Muchas personas asumen que, una vez verificado, el servicio que gestiona la verificación realmente vio sus documentos, los evaluó y simplemente recuerda el resultado.
La verificación de identidad de Newton está diseñada de manera diferente. La verificación se ejecuta dentro de un TEE, un Entorno de Ejecución Confiable (Trusted Execution Environment), de modo que la infraestructura habitual del verificador no accede directamente a los datos de identidad subyacentes. En lugar de recibir las entradas sin procesar, recibe el resultado de la verificación.
Ese es un modelo de seguridad distinto al de la sola encriptación. La encriptación protege los datos mientras se almacenan o se transmiten, pero normalmente algo tiene que descifrarlo para realizar la verificación. Un TEE busca mantener incluso ese cálculo aislado, de manera que el sistema anfitrión (host) que opera el sistema no pueda inspeccionar lo que ocurre dentro del enclave.
Esto también encaja con el modelo de identidad más amplio de Newton. Los verificadores validan pruebas de credenciales sin aprender la información personal subyacente. El objetivo no es únicamente mantener los datos fuera de la cadena, sino mantenerlos ocultos del verificador también.
La pregunta que queda es la de la confianza. Los TEE reducen cuánto tienes que confiar en el verificador, pero no eliminan la confianza por completo. En su lugar, parte de esa confianza se desplaza a la implementación del TEE, el fabricante del hardware, el firmware y el proceso de atestación. Los TEE han tenido vulnerabilidades reales de hardware y de canal lateral en el pasado, por lo que son un mecanismo de reducción de riesgos más que una garantía.
Lo que más me intriga es el modelo de fallos. Si se descubriera una vulnerabilidad grave en el hardware de TEE en el que Newton se apoya, ¿qué ocurre con las credenciales que se verificaron previamente a través de esos enclaves? ¿El impacto se limitaría a futuras atestaciones después de conocer la vulnerabilidad, o también podrían considerarse comprometidas las sesiones de verificación anteriores? Y si eso ocurriera, ¿hay un proceso de recuperación documentado, como revocar enclaves confiables, rotar claves de atestación o exigir que las credenciales se vuelvan a verificar?
$NEWT @NewtonProtocol #Newt $LAB $TLM #labcrashed