Zum Hauptinhalt springen

9.1.1. Key-Compromise Impersonation (Identitätsvortäuschung durch Schlüsselkompromittierung)

9.1.1. Identitätsvortäuschung durch Schlüsselkompromittierung

Die in diesem Dokument definierten DHKEM-Varianten sind anfällig für Identitätsvortäuschungsangriffe durch Schlüsselkompromittierung [BJM97], was bedeutet, dass im Auth-Modus keine Sender-Authentifizierung erwartet werden kann, wenn der private Empfängerschlüssel skR kompromittiert ist, und im AuthPSK-Modus, wenn der vorgeteilte Schlüssel und der private Empfängerschlüssel skR beide kompromittiert sind. Das Box-Interface von NaCl [NaCl] hat das gleiche Problem. Gleichzeitig ermöglicht dies Abstreitbarkeit.

Wie in [ABHKLR20] gezeigt, sind Identitätsvortäuschungsangriffe durch Schlüsselkompromittierung bei HPKE generell möglich, da KEM-Chiffretexte nicht an HPKE-Nachrichten gebunden sind. Ein Angreifer, der den privaten Schlüssel eines Empfängers kennt, kann einen beobachteten KEM-Chiffretext entkapsel n, den Schlüsselplan berechnen und eine beliebige Nachricht verschlüsseln, die der Empfänger als vom ursprünglichen Sender kommend akzeptiert. Wichtig ist, dass dies auch bei einem KEM möglich ist, das gegen Identitätsvortäuschungsangriffe durch Schlüsselkompromittierung resistent ist. Daher erfordert die Behebung dieses Problems grundlegende Änderungen, die außerhalb des Umfangs dieser Spezifikation liegen.

Anwendungen, die Resistenz gegen Identitätsvortäuschung durch Schlüsselkompromittierung benötigen, SOLLTEN zusätzliche Schritte unternehmen, um diesen Angriff zu verhindern. Eine Möglichkeit besteht darin, eine digitale Signatur über (enc, ct)-Tupel unter Verwendung des privaten Schlüssels eines Senders zu erzeugen -- wobei ct ein AEAD-Chiffretext ist, der von der Single-Shot- oder Multi-Shot-API erzeugt wurde, und enc der entsprechende gekapselte KEM-Schlüssel ist.

Angesichts dieser Eigenschaften stärken vorgeteilte Schlüssel sowohl die Authentifizierungs- als auch die Geheimhaltungseigenschaften in bestimmten Gegnermodellen. Ein besonderes Beispiel, in dem dies nützlich sein kann, ist eine hybride Quantenumgebung: Wenn ein nicht-quantenresistentes KEM, das mit HPKE verwendet wird, von einem Quantencomputer gebrochen wird, werden die Sicherheitseigenschaften durch die Verwendung eines vorgeteilten Schlüssels bewahrt. Wie in Abschnitt 7 von [RFC8696] beschrieben, setzt dies voraus, dass der vorgeteilte Schlüssel nicht kompromittiert wurde.

Letztes Update am