07

Threat Model

이 공개 문서는 보안 세부값을 노출하지 않고, raw value leakage를 막는 검토 경계만 설명한다.

Disclosure modereview-safe summary
Excludedkeys, private runtime, raw evidence dump

Threat boundary

Earswet threat model의 중심은 단순 데이터 탈취가 아니라, 부적격 candidate value가 actual biofluid value처럼 외부 시스템에 전달되는 것이다. 그러므로 공개 문서에서는 raw route bypass, policy downgrade, adapter spoofing, BLE misuse, evidence inconsistency를 범주 수준으로만 다룬다.

Threat matrix

ThreatPublic control principleReview question
Raw route bypassdecision 이후 envelope만 외부 consumer가 사용raw access가 별도 권한 필드로 통제되는가?
Policy downgrademarker policy와 rule graph 변경을 release gate로 관리정책 변경 후 회귀 검증이 있는가?
Adapter spoofingvendor, unit, calibration, quality flag semantics 검증미검증 payload가 full value로 승격되지 않는가?
BLE misuseactual characteristic과 non-value/evidence route 분리raw access false에서 actual characteristic이 갱신되지 않는가?
Evidence inconsistency결정 context와 replay context를 같은 review unit으로 유지차단 결정이 사후 재현 가능한가?

Public exclusion

공개 `/docs`에는 private key, operational credential, runtime evidence store, audit chain dump, partner-specific payload mapping, detailed exploit vector, raw schema dump를 두지 않는다. 해당 자료는 NDA 이후 보안실사 패키지로 분리한다.

이 문서는 “보안 정보를 보여주는 문서”가 아니라 “공개 가능한 보안 경계를 정리한 문서”이다. 따라서 검토자가 이해해야 할 leakage 방지 원칙은 제공하되, 재사용 가능한 내부 방어 상세는 공개하지 않는다.