7.3.3. 対称暗号 (Symmetric Cryptography)

本ドキュメントは, 非対称および対称暗号の両方を HTTP メッセージに適用できるようにする. 性質上, 対称暗号方式は, 署名者と検証者の双方が同一の鍵素材を知る必要がある. 実質的に, 検証者は同一の鍵素材にアクセスできるため有効な署名を生成できる. 検証者を侵害できる攻撃者は, 署名者になりすますことができる.

可能な限り, この種の攻撃を避けるために非対称方式または安全な鍵合意機構を用いるべきである. 対称方式を用いる場合, 鍵素材の配布はシステム全体によって保護される必要がある. その一つの手法は, 検証プロセス (したがって鍵素材) を他のコードから分離する別の暗号モジュールを用い, 脆弱な攻撃面を最小化することである. 別の手法は, 署名者と検証者が鍵の値を直接共有せずにメッセージごとに一意の鍵に合意できる鍵導出関数を用いることである.

さらに, システム内で対称アルゴリズムが許される場合, 鍵ダウングレード攻撃 (7.3.6 節) を避けるために特に注意を払う必要がある.