12.2. 概念的メッセージの保護

概念的メッセージ（セクション 8 を参照）で情報を伝達する任意のソリューションは、エンドツーエンドの完全性保護とリプレイ攻撃防止をサポートする必要があります。また、以下を含む追加のセキュリティプロパティをサポートする必要がある場合もよくあります。

• エンドツーエンド暗号化
• サービス拒否保護
• 認証
• 監査
• きめ細かいアクセス制御
• ログ記録

セクション 10 では、このアーキテクチャでリプレイ攻撃から保護するために新鮮性を使用できる方法について説明しています。

特定の評価ポリシーによって提供されるセキュリティを評価するには、トラストのルートの強度を理解することが重要です。たとえば、可変ソフトウェアか、起動後に読み取り専用のファームウェアか、不変のハードウェア/ROM かなどです。

評価ポリシー自体が安全に取得されたことも重要です。攻撃者が依拠者または検証者の評価ポリシーと承認または参照値を構成または変更できる場合、プロセスの完全性が損なわれます。

RATS アーキテクチャのセキュリティ保護は、伝達プロトコルまたは情報エンコーディング形式のいずれかによって、さまざまなレイヤーで適用される場合があります。このアーキテクチャは、概念的メッセージが役割の相互作用コンテキストに基づいてエンドツーエンドで保護されることを期待しています。たとえば、アテスターがアテスターまたは意図された検証者の役割を実装していない他のエンティティを介して中継されるエビデンスを生成する場合、中継エンティティはエビデンスにアクセスできることを期待すべきではありません。

RATS アーキテクチャでは、エンティティが複数の役割（セクション 6）で機能し、複合デバイス（セクション 3.3）を使用できます。実装者は、分離がないにもかかわらず、個々のコンポーネントと役割の想定されるセキュリティプロパティが依然として保持され、新たなリスクが導入されないことを保証するために、設計を評価する必要があります。この評価の詳細は、実装とユースケースによって異なります。したがって、本文書の範囲外です。アテスティング環境とターゲット環境（セクション 3.1）を分離するソフトウェアまたはハードウェアの分離メカニズムは、実装者の評価と結果として得られる設計決定をサポートできます。