Aller au contenu principal

9.1.1. Key-Compromise Impersonation (Usurpation par compromission de clé)

9.1.1. Usurpation par compromission de clé

Les variantes DHKEM définies dans ce document sont vulnérables aux attaques d'usurpation par compromission de clé [BJM97], ce qui signifie que l'authentification de l'expéditeur ne peut pas être attendue dans le mode Auth si la clé privée du destinataire skR est compromise, et dans le mode AuthPSK si la clé pré-partagée et la clé privée du destinataire skR sont toutes deux compromises. L'interface box de NaCl [NaCl] présente le même problème. En même temps, cela permet la répudiation.

Comme le montre [ABHKLR20], les attaques d'usurpation par compromission de clé sont généralement possibles sur HPKE car les textes chiffrés KEM ne sont pas liés aux messages HPKE. Un adversaire qui connaît la clé privée d'un destinataire peut décapsuler un texte chiffré KEM observé, calculer l'ordonnancement des clés et chiffrer un message arbitraire que le destinataire acceptera comme provenant de l'expéditeur original. Fait important, cela est possible même avec un KEM résistant aux attaques d'usurpation par compromission de clé. En conséquence, l'atténuation de ce problème nécessite des changements fondamentaux qui sont hors du champ d'application de cette spécification.

Les applications qui nécessitent une résistance contre l'usurpation par compromission de clé DEVRAIENT prendre des mesures supplémentaires pour prévenir cette attaque. Une possibilité consiste à produire une signature numérique sur les tuples (enc, ct) en utilisant la clé privée d'un expéditeur -- où ct est un texte chiffré AEAD produit par l'API à usage unique ou à usages multiples et enc est la clé encapsulée KEM correspondante.

Compte tenu de ces propriétés, les clés pré-partagées renforcent à la fois les propriétés d'authentification et de confidentialité dans certains modèles d'adversaires. Un exemple particulier où cela peut être utile est un contexte quantique hybride : si un KEM non résistant aux quantiques utilisé avec HPKE est cassé par un ordinateur quantique, les propriétés de sécurité sont préservées grâce à l'utilisation d'une clé pré-partagée. Comme décrit dans la Section 7 de [RFC8696], cela suppose que la clé pré-partagée n'a pas été compromise.

Dernière mise à jour le