Logo

Artigo sobre segurança e privacidade (visão geral)Capítulo 8

Capítulo 8 Privacidade e design de conhecimento zero

Este capítulo esclarece o limite de privacidade no modelo de conhecimento zero do FileBolt: onde residem os segredos (somente cliente), o que o servidor observa (metadados mínimos) e como o comportamento de navegação/referenciador é controlado para evitar vazamento de material chave.

8.1 Limite de conhecimento zero

  • A criptografia/descriptografia e a geração de CEK acontecem apenas no cliente.
  • O servidor lida com texto cifrado e parâmetros públicos e NÃO DEVE aprender CEK.
  • O compartilhamento de link é o limite da capacidade: qualquer pessoa com o link completo (incluindo fragmento) pode descriptografar.

8.2 O que o servidor pode ver

  • Metadados operacionais: transferId, contagens de blocos, tamanhos, carimbos de data/hora, eventos de validação de token.
  • Evidência mínima de entrega para remetentes (contagens/status de download), se habilitado.
  • NÃO DEVE incluir fragmentos/CEK em logs ou análises; evite armazenar nomes de arquivos brutos, a menos que seja necessário.

8.3 Fragmento de URL e tratamento de referenciador

  • O material CEK DEVE residir no fragmento de URL (#), que não é enviado ao servidor em solicitações HTTP.
  • As páginas DEVEM usar uma política de referência rígida para evitar o vazamento de URLs para terceiros.
  • Os clientes PODEM limpar a barra de endereço após analisar o fragmento para reduzir o vazamento acidental (dependente de UX).

8.4 Limite de privacidade da auditoria do remetente (não visível para os destinatários)

  • Os dados de auditoria/análise sobre uma transferência ficam visíveis apenas para o remetente por padrão.
  • As páginas do destinatário não DEVEM expor endpoints ou tokens analíticos somente do remetente.

8.5 Melhores práticas do usuário

  • Não cole links de compartilhamento em locais públicos; trate o link completo como um recurso.
  • Evite abrir links em dispositivos comprometidos ou com extensões não confiáveis.
  • Use senhas/limites quando o remetente precisar de controle de acesso adicional além do sigilo do link.

8.6 IDs de reivindicações relacionadas