Zum Hauptinhalt springen

11. Datenschutzüberlegungen

Die Übermittlung von Nachweisen und die daraus resultierenden Attestierungsergebnisse offenbaren eine große Menge an Informationen über den internen Zustand eines Geräts sowie potenziell über alle Benutzer des Geräts.

In vielen Fällen besteht der gesamte Zweck von Attestierungsverfahren darin, zuverlässige Informationen über den Typ des Geräts und die Firmware/Software bereitzustellen, die das Gerät ausführt.

Diese Informationen könnten für viele Angreifer besonders interessant sein. Zum Beispiel bietet das Wissen, dass ein Gerät eine schwache Firmware-Version ausführt, eine Möglichkeit, Angriffe besser zu zielen.

Unter bestimmten Umständen könnte es einem Angreifer, wenn er sich der Endorsements, Referenzwerte oder Bewertungsrichtlinien bewusst werden kann, potenziell Einblick in defensive Abhilfemaßnahmen geben. Es wird empfohlen, der Vertraulichkeit solcher Informationen Aufmerksamkeit zu schenken.

Darüber hinaus enthalten viele Nachweise, Attestierungsergebnisse und Bewertungsrichtlinien potenziell personenbezogene Daten (PII), abhängig vom End-to-End-Anwendungsfall des Remote-Attestierungsverfahrens. Remote-Attestierung, die Container und Anwendungen umfasst, z. B. ein Blutdruckmessgerät, kann zusätzlich Details über spezifische Systeme oder Benutzer offenlegen.

In einigen Fällen kann ein Angreifer möglicherweise Rückschlüsse auf den Inhalt von Nachweisen aus den resultierenden Auswirkungen oder dem Timing der Verarbeitung ziehen. Beispielsweise könnte ein Angreifer möglicherweise den Wert bestimmter Claims ableiten, wenn er wüsste, dass nur bestimmte Werte von der vertrauenden Partei akzeptiert werden.

Konzeptuelle Nachrichten (siehe Abschnitt 8), die sensible oder vertrauliche Informationen tragen, sollen integritätsgeschützt sein (d. h. entweder durch Signierung oder über einen sicheren Kanal) und können optional durch Verschlüsselung vertraulich geschützt werden. Wenn es keinen Vertraulichkeitsschutz der konzeptuellen Nachrichten selbst gibt, sollte das zugrunde liegende Übertragungsprotokoll diese Schutzmaßnahmen bereitstellen.

Da Nachweise sensible oder vertrauliche Informationen enthalten können, sind Attestatoren dafür verantwortlich, solche Nachweise nur an vertrauenswürdige Verifizierer zu senden. Einige Attestatoren möchten möglicherweise eine stärkere Sicherheitsstufe bezüglich der Vertrauenswürdigkeit eines Verifizierers, bevor sie ihm Nachweise senden. In solchen Fällen kann ein Attestator zuerst als vertrauende Partei fungieren und das eigene Attestierungsergebnis des Verifizierers anfordern. Es wird genauso bewertet, wie eine vertrauende Partei ein Attestierungsergebnis für jeden anderen Zweck bewerten würde.

Ein anderer Ansatz zum Umgang mit Nachweisen besteht darin, PII aus den Nachweisen zu entfernen und gleichzeitig überprüfen zu können, dass der Attestator einer von einer großen Menge ist. Dieser Ansatz wird oft als "direkte anonyme Attestierung" bezeichnet. Siehe Abschnitt 6.2 von [CCC-DeepDive] und [RATS-DAA] für weitere Diskussionen.

Letztes Update am