Logo

安全與隱私白皮書(概述)Appendix

附錄:索賠 ID 索引(單一事實來源)

本附錄是白皮書中所有聲明 ID 的唯一事實來源。每個聲明都有一個唯一的、穩定的識別碼和錨點,並以單行形式呈現,並帶有 Statement and Evidence。證據僅連結到可重複驗證的權威參考(章節錨點或狀態/第三方報告入口點),而不連結到螢幕截圖或重新託管的內容。

保養細則

  • MUST:索賠ID唯一且穩定;一旦發布,它們就不會重複使用。
  • MUST:每個主張的證據必須可重複驗證(章節錨點或權威的第三者入口點)。
  • MUST:陳述必須僅斷言證據支持的內容;避免使用「絕對安全」的語言。
  • SHOULD:當實施或保單變更影響索賠時,請將其記錄在變更日誌中並鏈接受影響的索賠 ID。

第 1-4 章(範圍、威脅模型、架構、AuthZ)

SCOPE-01

Statement: 該文件明確定義了範圍內與範圍外的風險以及系統安全邊界。 Evidence:1.31.4

THREAT-01

Statement: 威脅模型涵蓋網路攻擊、未經授權的下載、儲存/伺服器端讀取嘗試和瀏覽器端攻擊者。 Evidence:2.2

BOUNDARY-01

Statement: 信任邊界清楚地劃分了客戶端、伺服器、物件儲存和外部環境之間的責任;伺服器不得取得 CEK。 Evidence:2.4

FAILCLOSE-01

Statement: 如果身份驗證失敗或上下文不一致,系統必須失敗關閉並且不輸出部分明文。 Evidence:2.5

ARCH-01

Statement: 核心資料物件清晰分離:加密區塊、清單和稽核資料彼此隔離。 Evidence:3.2

FLOW-UP-01

Statement: 上傳流程包括建立 TransferId 並頒發具有嚴格範圍和到期控制的短期存取權杖(基於查找的會話令牌)。 Evidence:3.3

FLOW-DL-01

Statement: 下載解析URL片段取得CEK;清單和區塊讀取使用不同範圍的令牌;身份驗證失敗失敗關閉。 Evidence:3.42.5

AUTH-TOKEN-01

Statement: 短期存取權杖是伺服器端會話令牌(基於查找),它們會過期,用於對密文和清單的存取控制。 Evidence:4.2

AUTH-SCOPE-01

Statement: 令牌由 read_manifest / read_chunk / upload_chunk 等範圍分隔,並經過嚴格驗證。 Evidence:4.34.43.4

AUTH-PAID-01

Statement: 付費用戶透過一次性魔術連結登錄,並獲得長期客戶端持有的令牌,用於發送方管理操作。 Evidence:4.13.5

REVOKE-01

Statement: 寄件者可以撤銷存取:刪除傳輸或刪除檔案會使下載提前無效並拒絕後續存取。 Evidence:4.5

AUDIT-01

Statement: 下載計數和進度等審核資料僅對發送者可見,對接收者不可見。 Evidence:4.63.5

LOG-01

Statement: 用戶端和伺服器日誌/遙測不包括 CEK、URL 片段或任何可衍生的金鑰材料。 Evidence:4.710.2

第 5 章(密碼學與金鑰管理)

CRYPTO-ZK-01

Statement: CEK僅在瀏覽器中產生並透過URL片段分發;伺服器永遠不會產生包含 CEK 的完整下載連結。 Evidence:5.3.15.3.2

CRYPTO-ZK-02

Statement: 伺服器不接收/儲存/記錄CEK;物件儲存僅儲存加密的區塊。 Evidence:5.05.5.1

CRYPTO-E2EE-01

Statement: 區塊使用 AES-128-GCM;身份驗證失敗必須失敗關閉並且不輸出部分明文。 Evidence:5.4.25.8.4

CRYPTO-CHUNK-01

Statement: chunkSize 固定為 16MB (16777216)。 Evidence:5.4.15.8.1

CRYPTO-NONCE-01

Statement: IV 派生為 noncePrefix(8B)||uint32_be(chunkIndex) 且不得在同一 CEK 下重複。 Evidence:5.4.35.8.1

CRYPTO-AAD-01

Statement: AAD綁定到transferId + fileId + chunkIndex並透過EncodeAAD_v1進行編碼。 Evidence:5.4.4

CRYPTO-CLIENT-01

Statement: 下載/解密頁面不載入第三方腳本;客戶端日誌/遙測不包括片段或關鍵資料。 Evidence:5.610.2

CRYPTO-TLS-01

Statement: 強制執行全站 HTTPS; TLS 配置可透過公共第三方報告進行驗證。 Evidence:5.1.2/status#tls-configuration

第 6-7 章(資料生命週期/濫用防禦)

LIFECYCLE-01

Statement: 過期和用戶發起的刪除觸發清理;支援撤銷以提前使下載失效。 Evidence:6.26.34.5

ABUSE-01

Statement: 濫用防禦使用速率限制和分層控制,在不打破零知識邊界的情況下進行操作。 Evidence:7.27.4

第 8-9 章(隱私/網路安全與隔離)

PRIVACY-01

Statement: 零知識定義和承諾明確:CEK僅在客戶端產生和使用;伺服器無法恢復金鑰。 Evidence:8.1

PRIVACY-02

Statement: URL 片段的隱私影響(複製/貼上、引薦來源網址洩漏、日誌記錄)已透過緩解措施記錄。 Evidence:8.210.2

WEB-01

Statement: 關鍵頁面強制執行嚴格的 CSP 和資源邊界,以減少注入和點擊劫持風險。 Evidence:9.19.3

WEB-HEADERS-01

Statement: 安全標頭基線可透過公共第三方報告進行驗證。 Evidence:/status#security-headers

WEB-OBS-01

Statement: 可以透過公共第三方最佳實踐掃描來檢查該網站。 Evidence:/status#http-observatory

第 10–12 章(日誌記錄和 IR/漏洞揭露/證據)

OBS-01

Statement: 可觀察性遵循最低原則,僅涵蓋操作/安全需求並使用聚合/採樣策略。 Evidence:10.1

IR-01

Statement: 定義安全事件回應流程(嚴重性、遏制、事後分析、補救和公告)。 Evidence:10.4

VDP-01

Statement: 存在漏洞揭露流程,並優先考慮可能影響零知識邊界的問題。 Evidence:11.2

EV-01

Statement: 狀態頁面聚合第三方證據入口點;證據連結到權威來源並澄清適用範圍。 Evidence:12.212.6