12.1.2. Processus de provisionnement des clés d'attestation
Le provisionnement de clé d'attestation est le processus qui se produit en usine ou ailleurs pour établir le matériel de clé de signature sur l'appareil et le matériel de clé de validation hors de l'appareil. Parfois, cette procédure est appelée "personnalisation" ou "customisation".
Lors de la génération de clés hors de l'appareil en usine ou dans l'appareil, l'utilisation d'une séquence cryptographiquement forte ([RFC4086], section 6.2) nécessite une considération.
12.1.2.1. Génération de clés hors de l'appareil
Une façon de provisionner le matériel de clé est de d'abord le générer à l'extérieur de l'appareil, puis de copier la clé sur l'appareil. Dans ce cas, la protection de la confidentialité du générateur et du chemin sur lequel la clé est provisionnée est nécessaire. Le fabricant doit prendre soin de protéger le matériel de clé correspondant avec des mesures appropriées à sa valeur.
Le degré de protection accordé à ce matériel de clé peut varier en fonction de la fonction prévue de l'appareil et des pratiques spécifiques du fabricant ou de l'intégrateur de l'appareil. La protection de la confidentialité est fondamentalement basée sur une certaine quantité de protection physique. Bien que le chiffrement soit souvent utilisé pour fournir la confidentialité lorsqu'une clé est transmise dans une usine où la clé d'attestation est créée ou appliquée, elle doit être disponible sous forme non chiffrée. La protection physique peut donc varier des situations où la clé n'est déchiffrée que dans des enclaves sécurisées soigneusement contrôlées au sein du silicium aux situations où une installation entière est considérée comme sécurisée par le simple moyen de portes verrouillées et d'accès limité.
La cryptographie utilisée pour permettre la protection de la confidentialité de la clé d'attestation s'accompagne de ses propres exigences de sécurisation. Cela entraîne des problèmes récursifs, car le matériel de clé utilisé pour provisionner les clés d'attestation doit à nouveau avoir été provisionné de manière sécurisée au préalable (nécessitant un niveau de protection supplémentaire et ainsi de suite).
Couramment, une combinaison de certaines mesures de sécurité physique et de certaines mesures cryptographiques est utilisée pour établir la protection de la confidentialité.
12.1.2.2. Génération de clés sur l'appareil
Lorsque le matériel de clé est généré dans un appareil et que sa partie secrète ne quitte jamais l'appareil, le problème peut s'atténuer. Pour la cryptographie à clé publique, il n'est pas nécessaire de maintenir la confidentialité de la clé publique. Cependant, l'intégrité de la chaîne de garde de la clé publique est nécessaire afin d'éviter les attaques où un attaquant est capable d'obtenir l'approbation d'une clé que l'attaquant contrôle.
En résumé, le provisionnement de clé d'attestation doit garantir que seul le matériel de clé d'attestation valide est établi dans les attesteurs.