安全與隱私白皮書(概述)第6章
第 6 章 資料生命週期與刪除
本章定義了加密資料(密文區塊和清單)的生命週期:建立、保留、過期和刪除。 目標是使用者和稽核員的行為可預測,同時保持零知識邊界。
6.1 數據類別
- 密文塊: 儲存在物件儲存中的加密文件片段。
- Manifest: 下載/組裝所需的公共參數(無 CEK)。
- State: 授權、進度、TTL、撤銷標誌和最小交付證據。
6.2 刪除語義
- 發送者發起的刪除/撤銷必須使後續存取失敗(令牌無效/狀態拒絕存取)。
- 在可行的情況下,刪除應該觸發相關物件(區塊/清單)的清理。
- 對於接收者來說,系統行為必須保持一致:撤銷/過期的轉帳應顯示明確的原因。
6.3 過期策略與自動清理
6.3.1 過期觸發器
- 轉帳應該有一個
expiresAt策略(基於計劃的保留或使用者選擇的 TTL)。 - 過期後,即使密文暫時仍然存在,也必須拒絕存取。
6.3.2 自動清理
- 後台清理應該在合理的視窗內刪除過期的區塊/清單。
- 清理應該能夠適應重試和部分失敗(冪等刪除)。
6.3.3 過期後的UX約束
- 收件者必須看到明確的「過期」狀態和下一步(聯絡寄件者)。
- 寄件者應該能夠在管理 UI 中區分「過期」和「撤銷」。
6.4 用戶可見的保證
- 刪除/撤銷必須立即對存取控制生效(失敗關閉)。
- 最終可能會從儲存中實體刪除;但是,在不重新啟用的情況下,存取必須保持被拒絕狀態。
- 日誌和證據必須保持最少,並且不得包含秘密(片段/CEK)。
6.5 相關聲明 ID
- See 附錄:索賠 ID 為權威測繪。