5. Security Considerations (Considérations de sécurité)
5. Security Considerations (Considérations de sécurité)
L'exigence de sécurité principale pour les sorties d'exportateur est qu'elles soient indépendantes. Plus formellement, après une session TLS particulière, si un adversaire est autorisé à choisir plusieurs paires (étiquette, valeur de contexte) et reçoit la sortie du PRF pour ces valeurs, l'attaquant est toujours incapable de distinguer entre la sortie du PRF pour une paire (étiquette, valeur de contexte) (différente de celles qu'il a soumises) et une valeur aléatoire de la même longueur. En particulier, il peut y avoir des paramètres, comme celui décrit dans la Section 4, où l'attaquant peut contrôler la valeur de contexte; un tel attaquant NE DOIT PAS être capable de prédire la sortie de l'exportateur. De même, un attaquant qui ne connaît pas le secret maître (master secret) ne devrait pas pouvoir distinguer les sorties d'exportateur valides des valeurs aléatoires. L'ensemble actuel de PRF TLS est censé atteindre cet objectif, à condition que le secret maître soit généré de manière aléatoire.
Parce qu'un exportateur produit la même valeur s'il est appliqué deux fois avec la même étiquette au même master_secret, il est essentiel que deux valeurs EKM générées avec la même étiquette ne soient pas utilisées à deux fins différentes -- d'où l'exigence d'enregistrement IANA. Cependant, parce que les exportateurs dépendent du PRF TLS, ce n'est pas une menace pour l'utilisation d'une valeur EKM générée à partir d'une étiquette de révéler une valeur EKM générée à partir d'une autre étiquette.
Avec certaines suites de chiffrement TLS, le secret maître TLS n'est pas nécessairement unique à une seule session TLS. En particulier, avec l'échange de clés RSA, une partie malveillante agissant comme serveur TLS dans une session et comme client TLS dans une autre session peut faire en sorte que ces deux sessions aient le même secret maître TLS (bien que les sessions doivent être établies simultanément pour obtenir un contrôle adéquat des valeurs Random). Les applications utilisant l'EKM doivent en tenir compte dans la façon dont elles utilisent l'EKM; dans certains cas, exiger l'utilisation d'autres suites de chiffrement (comme celles utilisant un échange de clés Diffie-Hellman) peut être conseillé.
Concevoir un mécanisme sécurisé qui utilise des exportateurs n'est pas nécessairement simple. Ce document fournit uniquement le mécanisme d'exportateur, mais le problème de convenir du contexte environnant et de la signification des informations transmises vers et depuis l'exportateur demeure. Toute nouvelle utilisation du mécanisme d'exportateur devrait faire l'objet d'un examen attentif.