9.7.5. Bad Ephemeral Randomness (Mauvais caractère aléatoire éphémère)

9.7.5. Mauvais caractère aléatoire éphémère

Si le caractère aléatoire utilisé pour l'encapsulation KEM est mauvais -- c'est-à-dire de faible entropie ou compromis en raison d'un générateur de nombres aléatoires cassé ou subverti -- les garanties de confidentialité de HPKE se dégradent considérablement. Dans le mode Base, les garanties de confidentialité peuvent être complètement perdues ; dans les autres modes, au moins le secret de transmission par rapport à la compromission de l'expéditeur peut être complètement perdu.

Une telle situation pourrait également conduire à la réutilisation du même secret partagé KEM et donc à la réutilisation des mêmes paires clé-nonce pour l'AEAD. Les AEAD spécifiés dans ce document ne sont pas sécurisés en cas de réutilisation de nonce. Ce vecteur d'attaque est particulièrement pertinent dans les modes authentifiés car la connaissance du caractère aléatoire éphémère n'est pas suffisante pour dériver shared_secret dans ces modes.

Une façon pour les applications d'atténuer les impacts du mauvais caractère aléatoire éphémère est de combiner le caractère aléatoire éphémère avec un secret à long terme local qui a été généré en toute sécurité, comme décrit dans [RFC8937].