5. Security Considerations (セキュリティに関する考慮事項)

5. Security Considerations (セキュリティに関する考慮事項)

エクスポーター出力の主要なセキュリティ要件は, それらが独立していることです。より正式には, 特定の TLS セッション後, 敵対者が複数の (ラベル, コンテキスト値) ペアを選択することを許可され, それらの値に対する PRF の出力が与えられた場合でも, 攻撃者は (ラベル, コンテキスト値) ペア (提出したものとは異なる) の PRF 出力と同じ長さのランダム値を区別することができません。特に, セクション 4 で説明されているような, 攻撃者がコンテキスト値を制御できる設定が存在する可能性があります。そのような攻撃者は, エクスポーターの出力を予測できてはなりません。同様に, マスターシークレット (master secret) を知らない攻撃者は, 有効なエクスポーター出力とランダム値を区別できないはずです。現在の TLS PRF セットは, マスターシークレットがランダムに生成されている限り, この目的を満たすと考えられています。

エクスポーターは, 同じラベルで同じ master_secret に 2 回適用されると同じ値を生成するため, 同じラベルで生成された 2 つの EKM 値が 2 つの異なる目的に使用されないことが重要です。したがって, IANA 登録の要件があります。ただし, エクスポーターは TLS PRF に依存しているため, 1 つのラベルから生成された EKM 値を使用して別のラベルから生成された EKM 値を明らかにすることは脅威ではありません。

特定の TLS 暗号スイートでは, TLS マスターシークレットは必ずしも単一の TLS セッションに固有ではありません。特に, RSA 鍵交換を使用する場合, 1 つのセッションで TLS サーバーとして機能し, 別のセッションで TLS クライアントとして機能する悪意のある当事者は, これら 2 つのセッションが同じ TLS マスターシークレットを持つようにすることができます (ただし, Random 値を十分に制御するには, セッションを同時に確立する必要があります)。EKM を使用するアプリケーションは, EKM の使用方法でこれを考慮する必要があります。場合によっては, 他の暗号スイート (Diffie-Hellman 鍵交換を使用するものなど) の使用を要求することが推奨される場合があります。

エクスポーターを使用する安全なメカニズムを設計することは, 必ずしも簡単ではありません。この文書はエクスポーターメカニズムのみを提供しますが, 周囲のコンテキストとエクスポーターとの間でやり取りされる情報の意味について合意する問題は残ります。エクスポーターメカニズムの新しい使用は, 慎重なレビューの対象とすべきです。