9.7.5. Bad Ephemeral Randomness (Casualità effimera scadente)

9.7.5. Casualità effimera scadente

Se la casualità utilizzata per l'incapsulamento KEM è scadente -- cioè di bassa entropia o compromessa a causa di un generatore di numeri casuali difettoso o sovvertito -- le garanzie di riservatezza di HPKE degradano significativamente. Nella modalità Base, le garanzie di riservatezza possono essere perse completamente; nelle altre modalità, almeno la segretezza in avanti rispetto alla compromissione del mittente può essere persa completamente.

Tale situazione potrebbe anche portare al riutilizzo dello stesso segreto condiviso KEM e quindi al riutilizzo delle stesse coppie chiave-nonce per l'AEAD. Gli AEAD specificati in questo documento non sono sicuri in caso di riutilizzo del nonce. Questo vettore di attacco è particolarmente rilevante nelle modalità autenticate perché la conoscenza della casualità effimera non è sufficiente per derivare shared_secret in queste modalità.

Un modo per le applicazioni di mitigare gli impatti della casualità effimera scadente è combinare la casualità effimera con un segreto locale a lungo termine che è stato generato in modo sicuro, come descritto in [RFC8937].