Logo

Informe técnico sobre seguridad y privacidad (descripción general)Capítulo 6

Capítulo 6 Ciclo de vida y eliminación de datos

Este capítulo define el ciclo de vida de los datos cifrados (fragmentos de texto cifrado y manifiestos): creación, retención, caducidad y eliminación. El objetivo es un comportamiento predecible para usuarios y auditores manteniendo al mismo tiempo límites de conocimiento cero.

6.1 Categorías de datos

  • Fragmentos de texto cifrado: piezas de archivos cifrados almacenados en un almacenamiento de objetos.
  • Manifest: Parámetros públicos necesarios para la descarga/ensamblaje (sin CEK).
  • State: autorización, progreso, TTL, indicadores de revocación y evidencia de entrega mínima.

6.2 Semántica de eliminación

  • La eliminación/revocación iniciada por el remitente DEBE hacer que el acceso posterior falle (los tokens se invalidan/el estado deniega el acceso).
  • La eliminación DEBE desencadenar la limpieza de objetos relacionados (fragmentos/manifiesto) cuando sea posible.
  • El comportamiento del sistema DEBE ser coherente para los destinatarios: las transferencias revocadas/vencidas deben mostrar un motivo claro.

6.3 Política de caducidad y limpieza automatizada

6.3.1 Activadores de vencimiento

  • Las transferencias DEBEN tener un expiresAt política (retención basada en plan o TTL seleccionado por el usuario).
  • Después del vencimiento, DEBE denegarse el acceso incluso si el texto cifrado todavía existe temporalmente.

6.3.2 Limpieza automatizada

  • La limpieza en segundo plano DEBE eliminar fragmentos/manifiestos caducados dentro de un período razonable.
  • La limpieza debe ser resistente a reintentos y fallas parciales (eliminación idempotente).

6.3.3 Restricciones de UX después del vencimiento

  • Los destinatarios DEBEN ver un estado explícito "Caducado" y el siguiente paso (contactar al remitente).
  • Los remitentes DEBEN poder distinguir "caducado" de "revocado" en la interfaz de usuario de administración.

6.4 Garantías visibles para el usuario

  • La eliminación/revocación DEBE surtir efecto inmediatamente para el control de acceso (fallo cerrado).
  • La eliminación física del almacenamiento PUEDE ser eventual; sin embargo, el acceso debe permanecer denegado sin volver a habilitarlo.
  • Los registros y las pruebas deben ser mínimos y no deben incluir secretos (fragmentos/CEK).

6.5 ID de reclamaciones relacionadas