Aller au contenu principal

8. Considérations de sécurité

Les questions de sécurité sont discutées tout au long de ce mémoire.

Pour les poignées de main TLS utilisant des suites de chiffrement ECC, les considérations de sécurité de l'annexe D de chacun des trois documents de base TLS s'appliquent en conséquence.

Les discussions de sécurité spécifiques à l'ECC peuvent être trouvées dans [IEEE.P1363] et [ANSI.X9-62.2005]. Une question importante que les implémenteurs et les utilisateurs doivent considérer est la sélection de la courbe elliptique. Des conseils sur la sélection d'une taille de courbe elliptique appropriée sont donnés dans le tableau 1. Les considérations de sécurité spécifiques à X25519 et X448 sont discutées dans la section 7 de [RFC7748].

Au-delà de la taille de la courbe elliptique, le problème principal est la structure de la courbe elliptique. En principe général, il est plus prudent d'utiliser des courbes elliptiques avec aussi peu de structure algébrique que possible. Ainsi, les courbes aléatoires sont plus prudentes que les courbes spéciales telles que les courbes de Koblitz, et les courbes sur F_p avec p aléatoire sont plus prudentes que les courbes sur F_p avec p d'une forme spéciale, et les courbes sur F_p avec p aléatoire sont considérées comme plus prudentes que les courbes sur F_2^m car il n'y a pas de choix entre plusieurs corps de taille similaire pour la caractéristique 2.

Un autre problème est le potentiel de défaillances catastrophiques lorsqu'une seule courbe elliptique est largement utilisée. Dans ce cas, une attaque sur la courbe elliptique pourrait entraîner la compromission d'un grand nombre de clés. Encore une fois, cette préoccupation peut devoir être équilibrée par rapport aux améliorations d'efficacité et d'interopérabilité associées aux courbes largement utilisées. Des informations supplémentaires substantielles sur le choix des courbes elliptiques peuvent être trouvées dans [IEEE.P1363], [ANSI.X9-62.2005] et [FIPS.186-4].

L'introduction de [RFC8032] énumère les avantages de sécurité, de performance et opérationnels des signatures EdDSA par rapport aux signatures ECDSA utilisant les courbes NIST.

Tous les algorithmes d'échange de clés définis dans ce document assurent la confidentialité persistante (forward secrecy). Certains des algorithmes d'échange de clés obsolètes ne le font pas.

Dernière mise à jour le