Zum Hauptinhalt springen

8. Sicherheitsüberlegungen

Sicherheitsfragen werden in diesem Memo durchgehend diskutiert.

Für TLS-Handshakes unter Verwendung von ECC-Cipher-Suites gelten die Sicherheitsüberlegungen in Anhang D jedes der drei TLS-Basisdokumente entsprechend.

ECC-spezifische Sicherheitsdiskussionen finden sich in [IEEE.P1363] und [ANSI.X9-62.2005]. Ein wichtiges Thema, das Implementierer und Benutzer berücksichtigen müssen, ist die Wahl der elliptischen Kurve. Hinweise zur Auswahl einer geeigneten Größe der elliptischen Kurve sind in Tabelle 1 gegeben. Sicherheitsüberlegungen speziell zu X25519 und X448 werden in Abschnitt 7 von [RFC7748] diskutiert.

Über die Größe der elliptischen Kurve hinaus ist das Hauptproblem die Struktur der elliptischen Kurve. Als allgemeines Prinzip ist es konservativer, elliptische Kurven mit so wenig algebraischer Struktur wie möglich zu verwenden. Daher sind Zufallskurven konservativer als spezielle Kurven wie Koblitz-Kurven, und Kurven über F_p mit zufälligem p sind konservativer als Kurven über F_p mit p einer speziellen Form, und Kurven über F_p mit zufälligem p gelten als konservativer als Kurven über F_2^m, da es für Charakteristik 2 keine Wahl zwischen mehreren Körpern ähnlicher Größe gibt.

Ein weiteres Problem ist das Potenzial für katastrophale Ausfälle, wenn eine einzelne elliptische Kurve weit verbreitet ist. In diesem Fall könnte ein Angriff auf die elliptische Kurve zur Kompromittierung einer großen Anzahl von Schlüsseln führen. Auch hier muss diese Sorge möglicherweise mit den Effizienz- und Interoperabilitätsverbesserungen abgewogen werden, die mit weit verbreiteten Kurven verbunden sind. Erhebliche zusätzliche Informationen zur Kurvenauswahl finden sich in [IEEE.P1363], [ANSI.X9-62.2005] und [FIPS.186-4].

Die Einleitung von [RFC8032] listet die Sicherheits-, Leistungs- und Betriebsvorteile von EdDSA-Signaturen gegenüber ECDSA-Signaturen unter Verwendung von NIST-Kurven auf.

Alle in diesem Dokument definierten Schlüsselaustauschalgorithmen bieten Forward Secrecy. Einige der veralteten Schlüsselaustauschalgorithmen tun dies nicht.

Letztes Update am