On suppose souvent qu’une fois votre identité vérifiée, le service qui gère la vérification a réellement consulté vos documents, les a évalués et se contente ensuite de mémoriser le résultat.
La vérification d’identité de Newton est conçue différemment. La vérification s’exécute à l’intérieur d’un TEE, un Trusted Execution Environment (environnement d’exécution de confiance), de sorte que l’infrastructure habituelle du vérificateur n’accède jamais directement aux données d’identité sous-jacentes. Le vérificateur reçoit le résultat de la vérification plutôt que les entrées brutes elles-mêmes.
C’est un modèle de sécurité différent de celui du seul chiffrement. Le chiffrement protège les données lorsqu’elles sont stockées ou transmises, mais, pour effectuer la vérification, il faut généralement les déchiffrer. Un TEE vise à isoler même ce calcul, de sorte que l’hôte qui exécute le système ne puisse pas inspecter ce qui se passe à l’intérieur de l’enclave.
Cela correspond aussi au modèle d’identité plus large de Newton. Les vérificateurs valident des preuves de justificatifs sans apprendre l’information personnelle sous-jacente. L’objectif n’est pas seulement de « garder les données off chain », mais aussi de les empêcher d’être visibles par le vérificateur.
La question restante concerne la confiance. Les TEE réduisent la quantité de confiance à accorder au vérificateur, mais ils ne suppriment pas totalement cette confiance. Au contraire, une partie de celle-ci se déplace vers l’implémentation du TEE, le fabricant du matériel, le micrologiciel et le processus d’attestation. Les TEE ont déjà présenté dans le passé de vraies vulnérabilités matérielles et des failles liées aux canaux auxiliaires (side channel). Ce sont donc davantage des mécanismes de réduction du risque que des garanties.
Ce qui m’intéresse le plus, c’est le modèle d’échec. Si une vulnérabilité sérieuse de TEE était découverte dans le matériel sur lequel Newton s’appuie, que se passe-t-il pour les identifiants (credentials) qui ont été validés précédemment via ces enclaves ? L’impact serait-il limité aux attestations futures uniquement une fois la vulnérabilité connue, ou bien des sessions de vérification antérieures pourraient-elles aussi être considérées comme compromises ? Et si cela se produisait, existe-t-il un processus de reprise documenté, par exemple la révocation des enclaves de confiance, la rotation des clés d’attestation, ou l’exigence de re-vérifier les credentials ?
$NEWT @NewtonProtocol #Newt $LAB $TLM #labcrashed