跳到主要内容

9. 安全考虑 (Security Considerations)

[RFC5280] 的 Security Considerations 节同样适用于本规范.

保护 private key 信息, 即 seed, 对 public key cryptography 至关重要.向另一实体泄露 private key material 可能导致身份冒充.

private key 的生成依赖随机数.使用不充分的伪随机数生成器 (pseudorandom number generators, PRNGs) 生成这些值可能导致几乎没有安全性.与暴力搜索整个密钥空间相比, 攻击者可能更容易复现生成这些密钥的 PRNG 环境, 并搜索由此得到的小得多的可能集合.生成高质量随机数是困难的.ML-KEM 密钥生成对随机性生成有特定要求, 如 [FIPS203] 第 3.3 节所述.

许多协议只依赖 KEM 的 IND-CCA 安全性.一些协议还 (隐式地) 要求进一步的绑定属性, 这些属性在 [CDM23] 中形式化.private key 格式会影响这些绑定属性.根据 [KEMMY24], 使用展开 private key 格式时, ML-KEM 具有 LEAK-BIND-K-PK 安全性和 LEAK-BIND-K-CT 安全性, 但不具有 MAL-BIND-K-CT 或 MAL-BIND-K-PK 安全性.使用 64-byte seed 格式可提升绑定安全性, 并额外提供 MAL-BIND-K-CT 安全性 (但仍不提供 MAL-BIND-K-PK 安全性).

关于上述内容,随机性,错误绑定属性,解封装失败,密钥重用和密钥检查等更详细的 ML-KEM 特定安全考虑, 请参阅 [ML-KEM-SEC-CONS].