5. Security Considerations (Considerazioni sulla sicurezza)
5. Security Considerations (Considerazioni sulla sicurezza)
Il requisito di sicurezza principale per gli output dell'esportatore è che siano indipendenti. Più formalmente, dopo una particolare sessione TLS, se a un avversario è permesso scegliere più coppie (etichetta, valore di contesto) e gli viene dato l'output del PRF per quei valori, l'attaccante è ancora incapace di distinguere tra l'output del PRF per una coppia (etichetta, valore di contesto) (diversa da quelle che ha inviato) e un valore casuale della stessa lunghezza. In particolare, potrebbero esserci impostazioni, come quella descritta nella Sezione 4, in cui l'attaccante può controllare il valore di contesto; tale attaccante NON DEVE essere in grado di prevedere l'output dell'esportatore. Allo stesso modo, un attaccante che non conosce il segreto principale (master secret) non dovrebbe essere in grado di distinguere gli output dell'esportatore validi dai valori casuali. Si ritiene che l'attuale insieme di PRF TLS soddisfi questo obiettivo, a condizione che il segreto principale sia generato casualmente.
Poiché un esportatore produce lo stesso valore se applicato due volte con la stessa etichetta allo stesso master_secret, è fondamentale che due valori EKM generati con la stessa etichetta non vengano utilizzati per due scopi diversi -- quindi il requisito di registrazione IANA. Tuttavia, poiché gli esportatori dipendono dal PRF TLS, non è una minaccia per l'uso di un valore EKM generato da un'etichetta rivelare un valore EKM generato da un'altra etichetta.
Con alcune suite di cifratura TLS, il segreto principale TLS non è necessariamente unico per una singola sessione TLS. In particolare, con lo scambio di chiavi RSA, una parte malevola che agisce come server TLS in una sessione e come client TLS in un'altra sessione può far sì che quelle due sessioni abbiano lo stesso segreto principale TLS (sebbene le sessioni debbano essere stabilite simultaneamente per ottenere un controllo adeguato dei valori Random). Le applicazioni che utilizzano l'EKM devono considerare questo nel modo in cui usano l'EKM; in alcuni casi, potrebbe essere consigliabile richiedere l'uso di altre suite di cifratura (come quelle che utilizzano uno scambio di chiavi Diffie-Hellman).
Progettare un meccanismo sicuro che utilizza esportatori non è necessariamente semplice. Questo documento fornisce solo il meccanismo di esportazione, ma rimane il problema di concordare il contesto circostante e il significato delle informazioni passate da e verso l'esportatore. Qualsiasi nuovo utilizzo del meccanismo di esportazione dovrebbe essere soggetto a un'attenta revisione.