Link al documento originale
Traduzione
Trusted Computing Group
Piano, implementazione e principi di utilizzo per piattaforme basate su TPM
Versione 1.0
Autore: Comitato TCG per le indicazioni d'uso
Maggio 2005
Copyright © 2005 Trusted Computing Group - Tutti i diritti riservati.
Gli altri nomi e marchi appartengono ai loro rispettivi proprietari.
Il TCG è un'entità nata per sviluppare, definire e promuovere specifiche aperte per tecnologie relative all'informatica fidata (trusted computing) ed alla sicurezza, per quanto riguarda i componenti hardware e le interfacce software, tra varie piattaforme, periferiche e dispositivi. Le specifiche TCG sono realizzate per creare ambienti di computer più fidati senza compromettere l'integrità del loro funzionamento e con lo scopo principale di aiutare gli utenti a proteggere le loro informazioni dall'essere compromesse a causa di un attacco software esterno. È stato fatto ogni sforzo nella scrittura delle specifiche TCG in maniera tale che sia possibile soltanto una chiara ed univoca interpretazione. Se verranno scoperte ambiguità il TCG aggiornerà le proprie specifiche.
Ulteriori informazioni, assieme all'organizzazione delle specifiche, sono disponibili sul sito web del Trusted Computing Group, https://www.trustedcomputinggroup.org.
Scopo e audience
Il Trusted Computing Group (TCG) si è imposto gli obiettivi ambiziosi di migliorare la sicurezza delle piattaforme ed infrastrutture:
- preservando la privacy, la compatibilità con il pregresso ed il controllo dei proprietari
- favorendo la facilità d'uso
- progettando la parte tecnologica per renderla opportunamente funzionante
- assicurando che i dati degli utenti, sebbene sicuri e protetti, rimangano portabili ed accessibili, qualora si renda necessario, in altre modalità
Questo documento descrive i principi sui quali si basa la stesura delle specifiche del TCG. Molti di essi sono già intrinsechi alle specifiche del TCG. Il TCG crede che un'espressione esplicita di tali principi aiuterà a guidare l'implementazione e l'uso dei componenti abilitati dal TCG ed il loro inserimento in sistemi e servizi più complessi.
Sebbene ci siano limitazioni intrinseche che ha l'organizzazione della pianificazione delle specifiche, rispetto all'imposizione delle stesse[1], la fornitura di uno schema logico e di "note applicative" è una pratica ormai in uso tra i progettisti di componenti. Nelle specifiche del TCG ci sono funzionalità che supportano direttamente i principi riportati in questo documento. Tali funzionalità si basano sull'utilizzo della tecnologia. La spiegazione del loro utilizzo rende le specifiche più comprensibili e probabilmente la loro implementazione sarà effettuata nella maniera più appropriata. Comunque, sebbene il TCG possa sviluppare e pubblicare specifiche tecniche per i componenti con intenzioni positive, questo può soltanto costituire una linea guida e un incoraggiamento per colore che progetteranno le soluzioni che le adotteranno. L'obbligo, se necessario, sarà forzato da altre organizzazioni.
Molte aziende avranno un forte interesse nel seguire le indicazioni consigliate. Vorranno mostrarsi come corporazioni responsabili e vorranno essere aderenti ai requisiti delle "indicazioni consigliate". Il TCG si immagina che l'opinione pubblica o forse utilizzatori indipendenti controlleranno che le aziende soddisfino le indicazioni consigliate dal TCG. Queste indicazioni possono anche essere considerate dal governo e da agenzie di controllo per il perseguimento delle loro responsabilità verso la massa.
Il TCG vuol rendere comprensibili questi principi non solo ai membri del TCG ma anche a coloro che saranno coinvolti dall'introduzione della tecnologia del TCG. Il TCG ha quindi redatto questo documento in maniera da essere comprensibile da coloro che non hanno un background di sicurezza informatica o una conoscenza specifica dei concetti e delle terminologia del TCG. Un'eccezione a tutto ciò è rappresentata dall'uso delle definizioni di "proprietario" e "utente" specifiche del TCG. Anche se oggi gli implementatori assumono generalmente che l'utente di una macchina sia anche il suo proprietario, la terminologia del TCG separa questi due ruoli. Le specifiche del TCG usano "proprietario" per identificare il proprietario del sistema la cui politica è stata implementata con l'aiuto delle caratteristiche abilitate dal TCG, mentre "utente" denota l'individuo che fa uso del sistema. Questa è analoga alla differenza tra l'amministratore e l'utente di un sistema; si noti che il proprietario non può accedere alle chiavi private degli utenti o ai dati protetti da tali chiavi. È importante che i lettori di questo documento facciano attenzione alla distinzione tra proprietario e utente.
Nelle aziende, generalmente il proprietario del sistema è l'azienda stessa, la cui competenza tecnica è fornita da un gruppo di specialisti di Information Technology (IT), mente l'utente è il singolo impiegato. Nel caso di utente domestico entrambi i ruoli sono rivestiti dalla stessa persona. Questo utente-proprietario ha tipicamente, in tal caso, ha una competenza tecnica minore rispetto a quella di un reparto di IT e quindi è probabile che abbia più difficoltà ad implementare un controllo più accurato (dettagliato, preciso) delle funzionalità del TCG. Quest'argomento è trattato più in dettaglio nelle sezioni relative all'interoperabilità, controllabilità e facilità d'uso.
Introduzione ai princìpi
I principi che il TCG reputa stare alla base di effettivi, utili ed accettabili schemi, implementazioni ed uso delle tecnologie del TCG sono i seguenti:
Sicurezza: i componenti TCG dovrebbero eseguire accessi controllati alle informazioni critiche riservate, come stabilito dal progetto, e dovrebbe rilevare e notificare in maniera affidabile le funzionalità di sicurezza del sistema. Il meccanismo di notifica dovrebbe essere totalmente sotto il controllo del proprietario.
Privacy: i componenti TCG dovrebbero essere progettati ed implementati tenendo presente la privacy ed aderire alla lettera e nello spirito a tutte le linee guida di rilievo, leggi e regolamenti. Ciò include, ma non è limitato ad esse, le linee guida dell'OECD[2], le Fair Information Pratices[3], e la direttiva sulla protezione dei dati dell'Unione Europea (95/46/EC)[4].
Interoperabilità: le implementazioni e le realizzazioni delle specifiche del TCG dovrebbero facilitare l'interoperabilità. Inoltre, le implementazioni e le realizzazioni delle specifiche del TCG non dovrebbero introdurre nessun nuovo ostacolo all'interoperabilità che non sia allo scopo della sicurezza.
Portabilità delle informazioni: la realizzazione dovrebbe assecondare i principi consolidati e le indicazioni relative alla proprietà delle informazioni.[5]
Controllabilità: ogni proprietario dovrebbe avere l'effettiva possibilità di scelta ed il controllo dell'uso e del funzionamento delle caratteristiche TCG, sui sistemi che gli appartengono; il loro utilizzo deve essere opzionale. Di conseguenza, ogni utente dovrebbe poter disabilitare le funzionalità del TCG in modo da non violare le politiche del proprietario.
Facilità d'uso: le caratteristiche TCG dovrebbero essere comprensibili ed utilizzabili anche per l'utente non tecnico.
Ognuno di tali principi, preso singolarmente è desiderabile; il problema è risolvere i potenziali conflitti tra essi. In alcuni casi, queste discordanze possono essere risolte a spese di qualche altra caratteristica altrettanto desiderabile (per esempio, la semplicità o l'economia). In altri casi, i conflitti sono inevitabili. Alcune volte gli sviluppatori delle specifiche del TCG hanno scelto un determinato bilanciamento tra i conflitti. In altre occasioni, la documentazione TCG fornisce la flessibilità che consente - oppure richiede - che il bilanciamento sia effettuato da coloro che fanno uso delle caratteristiche TCG. Spesso, per fortuna, i principi che sembrano in conflitto possono effettivamente essere complementari l'uno dell'altro. Per esempio, la sicurezza è essenziale affinché qualsiasi informazione (privata, aziendale, ecc.) possa essere protetta.
Il TCG anticipa lo sviluppo dell'infrastruttura affinché utilizzi la funzionalità relativa alla privacy, schematizzata nel modulo TCG, detto anche il modulo di piattaforma affidabile (Trusted Platform Module - TPM). Per fornire effettivamente le protezioni della privacy anticipate dal TCG, tale infrastruttura deve essere facile da capire e da utilizzare. I servizi di privacy forniti devono essere disponibili per un utente finale ad un costo accettabile. Inoltre, l'attestazione (la verifica delle informazioni sulla configurazione del sistema certificata dal TPM) delle caratterisitiche di sicurezza di una piattaforma non dovrebbe essere utilizzato per interferire con l'interoperabilità; gli sviluppatori delle infrastrutture dovrebbero richiedere l'attestazione soltanto per le operazioni nelle quali la sicurezza fornita dall'attestazione è necessaria per la sicurezza.
L'implementazione della tecnologia del TCG, come molte altre tecnologie relative alla sicurezza ed alla privacy, è soggetta alle vigenti leggi e regolamenti.
Principio di sicurezza
I componenti TCG dovrebbero eseguire accessi controllati alle informazioni critiche riservate, come stabilito dal progetto, e dovrebbe rilevare e notificare in maniera affidabile le funzionalità di sicurezza del sistema. Il meccanismo di notifica dovrebbe essere totalmente sotto il controllo del proprietario.
Lo scopo primario del TCG è quello di far in modo che la piattaforma sia in grado di attuare pienamente le politiche di sicurezza del proprietario. Il principio di sicurezza deve ricordare agli implementatori, progettisti ed utenti che i meccanismi, di per sé stessi, forniscono soltanto le fondamenta per creare la sicurezza della piattaforma. La tecnologia TCG non contrasterà tutti gli attacchi ed il TPM è soltanto un aspetto della strategia di "difesa di base".
Una buona gestione della sicurezza richiede l'attenzione a tutti gli aspetti del sistema, incluso il personale, le procedure e la sicurezza fisica. I componenti software che hanno a che fare con le credenziali autorizzative, che vengono usati in maniera estensiva per stabilire l'autorizzazione ad usare una risorsa protetta, dovrebbero proteggere tali dati e qualunque password dalle quali essi derivano con un appropriato livello di cura. In maniera analoga, le organizzazioni che utilizzano firme digitali come parte di un installazione relativa al TCG, come gli emettitori delle credenziali relative alla sicurezza della piattaforma, dovrebbero mettere in atto gli opportuni meccanismi per la custodia delle chiavi private utilizzate per tali firme.
Principio della privacy
I componenti TCG dovrebbero essere progettati ed implementati tenendo presente la privacy ed aderire alla lettera e nello spirito a tutte le linee guida di rilievo, leggi e regolamenti. Ciò include, ma non è limitato ad esse, le linee guida dell'OECD, le Fair Information Pratices, e la direttiva sulla protezione dei dati dell'Unione Europea (95/46/EC).
Le linee guida sopra citate possono essere applicate alle soluzioni TCG come segue: Notifica: deve essere fornito un esplicito avviso relativo alla raccolta e detenzione di informazioni personali.
- Scelta: il proprietario delle caratteristiche TCG dovrebbe poter scegliere e controllare il trasferimento delle informazioni personali. Gli utenti delle funzionalità TCG dovrebbero poter disabilitare tali funzionalità in modo da non violare le politiche di sicurezza del proprietario e da permettere all'utente il controllo del trasferimento delle informazioni personali.
Limitazione dello scopo: le informazioni personali raccolte per uno scopo non possono essere utilizzati per un altro. Tutte le implementazioni dei componenti TCG dovrebbero assicurare che la tecnologia TCG non è utilizzata in maniera inappropriata per quanto riguarda la raccolta delle informazioni personali.
- Controllo: le informazioni private del proprietario dovrebbero essere tenute sotto il controllo del proprietario. Le informazioni private dell'utente dovrebbero essere tenute sotto il controllo dell'utente.
- Qualità delle informazioni: qualsiasi informazione memorizzata dovrebbe essere cancellata e, di conseguenza, qualsiasi informazione personale fornita come risultato dalla tecnologia TCG dovrebbe essere aggiornata.
- Accesso: se le caratterisitiche TCG vengono utilizzate per raccogliere o memorizzare informazioni personali su un individuo, ci deve essere un modo per tale individuo per revisionarli ed eventualmente modificarli qualora se ne presenti la necessità.
- Proporzionalità: le informazioni personali che sono raccolte e trasferite per mezzo del delle funzionalità TCG devono essere quelle necessarie ma non eccessive rispetto agli scopi per i quali esse sono raccolte. Le chiavi private, che rivestono un ruolo fondamentale nella protezione della privacy sulla piattaforma, non dovrebbero mai essere svelate.
La proporzionalità fa parte del modello di sicurezza fondamentale delle specifiche TCG. Il TPM del TCG racchiude un unico identificatore a lungo termine, detto Endorsment Key (EK) (chiave di approvazione) della piattaforma. Poiché il TPM è limitato alla piattaforma, l'EK diviene un'informazione che identifica una persona. Per ridurre la possibilità della raccolta delle informazioni personali, le specifiche del TCG proibiscono esplicitamente l'utilizzo generico dell'EK. Al contrario, esse richiedono che l'EK venga utilizzata per generare alias che non dovrebbero permettere di risalire esplicitamente alla EK. Ciò può essere realizzato in vari modi dall'uso di protocolli a conoscenza zero, all'uso di un'Autorità di Certificazione (Certification Authority - CA), alla combinazione di protocolli a conoscenza zero ed una CA, ecc. L'uso di tali meccanismi protegge la privacy dell'utente facendo in modo da rendere più difficile la raccolta delle informazioni. Il TCG raccomanda che l'implementazione e le realizzazione dei sistemi TCG permetta il più elevato grado di anonimità appropriato alla specifica situazione.
Principio di interoperabilità
Le implementazioni e le realizzazioni delle specifiche del TCG dovrebbero facilitare l'interoperabilità. Inoltre, le implementazioni e le realizzazioni delle specifiche del TCG non dovrebbero introdurre nessun nuovo ostacolo all'interoperabilità.
L'interoperabilità è un problema per tutte le nuove tecnologie e standard - il TCG non fa eccezione. La tecnologia del TCG non elimina i problemi di interoperabilità ma neanche lo deve rendere peggiore. L'utilizzo della tecnologia TCG per creare barriere all'interoperabilità violerebbe il principio di interoperabilità e le indicazioni operative del TCG. Per esempio, i fornitori non dovrebbero richiedere agli utenti di avere le tecnologie TCG per ottenere un servizio a meno che il servizio non richieda un determinato livello di sicurezza.
L'applicazione più immediata di questo principio di massima va nella direzione delle implementazioni dei componenti indicati direttamente dalle specifiche TCG.
- Le API (Application Programmer Interfaces - Interfacce di programmazione delle applicazioni) definite dalle specifiche del TCG (di base e opzionali) dovrebbero essere aderenti alle stesse senza modifiche.
- I protocolli definiti dalle specifiche del TCG (di base e opzionali) dovrebbero essere aderenti alle stesse senza modifiche.
- I formati di dati definiti dalle specifiche del TCG (ad esempio, per i certificati digitali) dovrebbero essere aderenti alle stesse senza modifiche.
Questi principi sono essenzialmente dichiarazioni di cosa significa essere uno "standard" ed il comportamento atteso dalle entità che affermano di implementare i propri componenti in accordo allo standard. Il loro intento è quello di promuovere l'interoperabilità. Questo creerà un vero mercato tra i componenti che sostengono di essere conformi alle specifiche del TCG piuttosto che evitare di costringere i clienti della tecnologia TCG ad un singolo fornitore od un ristretto gruppo di fornitori.
Per contro, i principi seguenti riguardano la neutralità e l'accesso aperto tra i fornitori di soluzioni che utilizzano i componenti TCG:
- Le applicazioni che utilizzano funzionalità TCG per determinare la configurazione del sistema dovrebbero basare la loro decisione di interoperare accettando la configurazione riportata per lo scopo di rendere chiari e disponibili a tutti i fini della sicurezza.
I progettisti della sicurezza sono incoraggiati ad usare e creare meccanismi tecnici e di mercato per certificazioni aperte ed obiettive delle caratteristiche inerenti ai componenti rilevati dal TCG.[6]
Principio di portabilità delle informazioni
La realizzazione dovrebbe assecondare i principi consolidati e le indicazioni relative alla proprietà delle informazioni.
La tecnologia TCG usa le chiavi di cifratura per proteggere le informazioni dell'utente. Quello che non è usuale dell'ambiente TCG è la protezione sigillata hardware di alcune chiavi di cifratura. Ci sono due tipi di protezione hardware: "protected storage" (memoria protetta) e "sealed storage" (memoria sigillata). Secondo i modelli standard di protezione delle informazioni, protected storage significa che le chiavi di cifratura e le informazioni cifrate con quelle chiavi sono sotto il controllo imposto dal TPM. Nel sealed storage è stata inserita una caratteristica aggiuntiva, cioè il requisito che l'informazione cifrata, chiave o dato, può essere svelata soltanto quando il dispositivo si trova in un particolare stato. Questa formidabile caratteristica ha molti vantaggi; appoggia i principi di sicurezza e privacy, per esempio, e può fornire importanti protezioni. Comunque, senza le opportune misure di sicurezza anche il sealed storage può potenzialmente minare la portabilità delle informazioni protette. Quindi la portabilità delle informazioni è stato un punto chiave nello sviluppo delle tecnologie TCG.
Un esempio di supporto della portabilità delle informazioni nelle specifiche TCG è la disposizione di chiavi "migrabili" (migratable keys). Le chiavi che sono utilizzate per proteggere i dati delle applicazioni possono essere marcate come migrabili per facilitare la copia ed il trasferimento verso un altro ambiente (indipendentemente dal fatto che esso sia TCG o meno). La disposizione è effettuata anche per il ripristino delle informazioni protette dal TPM nel caso in cui il TPM originale non funzioni più o il sistema nel quale esso si trova sia rotto. Questa parte delle specifiche è più complessa, e richiede che il principio della portabilità sia bilanciato con quello della sicurezza (la facilità d'uso è la parte che ne fa le spese nella risoluzione del conflitto). Dove consentita, la migrazione delle informazioni dovrebbe essere semplice e diretta: gli implementatori dovrebbero assicurare anche agli utenti poco esperti la possibilità di migrare le informazioni in maniera efficiente (qualora essi abbiano il permesso di farlo dal proprietario della piattaforma).
I seguenti principi di portabilità dovrebbero essere applicati:
- Qualunque applicazione che usa la tecnologia TCG per legare le informazioni alla piattaforma o alle applicazioni, dovrebbe anche:
- fornire un modo per esportare quelle informazioni dall'involucro di sicurezza del TCG, o
- fornire una notifica appropriata, effettiva, tempestiva per chiunque si aspetti ragionevolmente di poter accedere a tali informazioni, del fatto che non esiste un modo per esportarle e delle conseguenze di questo fatto.
- Le chiavi protette dal TPM dovrebbero essere contrassegnate come "non migrabili" soltanto se c'è un chiaro requisito di sicurezza relativo alla non migrabilità.
Mentre, per motivi di sicurezza, le informazioni non migrabili non possono essere mai migrate (eccetto durante il ripristino), quelle migrabili dovrebbero sempre essere accessibili agli utenti autorizzati.
L'accessibilità impone anche dei requisiti per la pronta esportabilità delle informazioni. Alcuni utenti avranno bisogno della tecnologia di assistenza. Nel rispetto dei diritti relativi alle informazioni di un utente, la protezione ricercata dal proprietario dei contenuti non deve porre delle costrizioni sulla modalità di interazione dell'utente con le informazioni. Le persone disabili non devono essere limitate nella conversione dei contenuti disponibile per i loro pari non disabili.
Prevedendo un meccanismo di più efficace per assicurare i diritti di proprietà intellettuale dei proprietari delle informazioni, le tecnologie del TCG possono essere utilizzate per variare pesantemente il bilanciamento del potere nelle attuali metodologie di utilizzo delle informazioni. Comunque è importante capire che le tecnologie ed i meccanismi del TCG sono stati progettati con una forte inclinazione verso il supporto delle implementazioni che seguono i principi di progetto descritti in questo documento. Di conseguenza, nel caso particolare di contenuti commerciali ampiamente distribuiti, le realizzazioni TCG possono rispettare più prontamente i principi stabiliti riguardo all'uso delle informazioni e al trattamento della proprietà delle informazioni.[7]
Principio di controllabilità
Ogni proprietario dovrebbe avere l'effettiva possibilità di scelta ed il controllo dell'uso e del funzionamento delle caratteristiche TCG, sui sistemi che gli appartengono; il loro utilizzo deve essere opzionale. Di conseguenza, ogni utente dovrebbe poter disabilitare le funzionalità del TCG in modo da non violare le politiche del proprietario.[8]
Il modello di sicurezza del TCG rafforza la politica di sicurezza del proprietario utilizzando i meccanismi del TCG. È quindi naturale che al proprietario spetti la scelta definitiva sull'uso e l'operatività del TPM e delle funzionalità ad esso associate. È sempre il proprietario che deve operare per dare l'esplicito permesso a chiunque altro di usare appieno le funzionalità del TCG - per esempio, per effettuare una "attestazione remota" o per ottenere il controllo su una parte della memoria protetta (ad esempio, per memorizzarvi informazioni sulla licenza del software). Questo principio del controllo da parte del proprietario è fondamentale per le specifiche del TCG.
I progettisti di sistemi che utilizzano i servizi del TPM non dovrebbero compromettere l'efficacia del controllo da parte dell'utente, per esempio riducendo la possibilità di controllo ad una semplice possibilità di attivazione di tutte o nessuna delle funzionalità del TPM. Una tale impostazione sarebbe contraria ai principi del TCG. Le specifiche del TCG sono state sviluppate in maniera da permettere al proprietario di delegare all'utente un arbitrario sottoinsieme delle proprie facoltà. Al proprietario rimarrà comunque la supervisione del controllo e potrà revocare la delega in qualsiasi momento.
Dall'altra parte, i sistemi con i servizi del TPM dovrebbero fornire all'utente, per quanto più possibile, un controllo con dettaglio appropriato. Ad esempio, la conformità al principio del TCG relativo alla privacy suggerisce che qualora una qualsiasi informazione personale relativa all'utente venisse inclusa in una attestazione remota, l'utente dovrebbe avere la possibilità di controllare tale inclusione. Questa possibilità di controllo si aggiunge alle funzionalità che le specifiche del TCG forniscono all'utente per disabilitare totalmente l'operatività del TPM fino al successivo riavvio del sistema.
Il TCG mette in evidenza il fatto che ci possono essere dispositivi con più proprietari come telefoni cellulari, altri dispositivi periferici e server, così da complicare il problema della controllabilità. Questo è il motivo per il quale il TCG ha incluso il principio fondamentale che ogni proprietario dovrebbe avere il controllo soltanto delle funzioni relative a ciò che possiede. Sembra che la miglior soluzione per la controllabilità di una proprietà multipla sia la segmentazione delle funzionalità del TPM. Per esempio, in alcuni domini ci saranno funzioni di sicurezza obbligatorie che saranno sempre attive e altre funzionalità del TPM controllate da altri proprietari del dispositivo che potranno essere attive o meno, dipendentemente dalla situazione.
L'importante è che la tecnologia del TCG non sia usata per costringerne l'utilizzo. Le caratteristiche del TCG potrebbero potenzialmente portare ad una situazione in cui gli utenti sono essenzialmente "forzati" ad utilizzare i meccanismi del TCG per poter avere l'accesso ad un insieme di servizi. Ciò potrebbe essere il risultato di un "pacchetto tutto compreso" - un fornitore di servizi potrebbe utilizzare la sua posizione dominante per forzare l'utilizzo dell'attestazione remota del TCG, in maniera da assicurarsi che l'utente utilizzi una configurazione da lui desiderata, sebbene non vi sia alcuna ragione di sicurezza che richieda una tale scelta. Un'altra situazione che si può presentare è che un gruppo significativo di fornitori di un particolare servizio potrebbe utilizzare la propria posizione di mercato (poiché essi costituiscono la maggioranza dei fornitori di un particolare tipo di servizio) per forzare l'utilizzo della tecnologia TPM. Di conseguenza, gli utenti che non scegliessero di utilizzare la tecnologia del TCG sarebbero essenzialmente impossibilitati ad accedere a tale servizio.[9] Il TCG crede che tali comportamenti derivino dall'uso non appropriato della propria tecnologia. L'uso della coercizione per forzare di fatto l'uso delle caratteristiche del TPM non è un uso appropriato della tecnologia del TCG. Comunque, la prevenzione dei comportamenti potenzialmente coercitivi e anticompetitivi non rientra negli scopi del TCG.
I principi specifici che derivano dal principio di massima relativo alla controllabilità sono i seguenti:
- Opportuna notifica all'utente dell'entità che richiede la politica di sicurezza. Poiché i sistemi TCG rafforzano le politiche di sicurezza del proprietario, è appropriato che ad ogni utente venga notificato chi è l'entità che l'ha richiesta. Inoltre l'entità dovrebbe fornire spiegazioni sugli aspetti delle politiche del proprietario che potrebbero ragionevolmente riguardare l'utente. Tale notifica potrebbe essere particolarmente importante nel caso in cui gli utenti in questione siano nell'ambito pubblico - per esempio in una biblioteca, terminali ad accesso pubblico, Internet cafè o ambienti simili. La modalità della notifica dipenderà dalla specifica implementazione delle tecnologie del TCG e dall'ambito nel quale quest'ultima sarà utilizzata.
- Il TPM è un'opzione. La decisione, da parte del proprietario, di utilizzare le caratteristiche TCG dovrebbe essere un consenso. La possibilità per l'utente di sospendere l'operatività del TPM non dovrebbe essere negata; le conseguenze della disabilitazione dovrebbero essere esplicitate all'utente e non dovrebbero estendersi oltre il minimo richiesto dalle politiche di sicurezza del proprietario.
- In ogni momento, un utente non tecnico, a sua discrezione, dovrebbe essere in grado di determinare facilmente lo stato di funzionamento del TPM. Dipendentemente dall'ambiente e dall'implementazione specifica delle caratteristiche del TCG, ciò può essere agevolato per mezzo dell'interfaccia utente o da un'appropriata notifica dello stato del TPM.
Il livello di controllo delle transazioni appropriato per ogni applicazione. Per permettere la flessibilità che certe applicazioni potranno richiedere, le specifiche del TCG prevedono un controllo selettivo dell'uso delle caratteristiche del TCG.[10]
L'ultima linea guida - livello di controllo appropriato - può risultare spesso in conflitto con il principio di massima seguente: facilità d'uso. Le applicazioni che richiedono l'autorizzazione dell'utente per ogni operazione di ogni transazione saranno giustamente impopolari. È tuttavia appropriato per le specifiche del TCG, fornire un controllo della granularità necessaria per ogni determinata applicazione. Naturalmente, è soltanto al livello di applicazione o servizio che è possibile determinare, nel contesto degli scopi dell'utente e del proprietario, quali sono le applicazioni che possono essere considerate "banali" e quelle "significative". È importante che ci sia l'appropriata notifica per le transazioni significative.
Principio di facilità d'uso Le caratteristiche TCG dovrebbero essere comprensibili ed utilizzabili anche per l'utente non tecnico.
Il bilanciamento tra la sicurezza e la facilità d'uso è, di per se, un problema in pratica non risolto: la prevalenza di password scritte su foglietti (Post-It®) appesi in prossimità dello schermi dei computer, è uno dei principali esempi. Data la grande differenza di caratteristiche e compontamenti tra i vari utenti, quando il TCG ha inserito i principi di privacy e controllabilità, la sfida per tener conto di tutte queste implicazioni preservando la facilità d'uso è notevole. Ciò nonostante, i progettisti di applicazioni si dovranno impegnare per raggiungere tale bilanciamento. Un possibile meccanismo è la creazione di profili per la sicurezza, privacy e controllabilità con impostazioni che vanno incontro alle esigenze dell'utenet comune ma che possono essere raffinate o personalizzate come desiderato.
Data la difficoltà di bilanciare la sicurezza e la facilità d'uso, il TCG raccomanda che siano coinvolti quanto prima nel processo di progettazione dei sistemi TCG esperti sull'interfaccia utente, anche per quelle che non si interfacciano direttamente con l'utente poiché anch'esse potrebbero richiedere dei requisiti da parte dell'utente. Per essere efficace, il controllo da parte dell'utente richiede la facilità d'uso; quindi, queste problematiche devono essere prese in considerazione dall'inizio del prcesso di progettazione.
Nel caso in cui il controllo dell'utente deve essere più specifico o in cui la realizzazione non soddisfi appieno la facilità d'uso, la tecnologia TCG potrebbe essere piuttosto difficoltosa da applicare per gli utenti con capacità tecniche limitate. Mentre nelle grandi aziende, tali utenti avranno un apposito settore IT che si prenderà cura dell'implementazione, i privati cittadini e le piccole imprese non lo avranno. Dunque, è preferibile sviluppare un mercato mercato di consulenza per l'implementazione delle caratteristiche di sicurezza. Questo modello è piuttosto logico in maniera da far avere all'utente la possibilità di scelta per i servizi di consulenza. Le aziende che richiedono agli utenti di avere la tecnologia TCG per ottenere il servizio devono fare attenzione. Gli sviluppatori ed implementatori della tecnologia TCG dovrebbero porre attenzione sulle decisioni progettuali per non limitare la scelta dell'utente.
Conclusioni
Il computer ed Internet hanno cambiato radicalmente il valore e l'importanza dell'informazione. La tecnologia TCG, se correttamente implementata, ha la capacità di migliorare notevolmente la sicurezza dei sistemi su Internet. D'altra parte, come la maggior parte delle tecnologie relative alla sicurezza, la tecnologia TCG potrebbe essere utilizzata in maniera inappropriata così da minare i principi umani di base di privacy ed il controllo del dispositivo da parte del proprietario/utente. Alla luce di queste possibiltà di utilizzo errato della tecnologia TCG, il TCG ha lavorato pesantemente per delineare i blocchi necessari alla realizzazione di un sistema di sicurezza che favorisce il controllo della piattaforma da parte del proprietario/utente, la privacy dell'utente, l'interoperabilità e la portabilità delle informazioni. Il TCG si rende conto che le forze di mercato, i comportamenti coercitivi e le implementazioni mediocri possono fare molto per affossare tali principi ed il TCG può fare ben poco per prevenire che un produttore o un progettista di sistemi possano sovvertire i fini di privacy e controllo, se proprio sono intenzionati a farlo. Quello che il TCG può fare, comunque, è annunciare che tali implementazioni non aderiscono né nello spirito né ai principi delle specifiche del TCG.
Gli scopi principali del TCG sono: sicurezza, privacy dell'utente, interoperabilità e controllabilità. La portabilità delle informazioni e la facilità d'uso sono tecniche importanti per raggiungere tali fini. I principi specifici presenti in questo documento hanno lo scopo di fornire chiaramente direttive necessarie all'implementazione del TCG in maniera da rispettarne le finalità di base.
I membri delle aziende che fanno parte del TCG hanno maturato tali principi di riflesso ai loro obiettivi e valori durante lo sviluppo delle specifice del TCG. Il TCG afferma questi principi e le tecniche di utilizzo per guidare chi deve implementare le specifiche.
Note
1 Il TCG non possiede o rilascia alcun brevetto o altra proprietà intellettuale necessaria all'implementazione di queste specifiche. Lo schema, l'implementazione ed i principi di utilizzo per le piattaforme basate sul TPM sono offerti come linee guida piuttosto che come dei termini legali di utilizzo. Inoltre, il TCG non può essere ritenuto responsabile per il modo in cui ogni azienda o altri implementano le specifiche del TCG nei propri prodotti o servizi.
2 http://www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html
3 http://www3.ftc.gov/reports/privacy3/fairinfo.html
4 http://www.europa.eu.int/comm/internal_market/privacy/law_en.htm
5 Si noti che queste possono variare dipendentemente dalla locazione geografica.
6 Un esempio di aderenza di questo principio alle specifiche del TCG è la deliberata assenza di un'unica "radice TCG" (TCG root) (sia nella forma di una chiave crittografica o un'organizzazione) che sarebbe responsabile di se stessa certificando le conformità ai criteri del TCG. Invece le specifiche prevedono l'autocertificazione della conformità da parte dei costruttori dei componenti, possibilmente sostenuti da organismi di certificazione indipendenti. L'accettazione di qualsiasi certificazione dell'entità che produce su richiesta copie della piattaforma e l'accettazione dell'entità in un determinato ambiente applicativo è una questione lasciata deliberatamente a tale entità ed i propri clienti.
7 Si noti che le regolamentazioni relative alla proprietà variano da Paese a Paese.
8 La relazione tra la controllabilità da parte del proprietario e dell'utente è un altro motivo della deliberata assenza di un'unica radice TCG (discussa anche nella nota 6).
9 Chiaramente ci sono ambiti, come quello finanziario, per i quali il requisito della tecnologia TPM è assolutamente appropriato per fornire l'adeguato livello di sicurezza.
10 Per esempio, ogni chiave crittografica nella gerarchia di memoria ha una propria autorizzazione che deve corrispondere per poter accedere ad ulteriori chiavi e dati protetti con quella chiave. I creatori dei sistemi che utilizzano le caratteristiche del TCG non devono utilizzare questo controllo di accesso in maniera arbitraria (per esempio, utilizzando la stessa chiave per memorizzare categorie di dati logicamente separate). Piuttosto, essi dovrebbero fornire metodi sicuri e convenienti per permettere ai proprietari ed agli utenti di esercitare il controllo a vari livelli di dettaglio, in maniera appropriata per ogni determinata applicazione.