8. セキュリティの考慮事項

セキュリティの問題は、本メモ全体を通して議論されている。

ECC 暗号スイートを使用する TLS ハンドシェイクについては、3つの TLS 基礎文書のそれぞれの付録 D にあるセキュリティの考慮事項が適宜適用される。

ECC に固有のセキュリティに関する議論は、[IEEE.P1363] および [ANSI.X9-62.2005] に見られる。実装者とユーザが考慮しなければならない重要な問題の1つは、楕円曲線の選択である。適切な楕円曲線サイズの選択に関するガイダンスは表1に記載されている。X25519 および X448 に固有のセキュリティの考慮事項は、[RFC7748] のセクション7で議論されている。

楕円曲線のサイズ以外に、主な問題は楕円曲線の構造である。一般的な原則として、代数的構造ができるだけ少ない楕円曲線を使用する方がより保守的である。したがって、ランダム曲線は Koblitz 曲線などの特殊な曲線よりも保守的であり、p がランダムな F_p 上の曲線は p が特殊な形式を持つ F_p 上の曲線よりも保守的であり、p がランダムな F_p 上の曲線は F_2^m 上の曲線よりも保守的であると考えられている（標数2の場合、同様のサイズの複数の体を選択する余地がないため）。

もう1つの問題は、単一の楕円曲線が広く使用されている場合に壊滅的な障害が発生する可能性があることである。この場合、楕円曲線への攻撃により、多数の鍵が侵害される可能性がある。ここでも、この懸念は、広く使用されている曲線に関連する効率と相互運用性の向上とのバランスを取る必要があるかもしれない。楕円曲線の選択に関する実質的な追加情報は、[IEEE.P1363]、[ANSI.X9-62.2005]、および [FIPS.186-4] に記載されている。

[RFC8032] の「はじめに」には、NIST 曲線を使用する ECDSA 署名に対する EdDSA 署名のセキュリティ、パフォーマンス、および運用の利点がリストされている。

本文書で定義されているすべての鍵交換アルゴリズムは、前方秘匿性 (forward secrecy) を提供する。一部の廃止された鍵交換アルゴリズムはそうではない。