Logo

第 1 章 概述与安全范围

本章用于定义白皮书的目标、用语规范与术语,并明确 FileBolt 的安全目标与边界条件。 通过清晰划分范围内与范围外风险,避免对系统能力产生误解。

文档信息

白皮书版本
v1.0
最后更新
2026-01-14

上一页: 安全与隐私白皮书(总览)

1.0 文档目的

本白皮书用于说明 FileBolt 的安全设计、信任边界与可验证声明(Claim IDs),帮助用户、审计方与自动化系统理解系统如何保护文件内容机密性、 完整性与访问控制,以及哪些风险不在系统保护范围内。

白皮书内容面向两类读者:其一为需要评估可用性与安全边界的业务用户;其二为需要复核实现与证据入口的安全审计与研究者。 文档提供章节级锚点与附录 Claim IDs,便于引用与机器抽取。

1.1 规范用语与术语

  • 规范用语:MUST(必须) / SHOULD(建议) / MAY(可选)。
  • CEK:内容加密密钥,16 字节(128-bit),每文件一把。
  • E2EE / 零知识:客户端完成加密与解密;服务端仅处理密文与公开参数;服务端不可获得 CEK。
  • transferId / fileId / chunkIndex:传输、文件、分片索引。
  • manifest:transfer 内文件与分片的公开参数集合(如 cryptoVersion、noncePrefix、chunkSize、分片映射);不包含 CEK。
  • 短期访问 token:用于上传/下载密文与读取 manifest 的会话型凭据(服务端查表),到期失效。
  • 长期登录 token:付费用户通过一次性 magic link 登录后获取,客户端存储于 localStorage,用于发送方控制面板等权限操作。
  • Claim IDs:可验证声明编号,用于把文档承诺映射到证据入口与实现细节。

1.2 安全目标

  1. 内容机密性:未持有 CEK 的实体无法获得明文内容。
  2. 内容完整性:任何对密文分片的篡改在解密阶段必须被检测并拒绝输出。
  3. 零知识边界:服务端 MUST NOT 接收、存储或记录 CEK;服务端不可由请求/日志推导 CEK。
  4. 访问控制:获取密文与 manifest MUST 需要有效短期访问 token;token 到期失效。
  5. 可撤销性:发送方 MUST 能通过删除 transfer 或移除文件使其不可下载。
  6. 可观察性:发送方 MUST 能查看下载次数/进度等审计信息;下载方 MUST NOT 看到发送方审计视图数据。

1.3 范围内

  • E2EE/零知识链接模型(CEK 位于 URL fragment)。
  • AES-128-GCM 分片加密与认证(16MB 分片,AAD 绑定上下文)。
  • 服务端会话型短期访问 token(查表)、按操作作用域区分并到期失效。
  • 付费用户 magic link 一次性登录与客户端长期登录 token(localStorage)。
  • 发送方撤销(删除 transfer/移除文件)与下载审计视图(仅发送方可见)。
  • TLS 与 Web 安全基线(状态页第三方报告可辅助验证)。

1.4 范围外

  • 终端设备已被控制(恶意软件/恶意扩展读取 fragment 或内存密钥)。
  • 用户主动泄露分享链接(含 fragment)给不可信第三方。
  • 用户把链接写入会被第三方收集的渠道(聊天记录、工单、公共日志)。
  • 社会工程学与误操作导致的泄露。