6. Sicherheitsüberlegungen

Bitte lesen Sie den Abschnitt Sicherheitsüberlegungen in [RFC9052]; diese Überlegungen gelten auch für dieses Dokument, insbesondere die Notwendigkeit für Implementierungen, privates Schlüsselmaterial zu schützen.

Wenn entweder COSE_Encrypt oder COSE_Mac verwendet wird und mehr als zwei Parteien den Schlüssel teilen, wird keine Datenherkunftsauthentifizierung bereitgestellt. Jede Partei, die den Nachrichtenauthentifizierungsschlüssel kennt, kann ein gültiges Authentifizierungs-Tag berechnen; daher könnte der Inhalt von jeder der Parteien stammen, die den Schlüssel teilen.

Gegensignaturen von COSE_Encrypt und COSE_Mac mit kurzen Authentifizierungs-Tags bieten nicht die Sicherheitseigenschaften, die mit demselben in COSE_Sign verwendeten Algorithmus verbunden sind. Um 128-Bit-Sicherheit gegen Kollisionsangriffe zu bieten, MUSS die Tag-Länge mindestens 256 Bit betragen. Eine Gegensignatur eines COSE_Mac mit AES-MAC (unter Verwendung eines 128-Bit-Schlüssels oder größer) bietet höchstens 64 Bit Integritätsschutz. Ebenso bietet eine Gegensignatur eines COSE_Encrypt mit AES-CCM-16-64-128 höchstens 32 Bit Integritätsschutz.