Logo

Artigo sobre segurança e privacidade (visão geral)Capítulo 6

Capítulo 6 Ciclo de vida e exclusão de dados

Este capítulo define o ciclo de vida dos dados criptografados (pedaços e manifestos de texto cifrado): criação, retenção, expiração e exclusão. O objetivo é um comportamento previsível para usuários e auditores, mantendo ao mesmo tempo limites de conhecimento zero.

6.1 Categorias de dados

  • Pedaços de texto cifrado: pedaços de arquivos criptografados armazenados no armazenamento de objetos.
  • Manifest: parâmetros públicos necessários para download/montagem (sem CEK).
  • State: autorização, progresso, TTL, sinalizadores de revogação e evidência mínima de entrega.

6.2 Semântica de exclusão

  • A exclusão/revogação iniciada pelo remetente DEVE fazer com que o acesso subsequente falhe (tokens invalidados/estado nega acesso).
  • A exclusão DEVE desencadear a limpeza de objetos relacionados (pedaços/manifesto) sempre que possível.
  • O comportamento do sistema DEVE ser consistente para os destinatários: as transferências revogadas/expiradas devem mostrar um motivo claro.

6.3 Política de expiração e limpeza automatizada

6.3.1 Gatilhos de expiração

  • As transferências DEVEM ter um expiresAt política (retenção baseada em plano ou TTL selecionado pelo usuário).
  • Após a expiração, o acesso DEVE ser negado mesmo que o texto cifrado ainda exista temporariamente.

6.3.2 Limpeza automatizada

  • A limpeza em segundo plano DEVE excluir pedaços/manifestos expirados dentro de uma janela razoável.
  • A limpeza deve ser resiliente a novas tentativas e falhas parciais (exclusão idempotente).

6.3.3 Restrições de UX após expiração

  • Os destinatários DEVEM ver um estado "Expirado" explícito e a próxima etapa (contatar o remetente).
  • Os remetentes DEVEM ser capazes de distinguir "expirado" de "revogado" na interface de gerenciamento.

6.4 Garantias visíveis ao usuário

  • A exclusão/revogação DEVE entrar em vigor para o controle de acesso imediatamente (falha no fechamento).
  • A exclusão física do armazenamento PODE ser eventual; no entanto, o acesso deve permanecer negado sem reativação.
  • Os registros e as evidências devem permanecer mínimos e não devem incluir segredos (fragmentos/CEK).

6.5 IDs de reivindicações relacionadas