Passa al contenuto principale

8. Considerazioni sulla sicurezza

Le questioni di sicurezza sono discusse in tutto questo promemoria.

Per gli handshake TLS che utilizzano suite di cifratura ECC, le considerazioni sulla sicurezza nell'Appendice D di ciascuno dei tre documenti di base TLS si applicano di conseguenza.

Discussioni sulla sicurezza specifiche per ECC possono essere trovate in [IEEE.P1363] e [ANSI.X9-62.2005]. Una questione importante che implementatori e utenti devono considerare è la selezione della curva ellittica. Una guida sulla selezione di una dimensione appropriata della curva ellittica è fornita nella Tabella 1. Considerazioni sulla sicurezza specifiche per X25519 e X448 sono discusse nella Sezione 7 di [RFC7748].

Oltre alla dimensione della curva ellittica, la questione principale è la struttura della curva ellittica. Come principio generale, è più conservativo utilizzare curve ellittiche con la minor struttura algebrica possibile. Pertanto, le curve casuali sono più conservative delle curve speciali come le curve Koblitz, e le curve su F_p con p casuale sono più conservative delle curve su F_p con p di una forma speciale, e le curve su F_p con p casuale sono considerate più conservative delle curve su F_2^m perché non c'è scelta tra più campi di dimensioni simili per caratteristica 2.

Un'altra questione è il potenziale di fallimenti catastrofici quando una singola curva ellittica è ampiamente utilizzata. In questo caso, un attacco alla curva ellittica potrebbe comportare la compromissione di un gran numero di chiavi. Anche in questo caso, questa preoccupazione potrebbe dover essere bilanciata con i miglioramenti dell'efficienza e dell'interoperabilità associati alle curve ampiamente utilizzate. Sostanziali informazioni aggiuntive sulla selezione della curva possono essere trovate in [IEEE.P1363], [ANSI.X9-62.2005] e [FIPS.186-4].

L'introduzione di [RFC8032] elenca i vantaggi in termini di sicurezza, prestazioni e operativi delle firme EdDSA rispetto alle firme ECDSA che utilizzano curve NIST.

Tutti gli algoritmi di scambio chiavi definiti in questo documento forniscono forward secrecy. Alcuni degli algoritmi di scambio chiavi deprecati non lo fanno.

Ultimo aggiornamento il