2.23. Add Section 8.5 - Entropy of Random Numbers, Key Pairs, and Shared Secret Information (乱数、鍵ペア、共有秘密情報のエントロピー)

2.23. Add Section 8.5 - Entropy of Random Numbers, Key Pairs, and Shared Secret Information (乱数、鍵ペア、共有秘密情報のエントロピー)

以下のサブセクションは, 乱数、非対称鍵、共有秘密情報の低エントロピーから生じるリスクに対処します。

新しいセクション 8.4 の後にこのセクションを挿入します:

8.5. Entropy of Random Numbers, Key Pairs, and Shared Secret Information

実装は, ランダム入力からノンスと秘密鍵を生成しなければなりません。暗号鍵を生成するために不適切な疑似乱数生成器 (PRNG) を使用すると, セキュリティがほとんどまたは全くなくなる可能性があります。攻撃者は, 鍵を生成した PRNG 環境を再現し, 結果として得られる小さな可能性のセットを検索する方が, 鍵空間全体をブルートフォース検索するよりもはるかに簡単であることに気付く可能性があります。予測可能な乱数の例として, [CVE-2008-0166] を参照してください; 低エントロピー乱数の結果は Mining Your Ps and Qs [MiningPsQs] で議論されています。品質の高い乱数の生成は困難です。ISO/IEC 20543:2019 [ISO.20543-2019], NIST SP 800-90A Rev.1 [NIST_SP_800_90Ar1], BSI AIS 31 V2.0 [AIS31], およびその他の仕様は, この分野で貴重なガイダンスを提供しています。

共有秘密情報が暗号的に安全な乱数生成器 (CSRNG) によって生成される場合, 共有秘密情報のエントロピーがそのビット長に等しいと仮定しても安全です。CSRNG が使用されない場合, 共有秘密情報のエントロピーは生成プロセスの詳細に依存し, 生成後に安全に測定することはできません。ユーザーが生成したパスワードが共有秘密情報として使用される場合, そのエントロピーは測定できず, 通常, 集中生成された鍵またはトラストアンカーの保護された配信には不十分です。

集中生成された鍵ペアの配信を保護する共有秘密情報のエントロピーが既知の場合, その鍵ペアのセキュリティ強度を下回らないようにすべきです; 共有秘密情報が異なる鍵ペアに再利用される場合, 共有秘密情報のセキュリティは個々の鍵ペアのセキュリティ強度を超えるべきです。

caPubs または genm を使用して新しいトラストアンカー (例: ルート CA 証明書) を配信する PKI 管理操作の場合で, (a) 適時に完了しない, または (b) 共有秘密情報が複数の鍵管理操作に再利用される場合, 共有秘密情報のエントロピー (既知の場合) は, 操作によって管理されるトラストアンカーのセキュリティ強度を下回らないようにすべきです。共有秘密情報は, 操作によって管理される鍵材料のセキュリティ強度と少なくとも一致するエントロピーを持つべきです。特定のユースケースでは, 低いセキュリティ強度の共有秘密情報が必要な場合があります (例: 人間が生成したパスワード)。このような秘密情報は単一の PKI 管理操作に制限することが推奨されます。