11. プライバシーに関する考慮事項

証拠の伝達とその結果として生じる認証結果は、デバイスの内部状態およびデバイスの潜在的なユーザーに関する大量の情報を明らかにします。

多くの場合、認証手順の全体的な目的は、デバイスの種類およびデバイスが実行しているファームウェア/ソフトウェアに関する信頼できる情報を提供することです。

この情報は、多くの攻撃者にとって特に興味深いものである可能性があります。たとえば、デバイスが脆弱なバージョンのファームウェアを実行していることを知ることで、攻撃をより適切に狙う方法が提供されます。

場合によっては、攻撃者が推奨、参照値、または評価ポリシーを認識できる場合、攻撃者に防御的緩和策に関する洞察を潜在的に提供する可能性があります。このような情報の機密性に注意を払うことが推奨されます。

さらに、多くの証拠、認証結果、および評価ポリシーは、リモート認証手順のエンドツーエンドのユースケースに応じて、個人を特定できる情報（PII）を含む可能性があります。コンテナとアプリケーション（例えば、血圧計）を含むリモート認証は、特定のシステムまたはユーザーに関する詳細をさらに明らかにする可能性があります。

場合によっては、攻撃者は処理の結果効果またはタイミングから証拠の内容について推論できる可能性があります。たとえば、依拠当事者が特定の値のみを受け入れることを知っている場合、攻撃者は特定のクレームの値を推測できる可能性があります。

機密情報または秘密情報を伝達する概念メッセージ（セクション8を参照）は、完全性保護される（すなわち、署名または安全なチャネルを介して）ことが期待され、オプションで暗号化を介して機密性保護される可能性があります。概念メッセージ自体の機密性保護がない場合、基盤となる伝達プロトコルがこれらの保護を提供する必要があります。

証拠には機密情報または秘密情報が含まれる可能性があるため、認証者は信頼できる検証者にのみそのような証拠を送信する責任があります。一部の認証者は、証拠を送信する前に、検証者の信頼性のより強いレベルの保証を望む場合があります。そのような場合、認証者はまず依拠当事者として行動し、検証者自身の認証結果を要求することができます。依拠当事者が他の目的のために認証結果を評価するのと同じように評価します。

証拠を処理する別のアプローチは、認証者が大きなセットの1つであることを検証できるようにしながら、証拠からPIIを削除することです。このアプローチは、しばしば「直接匿名認証」と呼ばれます。詳細については、[CCC-DeepDive]のセクション6.2および[RATS-DAA]を参照してください。