Threat Model

Earsling 엔진의 보안 경계, 주요 위협, 완화 통제를 정의한다.

Document class보안 경계, 위협, 완화 통제.

Verification anchorpolicyVersion · ruleTrace · evidenceId · auditReceipt · replay

Trust Boundaries

신뢰 경계는 public web, API server, policy registry, runtime evidence store, audit chain, mobile adapter, deployment layer로 나뉜다.

Threats

주요 위협은 policy tampering, evidence forgery, replay mismatch, raw value leakage, adapter misuse, fake frontend decision, API abuse, SSH exposure, certificate misconfiguration이다.

Controls

완화 통제는 locked policy, HMAC audit receipt, replay verifier, non-raw profile digest, rate limit plan, HTTPS/HSTS, security headers, systemd supervision, release SHA256 manifest다.

Detection

gnxcheck, earsling-publiccheck, audit.jsonl tail, journalctl, Evidence replay, docs manifest check가 탐지 루틴이다.

Residual Risk

현재 CommercialReady 최종 표기는 SSH Security Group 정책 확인 전까지 보류된다. EC2 Instance Connect 사용 시 UFW 단일 IP 제한은 접속 실패를 유발할 수 있다.

Non-Claims

체온, 심박, 리듬, 혈압 측정값을 이 엔진이 생성한다고 주장하지 않는다.
질병 확정 진단, 치료 결정, 약물 권고, 응급 분류를 수행한다고 주장하지 않는다.
원시 건강 데이터의 무제한 저장 또는 제3자 재사용 권한을 제공한다고 주장하지 않는다.
프론트엔드 색상 변화만으로 엔진 판단이 완료되었다고 주장하지 않는다.

Review Evidence

검토자는 /health/ready, /v1/docs/manifest, /v1/events/out-of-range, /v1/evidence/{id}, /v1/replay/{id}를 통해 문서 내용과 엔진 동작의 일치 여부를 확인한다.