Ik hoorde een interessante anekdote over TEE's van enkele fintech-mensen. Ze probeerden de regelgevers ervan te overtuigen dat TEE's niet alleen "computers onder hun controle" zijn, dus vroegen ze cloudproviders om te certificeren dat ze de sleutels nooit zouden overhandigen. Providers konden dit niet doen.

Probeer hypothetische merknamen hiervoor te gebruiken, probeer AWS een contract te laten opstellen dat ervoor zorgt dat ze jou (een grote klant) nooit toegang geven tot de Nitro admin-sleutels. Blijkbaar is dit een moeilijke zaak! (En hoe groter je bent, hoe moeilijker.)

Als je klein bent en afhankelijk bent van TEE's, denk ik dat je kunt vertrouwen op de hardware van anderen op het algemene principe dat je het niet waard bent om een belofte te breken. Maar om ze die belofte op schrift te laten stellen, is een heel ander verhaal.

Het is een beetje zoals hoe ik mijn schermtijd-wachtwoord heb ingesteld zodat ik minder sociale media gebruik, en nu laat ik mijn 16-jarige het wachtwoord beheren zodat ik niet gewoon terug kan vallen. Maar ze wil ook geen contract voor me opstellen! Ik vertrouw gewoon op haar beperkte geduld om IT voor haar vader te doen.