電子メールの署名暗号化に使用する証明書の数はいくつですか？

Question

sign-encrypt-sign（電子メール）のセットアップで、署名操作のために同じ証明書を使用することも、別々の証明書を2つ選択することもできますか？ 暗号化操作は、目的の受信者の公開証明書を使用して実行されます。

敬具、 ブライアンは

Answer 1

まず、前に直接、あなたの質問に答える、私はおよそを暗号化し、その後、サイン対サインインして、その後、暗号化話をする必要があり、それは、暗号化と非常に一般的な問題であり、それほど頻繁に正しく答えられません。私は単純な答えがないことを意味する正しい答えはあなたが遭遇する状況に依存。

最初に、秘密鍵と暗号化時間の間の相関がに基づいて攻撃から保護することを覚えておいてください。、両当事者間にライブ交換がある場合。これは、署名をチェックする前に復号化するときに、Man-in-the-Middle攻撃者があなたの望むものを復号化できるためです。それで、彼はあなたが修正した内容を解読した直後にあなたの応答が来るので、解読の遅延を測定することができます（応答はしばしば "エラー"です。なぜなら、暗号文を解読した後、正しく署名されていない）。したがって、重要なルールは、の署名をチェックする前に何か解読しないことです。ライブ交換を持つ2人の間のプロトコルです。このようなタイミング側のチャネル攻撃を防ぐために、Auckland大学のP. Gutmannは、drafted RFCを2013年後半に提案しました。このRFCは次のように述べています。このドキュメントでは、暗号化MACセキュリティメカニズムの使用についてTLS/DTLSの既存のMAC-then-encryptを、何年もの間に多数のセキュリティ上の脆弱性の対象となっていたに置き換えました。

SMTPの上にあるPGPやS/MIMEなどの非同期交換を行うと、このようなタイミング攻撃を行うことはできません。したがって、D.W.によって説明される他の理由から、Sign-then-encryptを選択することをお勧めします。 https://crypto.stackexchange.com/questions/5458/should-we-sign-then-encrypt-or-encrypt-then-sign（これは、主に、エミッタ以外の誰かが署名した暗号テキストを避けるためです）、あなたがコメントで話したスレッドのです。

それでは、あなたの質問に答えてみましょう：

それは両方の符号操作のために同じ証明書を使用するか、1、2つの別々の証明書を選ぶ必要がありサイン暗号化記号（電子メール）の設定​​に受け入れられるだろうか？暗号化操作は、目的の受信者の公開証明書を使用して実行されます。

これはメールのコンテキストです。したがって、タイミング・サイド・チャネル攻撃は可能ではありません。したがって、署名してから暗号化するだけです。

しかし、Sign-then-encrypt-then-signが必要なので、他の理由でサイドチャネル攻撃を避けたいと思っています。

したがって、両方の符号操作に同じ証明書（および秘密鍵）を使用しても、交換機のセキュリティレベルには影響しません：わかりますように、最後の符号操作は、修正された内容を解読して遅延を測定し、暗号の前の最初の記号は、解読できない人が暗号文を署名できないことを確認するためのものです。したがって、これらの操作は両方ともリンクされていないため、両方の操作で同じ証明書を使用しても使用しても、何も変更されません。