8. 安全考虑 (Security Considerations)
本备忘录通篇讨论了安全问题.
对于使用 ECC cipher suite 的 TLS handshake, 三个 TLS 基础文档各自附录 D 中的安全考虑相应适用.
ECC 特定的安全讨论可见 [IEEE.P1363] 和 [ANSI.X9-62.2005]. 实现者和用户必须考虑的一个重要问题是 elliptic curve selection. 表 1 给出了选择适当 elliptic curve size 的指导. X25519 和 X448 特定的安全考虑在 [RFC7748] 第 7 节中讨论.
除 elliptic curve size 之外, 主要问题是 elliptic curve structure. 作为一般原则, 使用代数结构尽可能少的 elliptic curve 更为保守. 因此, random curve 比 Koblitz curve 等 special curve 更保守; p 为随机值的 F_p 上的 curve 比 p 具有特殊形式的 F_p 上的 curve 更保守; 并且 p 为随机值的 F_p 上的 curve 被认为比 F_2^m 上的 curve 更保守, 因为对 characteristic 2 而言, 没有多个大小相近的 field 可供选择.
另一个问题是单一 elliptic curve 被广泛使用时可能发生灾难性故障. 在这种情况下, 对该 elliptic curve 的攻击可能导致大量 key 被泄露. 同样, 这种担忧可能需要与广泛使用 curve 所带来的效率和互操作性改进相权衡. 关于 elliptic curve 选择的大量附加信息可见 [IEEE.P1363]、[ANSI.X9-62.2005] 和 [FIPS.186-4].
[RFC8032] 的 Introduction 列出了 EdDSA signature 相对于使用 NIST curve 的 ECDSA signature 在安全性、性能和运维方面的优势.
本文档定义的所有 key exchange algorithm 都提供 forward secrecy. 一些已弃用的 key exchange algorithm 不提供 forward secrecy.