5. Security Considerations (安全考虑)

5. Security Considerations (安全考虑)

导出器输出的主要安全要求是它们必须是独立的。更正式地说, 在特定的 TLS 会话之后, 如果允许对手选择多个 (标签, 上下文值) 对, 并给出这些值的 PRF 输出, 攻击者仍然无法区分 (标签, 上下文值) 对 (与它提交的对不同) 的 PRF 输出和相同长度的随机值。特别是, 可能存在一些设置, 例如第 4 节中描述的设置, 攻击者可以控制上下文值; 这样的攻击者绝对不能预测导出器的输出。类似地, 不知道主密钥 (master secret) 的攻击者应该无法区分有效的导出器输出与随机值。当前的 TLS PRF 集被认为可以满足此目标, 前提是主密钥是随机生成的。

因为如果使用相同的标签对同一个 master_secret 应用两次, 导出器会产生相同的值, 所以使用相同标签生成的两个 EKM 值不能用于两个不同的目的是至关重要的 -- 因此, 需要 IANA 注册。但是, 因为导出器依赖于 TLS PRF, 使用从一个标签生成的 EKM 值来揭示从另一个标签生成的 EKM 值不是威胁。

对于某些 TLS 密码套件, TLS 主密钥不一定对单个 TLS 会话是唯一的。特别是, 使用 RSA 密钥交换, 在一个会话中充当 TLS 服务器而在另一个会话中充当 TLS 客户端的恶意方可以导致这两个会话具有相同的 TLS 主密钥 (尽管必须同时建立会话才能获得对随机值的充分控制)。使用 EKM 的应用程序需要在如何使用 EKM 时考虑这一点; 在某些情况下, 可能建议要求使用其他密码套件 (例如使用 Diffie-Hellman 密钥交换的密码套件)。

设计使用导出器的安全机制不一定是简单的。本文档仅提供导出器机制, 但就周围上下文和传递给导出器和从导出器传递的信息的含义达成一致的问题仍然存在。导出器机制的任何新使用都应该经过仔细审查。