Logo

セキュリティとプライバシーに関するホワイトペーパー (概要)第8章

第 8 章 プライバシーとゼロ知識設計

この章では、FileBolt のゼロ知識モデルにおけるプライバシーの境界を明確にします。秘密が存在する場所 (クライアントのみ)、 サーバーが監視する内容 (最小限のメタデータ)、およびキーマテリアルの漏洩を避けるためにナビゲーション/リファラーの動作をどのように制御するか。

8.1 ゼロ知識境界

  • 暗号化/復号化と CEK の生成はクライアント上でのみ行われます。
  • サーバーは暗号文と公開パラメータを処理するため、CEK を学習してはなりません。
  • リンク共有は機能の境界です。完全なリンク (フラグメントを含む) を持っている人は誰でも復号化できます。

8.2 サーバーから見えるもの

  • 運用メタデータ: transferId、チャンク数、サイズ、タイムスタンプ、トークン検証イベント。
  • 有効な場合、送信者に対する最小限の配信証拠 (ダウンロード数/ステータス)。
  • ログまたは分析にフラグメント/CEK を含めてはなりません。必要な場合を除き、生のファイル名を保存しないでください。

8.3 URL フラグメントとリファラーの処理

  • CEK マテリアルは URL フラグメント (#)、HTTP リクエストではサーバーに送信されません。
  • ページは、第三者への URL の漏洩を避けるために、厳密なリファラー ポリシーを使用する必要があります。
  • クライアントは、偶発的な漏洩を減らすために、フラグメントを解析した後にアドレスバーをクリアしてもよい(UXに依存)。

8.4 送信者の監査プライバシー境界 (受信者には見えない)

  • 転送に関する監査/分析データは、デフォルトでは送信者のみに表示されます。
  • 受信者ページは、送信者のみの分析エンドポイントまたはトークンを公開してはなりません。

8.5 ユーザーのベストプラクティス

  • 共有リンクを公共の場所に貼り付けないでください。完全なリンクを機能として扱います。
  • 侵害されたデバイスや信頼できない拡張機能を含むリンクを開かないようにしてください。
  • 送信者がリンクの機密性を超えて追加のアクセス制御を必要とする場合は、パスワード/制限を使用します。

8.6 関連するクレーム ID