第 2 章 脅威モデルと信頼境界

ドキュメントのメタデータ

ホワイトペーパー版

v1.0

最終更新日

2026-01-14

2.1 資産の目録

• コンテンツの機密性: 平文ファイルのバイトと復号キー (CEK) は保護されなければなりません。
• コンテンツの完全性: 暗号文とメタデータは改ざんが明らかでなければなりません (AEAD 認証)。
• アクセス制御: 有効期間の短いアクセス トークン、送信者ログイン トークン、失効状態。
• Availability: 一般的なネットワーク条件下で転送をアップロード、ダウンロード、再開する機能。

2.2 攻撃者モデル

• ネットワーク攻撃者: トラフィックを観察、遅延、ドロップ、およびリプレイすることができます。最新の TLS/AEAD 暗号化を解読することはできません。
• Web 攻撃者: 悪意のあるリンクを作成し、XSS/CSRF を試み、UI インジェクション/プロンプト インジェクションを試みる可能性があります。
• 悪用行為者: アップロード/ダウンロードを自動化してクォータを使い果たしたり、コンテンツを収集したり、トラフィックを増幅したりする可能性があります。
• サーバー側の敵対者は CEK を持っていないものと想定されます。 CEK が漏洩した場合 (リンク共有など)、設計上機密性が失われます。

2.3 セキュリティの前提条件

• クライアントは信頼できるコードを実行します (悪意のある拡張機能やマルウェアはありません)。そうしないと、ゼロ知識ではエンドポイントを保護できません。
• URL フラグメント (#...) は、標準的なブラウザの動作では HTTP リクエストを介してサーバーに送信されません。
• 暗号化プリミティブ (AES-GCM、SHA-256、TLS) は正しく使用されており、壊れていません。

2.4 信頼境界

• クライアント境界: 暗号化/復号化と CEK 管理はクライアントでのみ行われます。
• エッジ/API境界: サーバーはトークンを検証し、暗号文/マニフェストを提供します。 CEK を学習してはなりません。
• オブジェクトストレージ境界: 暗号文のチャンクとマニフェストを保存します。機密保持のために信頼できないものとして扱われます。

2.5 フェールクローズの原理

• トークンの失敗、パラメータの不一致、または AEAD 認証の失敗の場合、システムはフェイルクローズしなければなりません (MUST)。
• 整合性チェックが失敗した場合、部分的な平文を出力してはなりません。
• エラー メッセージとログには機密データを最小限に抑える必要があり、URL フラグメント、CEK、または派生可能なマテリアルを含めてはなりません。