Aller au contenu principal

5.1.1. Nonce Reuse (Réutilisation de nonce)

5.1.1. Nonce Reuse (Réutilisation de nonce)

La réutilisation involontaire du même nonce par deux invocations de l'opération de chiffrement GCM, avec la même clé mais des textes en clair distincts, compromet la confidentialité des textes en clair protégés dans ces deux invocations, et compromet toute la protection d'authenticité et d'intégrité fournie par cette clé. Pour cette raison, GCM ne devrait être utilisé que lorsque l'unicité des nonces peut être assurée avec certitude. La caractéristique de conception que GCM utilise pour obtenir une latence minimale est la cause des vulnérabilités sur les utilisations ultérieures de la clé. Il est acceptable d'entrer plusieurs fois la même valeur de nonce dans l'opération de déchiffrement.

Les conséquences pour la sécurité sont graves si un attaquant observe deux textes chiffrés créés avec le même nonce et la même clé, sauf si les valeurs de texte en clair et d'AD dans les deux invocations de l'opération de chiffrement étaient identiques. Premièrement, une perte de confidentialité s'ensuit car l'attaquant pourra reconstituer le ou exclusif bit à bit des deux textes en clair. Deuxièmement, une perte d'intégrité s'ensuit car l'attaquant pourra retrouver la clé de hachage interne utilisée pour l'intégrité des données. La connaissance de cette clé rend les forgeries ultérieures triviales.

Dernière mise à jour le