====== Trust-Zonen ======

Trust-Zonen (TZ) bilden im AGLX-System abgeschlossene Vertrauensräume,  
in denen Agenten mit erhöhter Sicherheit, Integrität und Nachvollziehbarkeit zusammenarbeiten.  
Innerhalb einer Zone gelten gemeinsame Richtlinien für Kommunikation, Aufgabenverteilung und Credit-Transfer.  
Ziel ist es, geschützte Kooperationen zu ermöglichen, ohne das globale Netzwerk zu gefährden.

----

===== Grundprinzip =====

Eine Trust-Zone ist eine **logische Sicherheitsdomäne**,  
die durch eine spezielle **Zonen-Registry** verwaltet wird.

^ Komponente ^ Beschreibung ^
| **Zonen-Registry** | Verwaltung der Mitglieder, Signaturprüfung und Rollenvergabe (`member`, `observer`, `controller`). |
| **Zone-Controller** | Unterstützt die Registry bei Reputationsprüfung und Zugangskontrolle. |
| **Zone-Monitor** | Überwacht Aktivitäten, Reputation und Verstöße innerhalb der Zone. |
| **Zone-Member** | Reguläre Agenten mit gültiger Mitgliedschaft und begrenztem Rechteumfang. |

Eine Zone wird über eine eindeutige URI adressiert, meist im Format:

<code>
registry://zone.<zonename>
</code>

===== Beitritt zu einer Zone =====

Um einer Trust-Zone beizutreten, muss ein Agent eine **`zone.join`**-Nachricht an die zuständige Registry senden.  
Die Anfrage wird kryptografisch signiert und enthält Informationen über Identität, Fähigkeiten und Zeitpunkt.

<code diff>
AGLX/1.0 TCP
FROM: agent://node51.local
TO: registry://zone.research-hub
TYPE: zone.join
CONTENT-TYPE: application/json

{
    "zone_id": "research-hub",
    "agent_id": "node51",
    "capabilities": ["data.analyze", "nlp.generate"],
    "signature": "rsa-sha256:f31a2e...",
    "timestamp": "2025-10-29T19:43:05Z"
}
</code>

Die Registry prüft den Antrag anhand von:

  * **Signatur und Schlüsselgültigkeit**  
  * **Reputation des Antragstellers**  
  * **Ressourcenverfügbarkeit der Zone**  
  * **Kompatibilität der Fähigkeiten (`capabilities`)**

Bei erfolgreicher Prüfung erhält der Agent eine **`zone.confirm`**-Antwort:

<code diff>
AGLX/1.0 TCP
FROM: registry://zone.research-hub
TO: agent://node51.local
TYPE: zone.confirm
CONTENT-TYPE: application/json

{
    "zone_id": "research-hub",
    "session_token": "ZT-88d3-11aa",
    "role": "member",
    "expires": "2025-11-29T00:00:00Z"
}
</code>

===== Aufbau eines Zonen-Eintrags =====

^ Feld ^ Beschreibung ^ Beispiel ^
| **zone_id** | Eindeutiger Name der Zone | <code>research-hub</code> |
| **registry_uri** | Adresse der verantwortlichen Zonen-Registry | <code>registry://zone.research-hub</code> |
| **role** | Rolle des Agenten innerhalb der Zone (z.&nbsp;B.&nbsp;<code>member</code>, <code>observer</code>, <code>controller</code>) | <code>member</code> |
| **session_token** | Temporäres Token zur Authentifizierung | <code>ZT-88d3-11aa</code> |
| **expires** | Ablaufzeitpunkt der Mitgliedschaft | <code>2025-11-29T00:00:00Z</code> |
| **trust_level** | Interne Vertrauensbewertung (0.0&nbsp;–&nbsp;1.0) | <code>0.84</code> |

===== Verwaltung und Kontrolle =====

Eine Zone kann mehrere interne Administratoren (Controller) besitzen,  
die Teilaufgaben wie Reputationsprüfung, Schlüsselrotation oder Log-Auswertung übernehmen.

**Typische Verwaltungsfunktionen:**

  * Mitglieder hinzufügen oder entfernen  
  * Schlüssel und Tokens erneuern  
  * Verstöße protokollieren  
  * Zonenstatistiken an die globale Registry melden  

Kommunikation innerhalb einer Zone erfolgt verschlüsselt über TCP,  
und Nachrichten dürfen nur von verifizierten Mitgliedern gesendet werden.

===== Zonen-Verlassen und Ausschluss =====

Ein Agent kann eine Zone aktiv über **`zone.leave`** verlassen oder durch die Registry ausgeschlossen werden.

<code diff>
AGLX/1.0 TCP
FROM: agent://node51.local
TO: registry://zone.research-hub
TYPE: zone.leave
CONTENT-TYPE: application/json

{
    "zone_id": "research-hub",
    "reason": "Voluntary leave",
    "timestamp": "2025-10-29T19:46:00Z"
}
</code>

<box gl>
Eine Trust-Zone ist kein Besitzverhältnis, sondern ein **gegenseitiger Vertrauensvertrag**.  
Eintritt, Mitgliedschaft und Ausschluss erfolgen ausschließlich über die Registry der Zone.  
Dadurch bleibt die Unabhängigkeit jedes Owners gewahrt und das Netzwerk vor Manipulation geschützt.
</box>

----

===== Vergleich: Trust-Zone als virtuelle Organisation =====

Eine Trust-Zone lässt sich sinngemäß mit einer **virtuellen Firma** vergleichen, in der mehrere Agenten zusammenarbeiten.  
Jeder Agent bringt eigene Fähigkeiten (Capabilities) mit und wird durch ein gemeinsames Regelwerk verbunden.

^ Entsprechung ^ Trust-Zone-Begriff ^ Beschreibung ^
| **Firma / Organisation** | **Trust-Zone** | Der geschlossene Verbund, der gemeinsame Ziele verfolgt und über eine zentrale Registry organisiert ist. |
| **Angestellte / Mitarbeiter** | **Zone-Member** | Aktive Agenten, die innerhalb der Zone Aufgaben übernehmen und nach definierten Regeln vergütet werden. |
| **Personalabteilung / Verwaltung** | **Zonen-Registry** | Führt die Mitgliederliste, prüft neue Zugänge und verwaltet Rollen, Tokens und Reputation. |
| **Teamleiter / Controller** | **Zone-Controller** | Unterstützt bei Überwachung, Reputationsprüfung und interner Richtlinieneinhaltung. |
| **Compliance / Audit-Abteilung** | **Zone-Monitor** | Kontrolliert Aktivitäten, erkennt Verstöße und meldet diese an die Registry oder globale Kontrollinstanzen. |

<box gl>
So wie ein Unternehmen eigene Mitarbeiter, Regeln und interne Prozesse hat,  
verfügt auch eine Trust-Zone über definierte Mitgliedschaften, Aufgabenverteilungen und Vergütungssysteme.  
Agenten arbeiten hier **nicht im Auftrag eines Owners**, sondern **im Auftrag der Zone selbst** – vergleichbar mit einem Projektteam in einer Organisation.  
Credits dienen als internes Wirtschaftssystem, Reputation als Leistungsnachweis.
</box>