11. Considérations relatives à la vie privée
La transmission de preuves et les résultats d'attestation qui en résultent révèlent une grande quantité d'informations sur l'état interne d'un appareil ainsi que potentiellement sur tout utilisateur de l'appareil.
Dans de nombreux cas, le but même des procédures d'attestation est de fournir des informations fiables sur le type de l'appareil et le micrologiciel/logiciel que l'appareil exécute.
Ces informations pourraient être particulièrement intéressantes pour de nombreux attaquants. Par exemple, savoir qu'un appareil exécute une version faible de micrologiciel fournit un moyen de mieux cibler les attaques.
Dans certaines circonstances, si un attaquant peut prendre connaissance des endorsements, des valeurs de référence ou des politiques d'évaluation, cela pourrait potentiellement fournir à un attaquant un aperçu des atténuations défensives. Il est recommandé d'accorder une attention particulière à la confidentialité de ces informations.
De plus, de nombreuses preuves, résultats d'attestation et politiques d'évaluation contiennent potentiellement des informations personnellement identifiables (PII) en fonction du cas d'utilisation de bout en bout de la procédure d'attestation à distance. L'attestation à distance qui inclut des conteneurs et des applications, par exemple un tensiomètre, peut en outre révéler des détails sur des systèmes ou des utilisateurs spécifiques.
Dans certains cas, un attaquant peut être en mesure de faire des déductions sur le contenu des preuves à partir des effets ou du timing du traitement qui en résultent. Par exemple, un attaquant pourrait être en mesure de déduire la valeur de revendications spécifiques s'il savait que seules certaines valeurs étaient acceptées par la partie utilisatrice.
Les messages conceptuels (voir Section 8) transportant des informations sensibles ou confidentielles sont censés être protégés en intégrité (c'est-à-dire soit par signature, soit via un canal sécurisé) et peuvent éventuellement être protégés en confidentialité via le chiffrement. S'il n'y a pas de protection de confidentialité des messages conceptuels eux-mêmes, le protocole de transport sous-jacent doit fournir ces protections.
Comme les preuves peuvent contenir des informations sensibles ou confidentielles, les attestateurs sont responsables de n'envoyer de telles preuves qu'à des vérificateurs de confiance. Certains attestateurs pourraient vouloir un niveau d'assurance plus élevé de la fiabilité d'un vérificateur avant de lui envoyer des preuves. Dans de tels cas, un attestateur peut d'abord agir en tant que partie utilisatrice et demander le propre résultat d'attestation du vérificateur. L'évaluant comme une partie utilisatrice évaluerait un résultat d'attestation à toute autre fin.
Une autre approche pour traiter les preuves consiste à supprimer les PII des preuves tout en étant toujours en mesure de vérifier que l'attestateur fait partie d'un grand ensemble. Cette approche est souvent appelée "attestation anonyme directe". Voir la Section 6.2 de [CCC-DeepDive] et [RATS-DAA] pour plus de discussion.