9.7.5. Bad Ephemeral Randomness (Schlechte ephemere Zufälligkeit)

9.7.5. Schlechte ephemere Zufälligkeit

Wenn die für die KEM-Kapselung verwendete Zufälligkeit schlecht ist -- d.h. von niedriger Entropie oder aufgrund eines defekten oder unterwanderten Zufallszahlengenerators kompromittiert -- verschlechtern sich die Vertraulichkeitsgarantien von HPKE erheblich. Im Base-Modus können Vertraulichkeitsgarantien vollständig verloren gehen; in den anderen Modi kann zumindest Forward Secrecy in Bezug auf Senderkompromittierung vollständig verloren gehen.

Eine solche Situation könnte auch zur Wiederverwendung desselben gemeinsamen KEM-Geheimnisses und damit zur Wiederverwendung derselben Schlüssel-Nonce-Paare für das AEAD führen. Die in diesem Dokument spezifizierten AEADs sind im Fall der Nonce-Wiederverwendung nicht sicher. Dieser Angriffsvektor ist besonders relevant in authentifizierten Modi, da die Kenntnis der ephemeren Zufälligkeit nicht ausreicht, um shared_secret in diesen Modi abzuleiten.

Eine Möglichkeit für Anwendungen, die Auswirkungen schlechter ephemerer Zufälligkeit zu mildern, besteht darin, ephemere Zufälligkeit mit einem lokalen langfristigen Geheimnis zu kombinieren, das sicher generiert wurde, wie in [RFC8937] beschrieben.