8장 개인 정보 보호 및 영지식 설계
이 장에서는 FileBolt의 영지식 모델에 따른 개인 정보 보호 경계, 즉 비밀이 존재하는 위치(클라이언트만 해당)를 명확히 설명합니다. 서버가 관찰하는 내용(최소 메타데이터) 및 키 자료 유출을 방지하기 위해 탐색/리퍼러 동작을 제어하는 방법.
8.1 영지식 경계
- 암호화/복호화 및 CEK 생성은 클라이언트에서만 발생합니다.
- 서버는 암호문과 공개 매개변수를 처리하며 CEK를 학습해서는 안 됩니다.
- 링크 공유는 기능 경계입니다. 전체 링크(조각 포함)를 가진 사람은 누구나 암호를 해독할 수 있습니다.
8.2 서버가 볼 수 있는 것
- 운영 메타데이터: transferId, 청크 수, 크기, 타임스탬프, 토큰 검증 이벤트.
- 활성화된 경우 보낸 사람에 대한 최소한의 배달 증거(다운로드 횟수/상태)입니다.
- 로그 또는 분석에 조각/CEK를 포함하면 안 됩니다. 필요한 경우가 아니면 원시 파일 이름을 저장하지 마십시오.
8.3 URL 조각 및 리퍼러 처리
- CEK 자료는 URL 조각(
#), 이는 HTTP 요청에서 서버로 전송되지 않습니다. - 페이지는 URL이 제3자에게 유출되는 것을 방지하기 위해 엄격한 리퍼러 정책을 사용해야 합니다.
- 클라이언트는 우발적인 유출을 줄이기 위해 조각을 구문 분석한 후 주소 표시줄을 지울 수 있습니다(UX에 따라 다름).
8.4 발신자 감사 개인 정보 보호 경계(수신자에게 표시되지 않음)
- 전송에 대한 감사/분석 데이터는 기본적으로 보낸 사람에게만 표시됩니다.
- 수신자 페이지는 발신자 전용 분석 엔드포인트 또는 토큰을 노출해서는 안 됩니다.
8.5 사용자 모범 사례
- 공유 링크를 공공 장소에 붙여넣지 마십시오. 전체 링크를 기능으로 취급합니다.
- 손상된 장치나 신뢰할 수 없는 확장 프로그램이 포함된 링크를 열지 마세요.
- 발신자가 링크 보안 이상의 추가 액세스 제어가 필요한 경우 비밀번호/제한을 사용하십시오.
8.6 관련 청구 ID
- See 부록: 청구 ID 신뢰할 수 있는 매핑을 위해.