Passa al contenuto principale

11. Considerazioni sulla privacy

La trasmissione di prove e i risultati di attestazione risultanti rivelano una grande quantità di informazioni sullo stato interno di un dispositivo così come potenzialmente su qualsiasi utente del dispositivo.

In molti casi, l'intero scopo delle procedure di attestazione è quello di fornire informazioni affidabili sul tipo di dispositivo e sul firmware/software che il dispositivo sta eseguendo.

Queste informazioni potrebbero essere particolarmente interessanti per molti attaccanti. Ad esempio, sapere che un dispositivo sta eseguendo una versione debole di firmware fornisce un modo per mirare meglio gli attacchi.

In alcune circostanze, se un attaccante può venire a conoscenza di approvazioni, valori di riferimento o politiche di valutazione, potrebbe potenzialmente fornire all'attaccante una visione delle mitigazioni difensive. Si raccomanda di prestare attenzione alla riservatezza di tali informazioni.

Inoltre, molte prove, risultati di attestazione e politiche di valutazione contengono potenzialmente informazioni di identificazione personale (PII) a seconda del caso d'uso end-to-end della procedura di attestazione remota. L'attestazione remota che include contenitori e applicazioni, ad esempio un misuratore di pressione sanguigna, può ulteriormente rivelare dettagli su sistemi o utenti specifici.

In alcuni casi, un attaccante potrebbe essere in grado di fare inferenze sul contenuto delle prove dagli effetti risultanti o dalla tempistica dell'elaborazione. Ad esempio, un attaccante potrebbe essere in grado di dedurre il valore di claim specifici se sapesse che solo determinati valori erano accettati dalla parte affidante.

I messaggi concettuali (vedere Sezione 8) che trasportano informazioni sensibili o riservate dovrebbero essere protetti in integrità (cioè tramite firma o un canale sicuro) e opzionalmente potrebbero essere protetti in riservatezza tramite crittografia. Se non c'è protezione della riservatezza dei messaggi concettuali stessi, il protocollo di trasporto sottostante dovrebbe fornire queste protezioni.

Poiché le prove potrebbero contenere informazioni sensibili o riservate, gli attestatori sono responsabili di inviare tali prove solo a verificatori di fiducia. Alcuni attestatori potrebbero volere un livello più forte di garanzia dell'affidabilità di un verificatore prima di inviargli le prove. In tali casi, un attestatore può prima agire come parte affidante e chiedere il proprio risultato di attestazione del verificatore. Valutandolo proprio come una parte affidante valuterebbe un risultato di attestazione per qualsiasi altro scopo.

Un altro approccio per gestire le prove è rimuovere le PII dalle prove pur essendo ancora in grado di verificare che l'attestatore sia uno di un grande insieme. Questo approccio è spesso chiamato "attestazione anonima diretta". Vedere la Sezione 6.2 di [CCC-DeepDive] e [RATS-DAA] per ulteriori discussioni.

Ultimo aggiornamento il