9.7.5. Bad Ephemeral Randomness (不良临时随机性)

9.7.5. 不良临时随机性

如果用于 KEM 封装的随机性是不良的 -- 即低熵或由于损坏或被颠覆的随机数生成器而被泄露 -- HPKE 的机密性保证会显著降低。在 Base 模式中, 机密性保证可能会完全丧失; 在其他模式中, 至少关于发送方泄露的前向保密性可能会完全丧失。

这种情况也可能导致重用相同的 KEM 共享秘密, 从而导致 AEAD 重用相同的密钥-随机数对。本文档中指定的 AEAD 在随机数重用的情况下不安全。这个攻击向量在认证模式中特别相关, 因为在这些模式中, 知道临时随机性不足以派生 shared_secret。

应用程序缓解不良临时随机性影响的一种方法是将临时随机性与已安全生成的本地长期秘密结合, 如 [RFC8937] 中所述。