Aller au contenu principal

10. Considérations de sécurité (Security Considerations)

Les considérations de sécurité ont été discutées à divers endroits dans ce document.

Points de sécurité principaux

Longueur de clé

La sécurité des clés RSA dépend fortement de la taille du module. Longueurs minimales recommandées :

  • 2048 bits : longueur minimale actuellement recommandée
  • 3072 bits : recommandé pour les applications à haute sécurité
  • 4096 bits : pour les clés à long terme ou les exigences de sécurité extrêmement élevées

Choix du schéma

  • RSAES-OAEP : le schéma de chiffrement pour les nouvelles applications DOIT (REQUIRED) être pris en charge
  • RSASSA-PSS : schéma de signature RECOMMANDÉ (RECOMMENDED) pour les nouvelles applications
  • PKCS1-v1_5 : conservé uniquement pour la compatibilité, présente des faiblesses connues

Notes d'implémentation

  1. Génération de nombres aléatoires : doit utiliser un générateur de nombres aléatoires cryptographiquement sécurisé
  2. Attaques par canal auxiliaire : l'implémentation doit prévenir les attaques temporelles et l'analyse de consommation électrique
  3. Gestion des erreurs : les messages d'erreur des opérations de déchiffrement et de vérification doivent être uniformes pour éviter les fuites d'informations
  4. Attaque par oracle de padding : RSAES-PKCS1-v1_5 est vulnérable à l'attaque Bleichenbacher, une attention particulière est requise lors de l'implémentation

Fonctions de hachage

  • À éviter : MD5, SHA-1 (déjà cassés)
  • Recommandés : SHA-256, SHA-384, SHA-512

Utilisation des clés

  • Usage unique : une paire de clés RSA doit être utilisée pour un seul schéma (chiffrement ou signature, ne pas mélanger)
  • Rotation des clés : mettre à jour les clés régulièrement
  • Protection de la clé privée : la clé privée doit être stockée chiffrée, l'utilisation d'un module de sécurité matériel (HSM) est une meilleure pratique

Attaques connues et défenses

  • Attaque par texte chiffré choisi (Chosen Ciphertext Attack) : RSAES-OAEP fournit une protection
  • Attaque par message choisi (Chosen Message Attack) : RSASSA-PSS fournit une protection
  • Attaque Bleichenbacher : affecte RSAES-PKCS1-v1_5
  • Attaque temporelle : attention nécessaire lors de l'utilisation d'algorithmes à temps constant et d'accélération CRT

Voir la discussion dans la Section 6 concernant l'évitement de l'utilisation de la même paire de clés dans plusieurs schémas.

Dernière mise à jour le