5. Security Considerations (Sicherheitsüberlegungen)
5. Security Considerations (Sicherheitsüberlegungen)
Die Hauptsicherheitsanforderung für Exporteur-Ausgaben ist, dass sie unabhängig sind. Formaler ausgedrückt: Nach einer bestimmten TLS-Sitzung, wenn einem Gegner erlaubt wird, mehrere (Label, Kontextwert)-Paare zu wählen, und ihm die Ausgabe der PRF für diese Werte gegeben wird, ist der Angreifer immer noch nicht in der Lage, zwischen der Ausgabe der PRF für ein (Label, Kontextwert)-Paar (das sich von denen unterscheidet, die er eingereicht hat) und einem Zufallswert derselben Länge zu unterscheiden. Insbesondere kann es Einstellungen geben, wie die in Abschnitt 4 beschriebene, in denen der Angreifer den Kontextwert kontrollieren kann; ein solcher Angreifer DARF NICHT in der Lage sein, die Ausgabe des Exporteurs vorherzusagen. In ähnlicher Weise sollte ein Angreifer, der das Master-Secret nicht kennt, nicht in der Lage sein, gültige Exporteur-Ausgaben von Zufallswerten zu unterscheiden. Es wird angenommen, dass die aktuelle Menge von TLS-PRFs dieses Ziel erreicht, vorausgesetzt, das Master-Secret wird zufällig generiert.
Da ein Exporteur denselben Wert erzeugt, wenn er zweimal mit demselben Label auf dasselbe master_secret angewendet wird, ist es entscheidend, dass zwei mit demselben Label generierte EKM-Werte nicht für zwei verschiedene Zwecke verwendet werden -- daher die Anforderung für die IANA-Registrierung. Da Exporteure jedoch von der TLS-PRF abhängen, ist es keine Bedrohung für die Verwendung eines von einem Label generierten EKM-Werts, einen von einem anderen Label generierten EKM-Wert zu offenbaren.
Bei bestimmten TLS-Cipher-Suiten ist das TLS-Master-Secret nicht notwendigerweise eindeutig für eine einzelne TLS-Sitzung. Insbesondere kann bei RSA-Schlüsselaustausch eine bösartige Partei, die in einer Sitzung als TLS-Server und in einer anderen Sitzung als TLS-Client agiert, dazu führen, dass diese beiden Sitzungen dasselbe TLS-Master-Secret haben (obwohl die Sitzungen gleichzeitig etabliert werden müssen, um eine angemessene Kontrolle über die Random-Werte zu erhalten). Anwendungen, die das EKM verwenden, müssen dies berücksichtigen, wie sie das EKM verwenden; in einigen Fällen kann es ratsam sein, die Verwendung anderer Cipher-Suiten (wie solche, die einen Diffie-Hellman-Schlüsselaustausch verwenden) zu verlangen.
Das Entwerfen eines sicheren Mechanismus, der Exporteure verwendet, ist nicht notwendigerweise einfach. Dieses Dokument stellt nur den Exporteur-Mechanismus bereit, aber das Problem der Einigung über den umgebenden Kontext und die Bedeutung der Informationen, die an und von dem Exporteur weitergegeben werden, bleibt bestehen. Jede neue Verwendung des Exporteur-Mechanismus sollte einer sorgfältigen Überprüfung unterzogen werden.