6. Considerazioni sulla Sicurezza

Si prega di rivedere la sezione Considerazioni sulla sicurezza nella [RFC9052]; queste considerazioni si applicano anche a questo documento, in particolare la necessità per le implementazioni di proteggere il materiale della chiave privata.

Quando viene utilizzato COSE_Encrypt o COSE_Mac e più di due parti condividono la chiave, l'autenticazione dell'origine dei dati non viene fornita. Qualsiasi parte che conosce la chiave di autenticazione del messaggio può calcolare un tag di autenticazione valido; pertanto, i contenuti potrebbero provenire da una qualsiasi delle parti che condividono la chiave.

Le controfirme di COSE_Encrypt e COSE_Mac con tag di autenticazione brevi non forniscono le proprietà di sicurezza associate allo stesso algoritmo utilizzato in COSE_Sign. Per fornire una sicurezza a 128 bit contro gli attacchi di collisione, la lunghezza del tag DEVE essere di almeno 256 bit. Una controfirma di un COSE_Mac con AES-MAC (utilizzando una chiave a 128 bit o superiore) fornisce al massimo 64 bit di protezione dell'integrità. Allo stesso modo, una controfirma di un COSE_Encrypt con AES-CCM-16-64-128 fornisce al massimo 32 bit di protezione dell'integrità.