Whitepaper su sicurezza e privacy (panoramica)Capitolo 6
Capitolo 6 Ciclo di vita e cancellazione dei dati
Questo capitolo definisce il ciclo di vita dei dati crittografati (blocchi di testo cifrato e manifest): creazione, conservazione, scadenza ed eliminazione. L’obiettivo è un comportamento prevedibile per utenti e revisori, pur mantenendo i limiti della conoscenza zero.
6.1 Categorie di dati
- Pezzi di testo cifrato: pezzi di file crittografati archiviati nell'archivio oggetti.
- Manifest: parametri pubblici necessari per il download/assemblaggio (no CEK).
- State: autorizzazione, avanzamento, TTL, flag di revoca e prove di consegna minime.
6.2 Semantica di cancellazione
- La cancellazione/revoca avviata dal mittente DEVE impedire l'accesso successivo (token invalidati/lo stato nega l'accesso).
- La cancellazione DOVREBBE innescare la pulizia degli oggetti correlati (pezzi/manifest) ove fattibile.
- Il comportamento del sistema DEVE essere coerente per i destinatari: i trasferimenti revocati/scaduti devono mostrare un motivo chiaro.
6.3 Politica di scadenza e pulizia automatizzata
6.3.1 Trigger di scadenza
- I trasferimenti DOVREBBERO avere un
expiresAtpolitica (conservazione basata sul piano o TTL selezionato dall'utente). - Dopo la scadenza, l'accesso DEVE essere negato anche se il testo cifrato esiste ancora temporaneamente.
6.3.2 Pulizia automatizzata
- La pulizia in background DOVREBBE eliminare blocchi/manifesti scaduti entro un periodo di tempo ragionevole.
- La pulizia deve essere resistente ai tentativi e agli errori parziali (eliminazione idempotente).
6.3.3 Vincoli UX dopo la scadenza
- I destinatari DEVONO vedere uno stato esplicito "Scaduto" e il passaggio successivo (contattare il mittente).
- I mittenti DOVREBBERO essere in grado di distinguere "scaduto" da "revocato" nell'interfaccia utente di gestione.
6.4 Garanzie visibili all'utente
- La cancellazione/revoca DEVE avere effetto immediato per il controllo degli accessi (fail closed).
- La cancellazione fisica dall'archivio POTREBBE essere eventuale; tuttavia, l'accesso deve rimanere negato senza riattivazione.
- I registri e le prove devono rimanere minimi e non devono includere segreti (frammenti/CEK).
6.5 ID di reclamo correlati
- See Appendice: ID richiesta per la mappatura autorevole.