Logo

セキュリティとプライバシーに関するホワイトペーパー (概要)第6章

第 6 章 データのライフサイクルと削除

この章では、暗号化されたデータ (暗号文チャンクとマニフェスト) のライフサイクル (作成、保持、有効期限、削除) を定義します。 目標は、ゼロ知識の境界を維持しながら、ユーザーと監査人が予測可能な動作を行うことです。

6.1 データカテゴリー

  • 暗号文のチャンク: オブジェクトストレージに保存される暗号化されたファイル部分。
  • Manifest: ダウンロード/アセンブリに必要なパブリック パラメータ (CEK なし)。
  • State: 承認、進行状況、TTL、失効フラグ、および最小限の配信証拠。

6.2 削除のセマンティクス

  • 送信者が開始した削除/取り消しは、その後のアクセスを失敗させなければなりません (トークンが無効化される/状態がアクセスを拒否する)。
  • 可能な場合、削除は関連オブジェクト (チャンク/マニフェスト) のクリーンアップをトリガーする必要があります。
  • システムの動作は受信者に対して一貫していなければなりません。取り消された/期限切れの転送には明確な理由が示される必要があります。

6.3 有効期限ポリシーと自動クリーンアップ

6.3.1 有効期限のトリガー

  • 転送には expiresAt ポリシー (プランベースの保持またはユーザーが選択した TTL)。
  • 有効期限が切れた後は、たとえ暗号文が一時的に存在していても、アクセスは拒否されなければなりません (MUST)。

6.3.2 自動クリーンアップ

  • バックグラウンドクリーンアップでは、期限切れのチャンク/マニフェストを適切な期間内に削除する必要があります(SHOULD)。
  • クリーンアップは、再試行や部分的な失敗 (冪等な削除) に対する回復力を備えている必要があります。

6.3.3 有効期限切れ後の UX 制約

  • 受信者は、明示的な「期限切れ」状態と次のステップ (送信者に連絡する) を確認する必要があります。
  • 送信者は、管理 UI で「期限切れ」と「取り消し」を区別できる必要があります。

6.4 ユーザーに見える保証

  • 削除/取り消しは、アクセス制御を直ちに有効にしなければなりません (フェイルクローズ)。
  • ストレージからの物理的な削除は最終的に行われる可能性があります。ただし、アクセスは再度有効化せずに拒否されたままにする必要があります。
  • ログと証拠は最小限でなければならず、機密情報 (フラグメント/CEK) を含めてはなりません。

6.5 関連するクレーム ID