8.4. Risultati di Attestazione
8.4. Risultati di Attestazione
I risultati di attestazione sono l'input utilizzato dalla parte affidante per decidere in che misura si fiderà di un particolare attestatore e gli consentirà di accedere ad alcuni dati o eseguire alcune operazioni.
I risultati di attestazione possono portare un valore booleano che indica conformità o non conformità con la politica di valutazione di un verificatore o possono portare un insieme più ricco di attestazioni sull'attestatore, contro le quali la parte affidante applica la sua politica di valutazione per i risultati di attestazione.
La qualità dei risultati di attestazione dipende dalla capacità del verificatore di valutare l'attestatore. Attestatori diversi hanno una diversa forza di funzione, il che comporta che i risultati di attestazione siano qualitativamente diversi in termini di forza.
Un risultato di attestazione che indica non conformità può essere utilizzato da un attestatore (nel modello Passport) o da una parte affidante (nel modello Background-Check) per indicare che l'attestatore non dovrebbe essere trattato come autorizzato e potrebbe aver bisogno di rimedio. In alcuni casi, potrebbe persino indicare che l'evidenza stessa non può essere autenticata come corretta.
Per impostazione predefinita, la parte affidante non crede che l'attestatore sia conforme. Al ricevimento di un risultato di attestazione autentico e dato che la politica di valutazione per i risultati di attestazione è soddisfatta, all'attestatore è consentito eseguire le azioni prescritte o l'accesso. La politica di valutazione più semplice potrebbe autorizzare la concessione all'attestatore dell'accesso completo o del controllo sulle risorse protette dalla parte affidante. Una politica di valutazione più complessa potrebbe comportare l'uso delle informazioni fornite nel risultato di attestazione per confrontarle con valori attesi o per applicare analisi complesse di altre informazioni contenute nel risultato di attestazione.
Pertanto, i risultati di attestazione possono contenere informazioni dettagliate su un attestatore, che possono includere informazioni sensibili alla privacy come discusso nella Sezione 11. A differenza dell'evidenza, che è spesso molto specifica per dispositivo e fornitore, i risultati di attestazione possono essere neutrali rispetto al fornitore, se il verificatore ha un modo per generare informazioni indipendenti dal fornitore basate sulla valutazione di informazioni specifiche del fornitore nell'evidenza. Ciò consente alla politica di valutazione di una parte affidante di essere più semplice, potenzialmente basata su modi standard di esprimere le informazioni, pur consentendo l'interoperabilità con dispositivi eterogenei.
Infine, mentre l'evidenza è firmata dal dispositivo (o indirettamente da un produttore se vengono utilizzati endorsement), i risultati di attestazione sono firmati da un verificatore, consentendo a una parte affidante di aver bisogno solo di una relazione di fiducia con un'entità piuttosto che con un insieme più ampio di entità ai fini della sua politica di valutazione.