Zum Hauptinhalt springen

1. Introduction (Einführung)

1. Introduction (Einführung)

Verschlüsselungsschemas, die asymmetrische und symmetrische Algorithmen kombinieren, wurden seit den frühen Tagen der Public-Key-Kryptografie spezifiziert und praktiziert, z.B. [RFC1421]. Die Kombination der beiden ergibt die Schlüsselverwaltungsvorteile der asymmetrischen Kryptografie und die Leistungsvorteile der symmetrischen Kryptografie. Die traditionelle Kombination war "den symmetrischen Schlüssel mit dem öffentlichen Schlüssel verschlüsseln". Die hier spezifizierten "hybriden" Public-Key-Verschlüsselungs-Schemas (HPKE) verfolgen einen anderen Ansatz: "den symmetrischen Schlüssel und seine Kapselung mit dem öffentlichen Schlüssel generieren". Konkret übermitteln verschlüsselte Nachrichten einen mit einem Public-Key-Schema gekapselten Verschlüsselungsschlüssel zusammen mit einem oder mehreren Geheimtexten beliebiger Größe, die mit diesem Schlüssel verschlüsselt sind. Diese Art der Public-Key-Verschlüsselung hat viele Anwendungen in der Praxis, einschließlich Messaging Layer Security [MLS-PROTOCOL] und TLS Encrypted ClientHello [TLS-ECH].

Derzeit gibt es zahlreiche konkurrierende und nicht interoperable Standards und Varianten für hybride Verschlüsselung, hauptsächlich Varianten des Elliptic Curve Integrated Encryption Scheme (ECIES), einschließlich ANSI X9.63 (ECIES) [ANSI], IEEE 1363a [IEEE1363], ISO/IEC 18033-2 [ISO] und SECG SEC 1 [SECG]. Siehe [MAEA10] für einen gründlichen Vergleich. Alle diese bestehenden Schemas haben Probleme, z.B. weil sie auf veralteten Primitiven beruhen, Beweise für Sicherheit gegen nicht unterscheidbare (adaptive) Chosen-Ciphertext-Angriffe (IND-CCA2) fehlen oder keine Testvektoren bereitstellen.

Dieses Dokument definiert ein HPKE-Schema, das eine Teilmenge der von der oben genannten Schemasammlung bereitgestellten Funktionen bietet, aber mit ausreichender Klarheit spezifiziert ist, damit sie interoperabel implementiert werden können. Die hierin definierte HPKE-Konstruktion ist sicher gegen (adaptive) Chosen-Ciphertext-Angriffe (IND-CCA2-sicher) unter klassischen Annahmen über die zugrunde liegenden Primitive [HPKEAnalysis] [ABHKLR20]. Eine Zusammenfassung dieser Analysen befindet sich in Abschnitt 9.1.

Dieses Dokument repräsentiert den Konsens der Crypto Forum Research Group (CFRG).