7.1. Partie utilisatrice
7.1. Partie utilisatrice
Ce document couvre les scénarios dans lesquels une partie utilisatrice fait confiance à un vérificateur capable d'évaluer la fiabilité des informations sur un attestateur. Une telle confiance est exprimée en stockant une ou plusieurs "ancres de confiance" dans un emplacement sécurisé appelé "magasin d'ancres de confiance".
Comme défini dans [RFC6024]:
Une ancre de confiance représente une entité faisant autorité via une clé publique et des données associées. La clé publique est utilisée pour vérifier les signatures numériques, et les données associées sont utilisées pour contraindre les types d'informations pour lesquels l'ancre de confiance fait autorité.
L'ancre de confiance peut être un certificat ou il peut s'agir d'une clé publique brute avec des données supplémentaires si nécessaire, telles que son algorithme de clé publique et ses paramètres. Dans le contexte de ce document, une ancre de confiance peut également être une clé symétrique, comme dans [TCG-DICE-SIBDA], ou le mode symétrique décrit dans [RATS-PSA-TOKEN].
Ainsi, faire confiance à un vérificateur peut être exprimé en faisant stocker par la partie utilisatrice la clé ou le certificat du vérificateur dans son magasin d'ancres de confiance. Cela peut également être exprimé en stockant la clé publique ou le certificat d'une entité (par exemple, une autorité de certification) qui se trouve dans le chemin de certificat du vérificateur. Par exemple, la partie utilisatrice peut vérifier que le vérificateur est celui attendu par l'établissement hors bande de matériel de clé combiné avec un protocole comme TLS pour communiquer. Il y a une hypothèse selon laquelle le vérificateur n'a pas été compromis entre l'établissement du matériel de clé de confiance et la création de la preuve.
Pour un niveau de sécurité plus élevé, la partie utilisatrice peut exiger que le vérificateur fournisse d'abord des informations sur lui-même que la partie utilisatrice peut utiliser pour évaluer la fiabilité du vérificateur avant d'accepter ses résultats d'attestation. Un tel processus fournirait un niveau de confiance plus élevé dans l'exactitude des informations fournies, comme la conviction que le vérificateur authentique n'a pas été compromis par un logiciel malveillant.
Par exemple, une façon explicite pour une partie utilisatrice "A" d'établir une telle confiance dans l'exactitude d'un vérificateur "B" serait que B agisse d'abord comme un attestateur où A agit comme un vérificateur/partie utilisatrice combiné. Si A accepte alors B comme digne de confiance, il peut choisir d'accepter B comme vérificateur pour d'autres attestateurs.
De même, la partie utilisatrice doit également faire confiance au propriétaire de la partie utilisatrice pour fournir sa politique d'évaluation pour les résultats d'attestation, et, dans certains scénarios, la partie utilisatrice peut même exiger que le propriétaire de la partie utilisatrice passe par une procédure d'attestation à distance avec elle avant que la partie utilisatrice n'accepte une politique mise à jour. Cela peut être fait d'une manière similaire à la façon dont une partie utilisatrice pourrait établir la confiance dans un vérificateur comme discuté ci-dessus, c'est-à-dire en vérifiant les identifiants par rapport à un magasin d'ancres de confiance et en exigeant éventuellement des résultats d'attestation du propriétaire de la partie utilisatrice.