Logo

Livre blanc sur la sécurité et la confidentialité (présentation)Chapitre 8

Chapitre 8 Confidentialité et conception sans connaissance

Ce chapitre clarifie les limites de confidentialité dans le modèle sans connaissance de FileBolt : où résident les secrets (client uniquement), ce que le serveur observe (métadonnées minimales) et comment le comportement de navigation/référence est contrôlé pour éviter les fuites de matériel clé.

8.1 Limite de connaissance nulle

  • Le cryptage/déchiffrement et la génération de CEK se produisent uniquement sur le client.
  • Le serveur gère le texte chiffré et les paramètres publics et NE DOIT PAS apprendre le CEK.
  • Le partage de lien est la limite des capacités : toute personne disposant du lien complet (y compris le fragment) peut déchiffrer.

8.2 Ce que le serveur peut voir

  • Métadonnées opérationnelles : transferId, nombre de blocs, tailles, horodatages, événements de validation de jeton.
  • Preuve de livraison minimale pour les expéditeurs (nombre de téléchargements/statut) si elle est activée.
  • NE DOIT PAS inclure de fragments/CEK dans les journaux ou les analyses ; évitez de stocker les noms de fichiers bruts, sauf si cela est nécessaire.

8.3 Gestion des fragments d'URL et des référents

  • Le matériel CEK DOIT résider dans le fragment d'URL (#), qui n'est pas envoyé au serveur dans les requêtes HTTP.
  • Les pages DEVRAIENT utiliser une politique de référence stricte pour éviter de divulguer des URL à des tiers.
  • Les clients PEUVENT effacer la barre d'adresse après avoir analysé le fragment pour réduire les fuites accidentelles (en fonction de l'UX).

8.4 Limite de confidentialité de l'audit de l'expéditeur (non visible pour les destinataires)

  • Les données d'audit/d'analyse concernant un transfert ne sont visibles que par l'expéditeur.
  • Les pages du destinataire ne DOIVENT pas exposer les points de terminaison ou les jetons d’analyse réservés à l’expéditeur.

8.5 Bonnes pratiques des utilisateurs

  • Ne collez pas de liens de partage dans des lieux publics ; traiter le lien complet comme une capacité.
  • Évitez d'ouvrir des liens sur des appareils compromis ou avec des extensions non fiables.
  • Utilisez des mots de passe/limites lorsque l'expéditeur a besoin d'un contrôle d'accès supplémentaire au-delà du secret du lien.

8.6 ID de réclamation associés