12.3. Attestierung basierend auf Epochen-ID

Epochen-IDs, die in Abschnitt 10.3 beschrieben werden, können von einem Angreifer manipuliert, wiedergegeben, verworfen, verzögert und neu angeordnet werden.

Ein Angreifer könnte entweder extern sein oder zur Verteilungsgruppe gehören (zum Beispiel, wenn eine der Attestierer-Entitäten kompromittiert wurde).

Ein Angreifer, der in der Lage ist, Epochen-IDs zu manipulieren, kann möglicherweise alle Teilnehmer für immer in einer bestimmten Epoche seiner Wahl sperren und die Zeit effektiv einfrieren. Dies ist problematisch, da es die Fähigkeit zerstört, die Frische von Beweisen und Attestierungsergebnissen festzustellen.

Um diese Bedrohung zu mindern, sollte der Transport mindestens integritätsgeschützt sein und Ursprungsauthentifizierung bereitstellen.

Das selektive Verwerfen von Epochen-IDs entspricht dem Fixieren des Opferknotens auf eine vergangene Epoche. Ein Angreifer könnte Epochen-IDs nur an einige Entitäten verwerfen und nicht an andere, was typischerweise zu einem Denial-of-Service aufgrund der dauerhaften Veralterung des Attestierungsergebnisses oder der Beweise führt.

Das Verzögern oder Neuordnen von Epochen-IDs entspricht dem Manipulieren der Zeitlinie des Opfers nach Belieben. Diese Fähigkeit könnte von einem böswilligen Akteur (z. B. einem kompromittierten Router) verwendet werden, um einen Verwirrungsangriff durchzuführen. Beispielsweise kann ein Verifizierer dazu verleitet werden, Beweise aus einer vergangenen Epoche als frisch zu akzeptieren, während in der Zwischenzeit der Attestierer kompromittiert wurde.

Neuordnungs- und Verwerfungsangriffe werden gemildert, wenn der Transport die Fähigkeit bietet, Neuordnung und Verwerfung zu erkennen. Der oben beschriebene Verzögerungsangriff kann jedoch auf diese Weise nicht vereitelt werden.