12.3. Attestazione basata su ID epoca

Gli ID epoca, descritti nella Sezione 10.3, possono essere manomessi, riprodotti, eliminati, ritardati e riordinati da un attaccante.

Un attaccante potrebbe essere esterno o appartenere al gruppo di distribuzione (ad esempio, se una delle entità Attester è stata compromessa).

Un attaccante in grado di manomettere gli ID epoca può potenzialmente bloccare tutti i partecipanti in una certa epoca di sua scelta per sempre, congelando efficacemente il tempo. Questo è problematico poiché distrugge la capacità di accertare la freschezza dell'Evidence e degli Attestation Results.

Per mitigare questa minaccia, il trasporto dovrebbe essere almeno protetto nell'integrità e fornire autenticazione dell'origine.

L'eliminazione selettiva degli ID epoca equivale a fissare il nodo vittima a un'epoca passata. Un attaccante potrebbe eliminare gli ID epoca solo ad alcune entità e non ad altre, il che risulterà tipicamente in un denial of service a causa dell'obsolescenza permanente dell'Attestation Result o dell'Evidence.

Il ritardo o il riordino degli ID epoca equivale a manipolare la timeline della vittima a piacimento. Questa capacità potrebbe essere utilizzata da un attore malintenzionato (ad esempio, un router compromesso) per montare un attacco di confusione. Ad esempio, un Verifier può essere indotto ad accettare Evidence proveniente da un'epoca passata come fresca, mentre, nel frattempo, l'Attester è stato compromesso.

Gli attacchi di riordino ed eliminazione sono mitigati se il trasporto fornisce la capacità di rilevare il riordino e l'eliminazione. Tuttavia, l'attacco di ritardo descritto sopra non può essere contrastato in questo modo.