跳到主要内容

4. 安全考虑 (Security Considerations)

本文档继承 [RFC4251], [RFC5656], [RFC7748] 和 [RFC8731] 中的安全考虑.

Streamlined NTRU Prime sntrup761 以 IND-CCA2 安全性的标准目标为目标, 已在多种架构上得到广泛实现并具有良好性能, 且研究人员已对其研究多年. 然而, 新的密码学原语应以保守方式引入和信任, 并且新的研究发现可能随时发布, 从而要求实现重新评估. 本文档描述的 Curve25519 与 sntrup761 组合方法 (即对拼接后的输出进行 SHA-512 哈希) 也可接受同类密码学审查.

通信大小和计算需求的增加可能会成为受限计算设备的顾虑, 这些设备因而可能无法利用本工作提供的改进安全属性.

由于预期 sntrup761x25519-sha512 相比 curve25519-sha256 不会降低安全性, 因此如果额外的通信大小和计算需求可以接受, 建议在当前使用 curve25519-sha256 的任何场景中使用并优先选择 sntrup761x25519-sha512.

如 [RFC8731] 的安全考虑中所讨论, 该文档中的 X25519 共享秘密 K 使用 bignum 编码, 这会引入潜在的侧信道攻击风险, 因为 bignum 符号填充的不同长度可能泄露秘密的一比特. 本文档通过使用 string 编码而不是 bignum 编码来解决该问题.

本文档中协议本身, SSH 本身, 以及所使用的密码算法 (包括 Streamlined NTRU Prime) 的安全属性, 依赖于加密安全随机数据的可用性和正确使用.