Logo

Whitepaper zu Sicherheit und Datenschutz (Übersicht)Kapitel 6

Kapitel 6 Datenlebenszyklus und Löschung

In diesem Kapitel wird der Lebenszyklus verschlüsselter Daten (Chiffretextblöcke und Manifeste) definiert: Erstellung, Aufbewahrung, Ablauf und Löschung. Ziel ist ein vorhersehbares Verhalten für Benutzer und Prüfer unter Wahrung der Zero-Knowledge-Grenzen.

6.1 Datenkategorien

  • Chiffretext-Blöcke: verschlüsselte Dateiteile, die im Objektspeicher gespeichert sind.
  • Manifest: Öffentliche Parameter, die für den Download/die Assemblierung benötigt werden (kein CEK).
  • State: Autorisierung, Fortschritt, TTL, Sperrflags und minimale Zustellungsnachweise.

6.2 Löschsemantik

  • Eine vom Absender initiierte Löschung/Widerrufung MUSS dazu führen, dass der nachfolgende Zugriff fehlschlägt (Tokens ungültig gemacht/Status verweigert den Zugriff).
  • Das Löschen SOLL eine Bereinigung verwandter Objekte (Chunks/Manifest) auslösen, sofern dies möglich ist.
  • Das Systemverhalten MUSS für Empfänger konsistent sein: Für widerrufene/abgelaufene Übertragungen sollte ein klarer Grund angegeben werden.

6.3 Ablaufrichtlinie und automatische Bereinigung

6.3.1 Ablaufauslöser

  • Transfers SOLLTEN eine haben expiresAt Richtlinie (planbasierte Aufbewahrung oder vom Benutzer ausgewählte TTL).
  • Nach Ablauf MUSS der Zugriff verweigert werden, auch wenn vorübergehend noch Geheimtext vorhanden ist.

6.3.2 Automatisierte Bereinigung

  • Die Hintergrundbereinigung SOLLTE abgelaufene Chunks/Manifeste innerhalb eines angemessenen Zeitfensters löschen.
  • Die Bereinigung sollte gegenüber Wiederholungsversuchen und Teilfehlern resistent sein (idempotentes Löschen).

6.3.3 UX-Einschränkungen nach Ablauf

  • Empfänger MÜSSEN einen expliziten Status „Abgelaufen“ und den nächsten Schritt (Absender kontaktieren) sehen.
  • Absender sollten in der Verwaltungs-Benutzeroberfläche zwischen „abgelaufen“ und „widerrufen“ unterscheiden können.

6.4 Für den Benutzer sichtbare Garantien

  • Löschung/Widerruf MUSS für die Zugriffskontrolle sofort wirksam werden (Fail Closed).
  • Eine physische Löschung aus dem Speicher KANN irgendwann erfolgen; Der Zugriff muss jedoch ohne erneute Freigabe verweigert bleiben.
  • Protokolle und Beweise müssen minimal bleiben und dürfen keine Geheimnisse (Fragmente/CEK) enthalten.

6.5 Zugehörige Anspruchs-IDs