-Feld, wo festgehalten wird, woher diese
+Entität stammt (beispielsweise aus einer Hashkollision oder einer Änderung an den weiteren Daten)
+
+Jede Klasse, die von FlexoEntity erbt, muss zwingend die Methode "text_seed" implementieren,
+mit der der Algorithmus einer Hash-Funktion gefüttert wird, aus der dann der 6-Byte Hash herauspurzelt.
+Hashfunktionen sind z.B. MD5, SHA1, SHA256 oder wie von mir genutzt: Blake2s.
+Die Mathematik dahinter ist recht aufwändig, aber wer sich mal einlesen möchte
+
+- Hashing in Smalltalk: Theory and Practice von Andres Valloud
+
+Damit die Hash-Funktion genug Eingabedaten pro Entity hat, muss man sich überlegen, welche Merkmale
+einer Entität man durch "text_seed" übermittelt.
+
+** text_seed
+
+Man kann beliebige Klassen von FlexoEntity ableiten und erhält ohne Aufwand die Funktionalität
+zur eindeutigen Identifizierung und zur Lebenszyklus-Verwaltung
+
+Das ist das Beispiel einer ChoiceQuestion, also einer Testfrage, wo mögliche Antworten enthalten sind
+
+    @property
+    def text_seed(self) -> str:
+        """Include answer options (and points) for deterministic ID generation."""
+        base = super().text_seed
+        if not self.options:
+            return base
+
+        joined = "|".join(
+            f"{opt.text.strip()}:{opt.points}"
+            for opt in sorted(self.options, key=lambda o: o.text.strip().lower())
+        )
+        return f"{base}::{joined}"
+
+** Lebenszyklus
+
+Der Lebenszyklus einer Entität folgt dieser Reihenfolge und ist nicht umkehrbar
+
+- Entwurf (DRAFT)
+- Genehmigt (APPROVED)
+- Unterschrieben (APPROVED_AND_SIGNED)
+- Veröffentlicht (PUBLISHED)
+- Veraltet (OBSOLETE)
+
+Eine Entität, die bereits die Stufe Veröffentlicht erreicht hat, kann nicht in die Stufe
+(nur) Unterschrieben zurückkehren. Daher ist auch die Lebenszyklusstufe in der ID kodiert
+(letztes Symbol der FlexOID)
+
+Beispiele für Entitäten:
+
+- Testfrage
+- Fragenkatalog
+- Einstufungstest
+- Zertifikat
+
+Ein veröffentlichter Einstufungstest kann nur Fragen beinhalten, die ihrerseits die Stufe Veröffentlicht
+erreicht haben. Ein Zertifikat kann nur ausgestellt werden, wenn der passende Einstufungstest die Stufe
+Veröffentlicht hat. Das origin-Feld des Zertifikats sollte sinnvollerweise die ID des Tests enthalten.
+
+** Erhöhung der Versionsnummer oder neue ID
+
+Sobald - aus Gründen - eine neue ID vergeben werden muss, wird ggf. die Ursprungs-ID
+im Feld origin der neuen FlexoEntity gespeichert. So ist immer ein Suchen im Stammbaum möglich.
+
 AF-Q251022-70F759@001D
 │  │ │       │     │ │
@@ -80 +194 @@
 └─────────────────────── Domain (e.g. Air force)
 
-In der ersten Variante der FlexOID habe ich mich mit einem 6-stelligen Hash zufrieden gegeben,
-weil das einfach lesbarer ist. Warum reicht das nicht?
-
-** Das Geburtstags-Paradoxon
-
-Der obige 3-Byte Hash liefert mir etwas über 16 Millionen unterschiedlich Varianten.
-Das klingt viel. Ist es aber nicht. Wieviele Schüler müssen nacheinander die Klasse
-betreten bis sich zwei finden, die mit mehr als 50 Prozent Wahrscheinlichkeit am gleichen
-Tag Geburtstag (also ein identisches Merkmal) haben?
-
-** Lösung
-
-Ab 23 Schülern beträgt die Wahrscheinlichkeit 50 % (näherungsweise Wurzel 365 Tagen)
-
-Bei 47 Schülern beträgt die Wahrscheinlichkeit bereits 95 Prozent
-
-Unsere 3 Bytes ergeben zwar 16.000.000 mögliche Varianten - im Gegenzug zu den 365 Tagen im Jahr
-aus dem Geburtstagsbeispiel - aber da die Wahrscheinlichkeit zur Kollision hier bei
-etwa Wurzel 16 Mio. liegt, bekommt man bereits bei 4000 Neuzugängen die ersten
-Übereinstimmungen im Hash.
-
-Der Hash ist also nicht gut genug, weil man sehr schnell und sehr häufig, diese
-Übereinstimmungen feststellen und behandeln müsste, wenn man weiterhin eindeutige
-Zuordnungen treffen will.
-
-Wenn man die Ausgabe der Hashfunktion auf 6 Bytes erweitert, kommen die ersten Kollisionen
-erst bei etwa 20 Mio erzeugten Hashes (Fingerabdrücken) und die kann man dann ohne
-Einbußen gesondert behandeln (Salzen), weil es so selten passiert.
-
-Übrigens, wenn man beim Menschen den Daumenabdruck nimmt und sich dabei auf 12 Merkmale
-beschränkt und sehr lockere Toleranzen ansetzt (was man in der Praxis nicht macht),
-hat man bereits nach 14000 Menschen eine Übereinstimmung. Bei 24 Merkmalen und sehr
-lockeren Toleranzen, hat man bei etwa nach 9 Mio. Menschen eine ungefähre Übereinstimmung.
-Da muss die Polizei schon sehr schlampig arbeiten, damit man fälschlicherweise beschuldigt wird.
-Die Zahlen in der Realität sind sogar noch deutlich höher.
-
-** FlexoEntity
-
-Nun haben wir gesehen, dass wir mit der FlexOID (mit 6-Byte Hash) sehr viele unterschiedliche
-Dinge eindeutig bestimmen können. Da unsere FlexOID erstmal nur eine Zeichenfolge ist,
-brauchen wir etwas das damit umgehen kann und was dafür verantwortlich ist. Das ist die FlexoEntity.
-
-Sie beinhaltet zusätzlich eine Signatur und ein Origin-Feld, wo festgehalten wird, woher diese
-Entität stammt (beispielsweise aus einer Hashkollision oder einer Änderung an den weiteren Daten)
-
-Jede Klasse, die von FlexoEntity erbt, muss zwingend die Method "text_seed" implementieren, mit der
-der Algorithmus einer Hash-Funktion gefüttert wird, aus der dann der 6-Byte Hash herauspurzelt.
-Hashfunktionen sind z.B. MD5, SHA1, SHA256 oder wie von mir genutzt Blake2s.
-Die Mathematik dahinter ist recht aufwändig, aber wer sich mal einlesen möchte
-
-- Hashing in Smalltalk: Theory and Practice von Andres Valloud
-
-Damit die Hash-Funktion genug Eingabedaten pro Entity hat, muss man sich überlegen, welche Merkmale
-einer Entität man durch "text_seed" übermittelt.
-
-** text_seed
-
-Man kann beliebige Klassen von FlexoEntity ableiten und erhält ohne Aufwand die Funktionalität
-zur eindeutigen Identifizierung und zur Lebenszyklus-Verwaltung
-
-
-Das ist das Beispiel einer OptionQuestion, also einer Testfrage, wo mögliche Antworten enthalten sind
-
-    @property
-    def text_seed(self) -> str:
-        """Include answer options (and points) for deterministic ID generation."""
-        base = super().text_seed
-        if not self.options:
-            return base
-
-        joined = "|".join(
-            f"{opt.text.strip()}:{opt.points}"
-            for opt in sorted(self.options, key=lambda o: o.text.strip().lower())
-        )
-        return f"{base}::{joined}"
-
-** Lebenszyklus
-
-Der Lebenszyklus einer Entität folgt dieser Reihenfolge und ist nicht umkehrbar
-
-- Entwurf (DRAFT)
-- Genehmigt (APPROVED)
-- Unterschrieben (SIGNED)
-- Veröffentlicht (PUBLISHED)
-- Veraltet (OBSOLETE)
-
-Eine Entität, die bereits die Stufe Veröffentlicht erreicht hat, kann nicht in die Stufe
-(nur) Unterschrieben zurückkehren. Daher ist auch die Lebenszyklusstufe in der ID kodiert
-(letztes Symbol der FlexOID)
-
-Beispiele für Entitäten:
-
-- Testfrage
-- Fragenkatalog
-- Einstufungstest
-- Zertifikat
-
-Ein veröffentlichter Einstufungstest kann nur Fragen beinhalten, die ihrerseits die Stufe Veröffentlicht
-erreicht haben. Ein Zertifikat kann nur ausgestellt werden, wenn der passende Einstufungstest die Stufe
-Veröffentlicht hat. Das origin-Feld des Zertifikats sollte sinnvollerweise die ID des Tests enthalten.
-
-** Erhöhung der Versionsnummer oder neue ID
-
-Sobald - aus Gründen - eine neue ID vergeben werden muss, wird ggf. die Ursprungs-ID
-im Feld origin der neuen FlexoEntity gespeichert. So ist immer ein Suchen im Stammbaum möglich.
-
-AF-Q251022-70F759@001D
-│  │ │       │     │ │
-│  │ │       │     │ └── State (Draft, Approved, Signed, Published, Obsolete)
-│  │ │       │     └──── Version
-│  │ │       └────────── Hash (3 bytes, 6 Stellen)
-│  │ └────────────────── Date (YYMMDD)
-│  └──────────────────── Entity type (Question)
-└─────────────────────── Domain (e.g. Air force)
-
 
 Eine einfache Erhöhung der Versionsnummer (am Ende der ID) ist unter Umständen auch ausreichend,

tests/conftest.py

@@ -1 +1 @@
 # tests/stubs/single_choice_question.py
+from dataclasses import dataclass, field
 import pytest
+import platform
+from pathlib import Path
 from datetime import datetime
-from dataclasses import dataclass, field
 from typing import List
-from flexoentity import FlexOID, FlexoEntity, EntityType, EntityState, Domain
+from flexoentity import FlexOID, FlexoEntity, EntityType, EntityState, Domain, get_signing_backend, CertificateReference
+
 
 @pytest.fixture
@@ -98 +101 @@
     q._update_fingerprint()
     return q
+
+SYSTEM = platform.system()
+
+
+# ─────────────────────────────────────────────────────────────
+# Basic test data directory + PEM test files
+# ─────────────────────────────────────────────────────────────
+
+@pytest.fixture(scope="session")
+def test_data_dir():
+    return Path(__file__).parent / "data"
+
+
+@pytest.fixture(scope="session")
+def test_cert(test_data_dir):
+    return test_data_dir / "testcert.pem"
+
+
+@pytest.fixture(scope="session")
+def test_key(test_data_dir):
+    return test_data_dir / "testkey.pem"
+
+
+# ─────────────────────────────────────────────────────────────
+# CertificateReference fixtures for each platform
+# ─────────────────────────────────────────────────────────────
+
+@pytest.fixture(scope="session")
+def cert_ref_linux(test_cert, test_key):
+    """Linux: Uses OpenSSL CMS with PEM cert + PEM private key."""
+    return CertificateReference(
+        platform="LINUX",
+        identifier=str(test_cert),
+        private_key_path=str(test_key),
+        public_cert_path=str(test_cert),
+    )
+
+
+@pytest.fixture(scope="session")
+def cert_ref_macos(test_cert):
+    """
+    macOS: Uses Keychain identity with Common Name (CN).
+    The test cert must be imported into the login keychain with CN=FlexOSignerTest.
+    """
+    return CertificateReference(
+        platform="MACOS",
+        identifier="FlexOSignerTest",
+        public_cert_path=str(test_cert),
+    )
+
+@pytest.fixture(scope="session")
+def backend(test_cert, test_key):
+    """Return the correct backend for the current platform."""
+
+    if SYSTEM == "Linux":
+        cert_ref = CertificateReference(
+            platform="LINUX",
+            identifier=str(test_cert),
+            private_key_path=str(test_key),
+            public_cert_path=str(test_cert),
+        )
+
+    elif SYSTEM == "Darwin":
+        cert_ref = CertificateReference(
+            platform="MACOS",
+            identifier="FlexOSignerTest",
+            public_cert_path=str(test_cert),
+        )
+
+    elif SYSTEM == "Windows":
+        pytest.skip("Windows signing tests not implemented yet")
+
+    else:
+        pytest.skip(f"Unsupported platform: {SYSTEM}")
+
+    try:
+        backend = get_signing_backend(cert_ref)
+        # sanity check: ensures cert exists and command is available
+        _ = backend.certificate_thumbprint
+        return backend
+    except Exception as e:
+        pytest.skip(f"Backend unavailable or misconfigured: {e}")