Livre blanc sur la sécurité et la confidentialité (présentation)Chapitre 6
Chapitre 6 Cycle de vie et suppression des données
Ce chapitre définit le cycle de vie des données chiffrées (morceaux de texte chiffré et manifestes) : création, conservation, expiration et suppression. L’objectif est d’obtenir un comportement prévisible pour les utilisateurs et les auditeurs tout en maintenant les limites de la connaissance nulle.
6.1 Catégories de données
- Morceaux de texte chiffré : morceaux de fichiers cryptés stockés dans le stockage d’objets.
- Manifest: paramètres publics nécessaires au téléchargement/assemblage (pas de CEK).
- State: autorisation, progression, durée de vie, indicateurs de révocation et preuve de livraison minimale.
6.2 Sémantique de suppression
- La suppression/révocation initiée par l'expéditeur DOIT faire échouer l'accès ultérieur (jetons invalidés/état refusant l'accès).
- La suppression DEVRAIT déclencher le nettoyage des objets associés (morceaux/manifeste) lorsque cela est possible.
- Le comportement du système DOIT être cohérent pour les destinataires : les transferts révoqués/expirés doivent indiquer une raison claire.
6.3 Politique d'expiration et nettoyage automatisé
6.3.1 Déclencheurs d'expiration
- Les transferts DEVRAIENT avoir un
expiresAtpolitique (rétention basée sur le plan ou durée de vie sélectionnée par l'utilisateur). - Après l'expiration, l'accès DOIT être refusé même si le texte chiffré existe encore temporairement.
6.3.2 Nettoyage automatisé
- Le nettoyage en arrière-plan DEVRAIT supprimer les morceaux/manifestes expirés dans un délai raisonnable.
- Le nettoyage doit être résilient aux tentatives et aux échecs partiels (suppression idempotente).
6.3.3 Contraintes UX après expiration
- Les destinataires DOIVENT voir un état explicite « Expiré » et l'étape suivante (contacter l'expéditeur).
- Les expéditeurs DEVRAIENT être capables de distinguer « expiré » de « révoqué » dans l'interface utilisateur de gestion.
6.4 Garanties visibles par l'utilisateur
- La suppression/révocation DOIT prendre effet immédiatement pour le contrôle d’accès (échec fermé).
- La suppression physique du stockage PEUT être éventuelle ; cependant, l'accès doit rester refusé sans réactivation.
- Les journaux et les preuves doivent rester minimes et ne doivent pas inclure de secrets (fragments/CEK).
6.5 ID de réclamation associés
- See Annexe : ID de réclamation pour la cartographie faisant autorité.