4. セキュリティ考慮事項
4. セキュリティ考慮事項
Section 1 の考慮事項はサーバ鍵には適用されないため, これらの新しいコードポイントをサーバ証明書で使用することは禁止されます. RSA 鍵を使う TLS 1.3 サーバでは, RSASSA-PSS が引き続き必須です. これにより, 影響は TLS 1.3 展開の障害を取り除くためにこれらのコードポイントが必要な場合に限定されます.
RSASSA-PKCS1-v1_5 は, 実装が不正確な場合に署名偽造を許します [MFSA201473]. これらのアルゴリズムで署名を生成または検証する実装は, [RFC8017] の Section 8.2 で指定されるとおりに RSASSA-PKCS1-v1_5 を実装しなければなりません. 特に, クライアントは DigestInfo 構造に必須の NULL パラメータを含め, 有効な DER [X690] エンコードを生成しなければなりません. サーバはこれらの要件を満たさない署名を拒否しなければなりません.