Jag kollade upp lite mer i standarden kring attestation i WebAuthn, specifikt då Attestation CA-typen: https://www.w3.org/TR/webauthn/#sctn-attestation-types

Och om jag tolkar det här rätt så ska teknologin stödja att man laddar en hårdvarunyckel/TPM med ett arbiträrt utfärdat certifikat från en AttestationCA. Detta certifikat kan sedan användas för att säkerställa någons identitet. Det ska även finnas en möjlighet för AttestationCA'n att validera en Endorsement Key från hårdvaran självt för att se till att certifikatet som utfärdas faktiskt hör till godkänd hårdvara, även om detta steg inte skulle vara nödvändigt för våran prototyp/proof of concept.

Så det kanske inte så omöjligt med Christians idé från mötet som jag kanske fick det att låta som! Förutsatt att vi hittar hur vi får in ett Attestationcertifikat på en enhet och kan börja testa.

Jag har inte hittat något om hur man laddar en Attestationcertifikat i CTAP-standarden, men det är inte så konstigt då den handlar om Klient-till-authenticator kommunikation, så det kommer nog krävas någon form av klientmjukvara för att förbereda en hårdvarunyckel med ett Attestationcertifikat, förutsatt att det är möjligt på den änden av sidan, typ det jag förstod det som att Christian höll på att undersöka bland annat? Men från webstandardhållet har jag hittat stöd för att idén kanske går att få till ändå!

Mer experimentation krävs så klart, men kände att jag ville få ut att jag kanske var lite hård mot idén under mötet så snart som möjligt, och att om vi vill utforska FIDO2/CTAP-enheter är det att få in ett certifikat för attestering som borde ligga i fokus.

- Linn