9.1.2. Computational Analysis (Rechnerische Analyse)
9.1.2. Rechnerische Analyse
In [CS01] wird gezeigt, dass ein hybrides Public-Key-Verschlüsselungsschema im Wesentlichen der gleichen Form wie der hier beschriebene Base-Modus IND-CCA2-sicher ist, solange die zugrunde liegenden KEM- und AEAD-Schemata IND-CCA2-sicher sind. Darüber hinaus wird in [HHK06] gezeigt, dass IND-CCA2-Sicherheit des KEM und des Datenkapselungsmechanismus notwendige Bedingungen sind, um IND-CCA2-Sicherheit für hybride Public-Key-Verschlüsselung zu erreichen. Der Hauptunterschied zwischen dem in [CS01] vorgeschlagenen Schema und dem Base-Modus in diesem Dokument (beide HPKE genannt) besteht darin, dass wir einige KDF-Aufrufe zwischen KEM und AEAD einfügen. Die Analyse der HPKE-Base-Modus-Instanziierung in diesem Dokument erfordert daher die Überprüfung, dass die zusätzlichen KDF-Aufrufe nicht dazu führen, dass die IND-CCA2-Eigenschaft fehlschlägt, sowie die Überprüfung der zusätzlichen Export-Key-Geheimhaltungseigenschaft.
Die Analyse der in diesem Dokument definierten PSK-, Auth- und AuthPSK-Modi erfordert zusätzlich die Überprüfung der Sender-Authentifizierungseigenschaft. Während der PSK-Modus lediglich zusätzliches Schlüsselmaterial zum Schlüsselplan hinzufügt, verwenden die Auth- und AuthPSK-Modi eine nicht-standardmäßige authentifizierte KEM-Konstruktion. Im Allgemeinen können die authentifizierten Modi von HPKE als Varianten von Signcryption [SigncryptionDZ10] betrachtet und analysiert werden.
Eine vorläufige rechnerische Analyse aller HPKE-Modi wurde in [HPKEAnalysis] durchgeführt, die asymptotische Sicherheit für den Fall anzeigt, in dem das KEM DHKEM ist, das AEAD ein beliebiges IND-CPA-sicheres und INT-CTXT-sicheres Schema ist, und die DH-Gruppe und der KDF die folgenden Bedingungen erfüllen:
-
DH-Gruppe: Das Gap-Diffie-Hellman-(GDH-)Problem ist in der entsprechenden Untergruppe schwer [GAP].
-
Extract() und Expand(): Extract() kann als Zufallsorakel modelliert werden. Expand() kann als pseudozufällige Funktion modelliert werden, wobei das erste Argument der Schlüssel ist.
Insbesondere erfüllen die in diesem Dokument definierten KDFs und DH-Gruppen (siehe Abschnitte 7.2 und 7.1) diese Eigenschaften, wenn sie wie spezifiziert verwendet werden. Die Analyse in [HPKEAnalysis] zeigt, dass HPKE unter diesen Einschränkungen weiterhin IND-CCA2-Sicherheit bietet und die oben genannten zusätzlichen Eigenschaften bereitstellt. Außerdem bestätigt die Analyse, dass die erwarteten Eigenschaften unter den oben genannten verschiedenen Schlüsselkompromittierungsfällen gelten. Die Analyse betrachtet einen Sender, der eine Nachricht unter Verwendung des Verschlüsselungskontexts sendet und zusätzlich zwei unabhängige Geheimnisse unter Verwendung der Secret-Export-Schnittstelle exportiert.
Die folgende Tabelle fasst die Hauptergebnisse aus [HPKEAnalysis] zusammen. N/A bedeutet, dass eine Eigenschaft für den gegebenen Modus nicht gilt, während Y bedeutet, dass der gegebene Modus die Eigenschaft erfüllt.
| Variante | Nachr.-Geh. | Export-Geh. | Sender-Auth. |
|---|---|---|---|
| Base | Y | Y | N/A |
| PSK | Y | Y | Y |
| Auth | Y | Y | Y |
| AuthPSK | Y | Y | Y |
Tabelle 6: HPKE-Modus-Sicherheitseigenschaften
Wenn nicht-DH-basierte KEMs mit HPKE verwendet werden sollen, ist eine weitere Analyse erforderlich, um ihre Sicherheit zu beweisen. Die Ergebnisse aus [CS01] liefern einige Hinweise darauf, dass jedes IND-CCA2-sichere KEM hier ausreichen wird, sind aber angesichts der Unterschiede in den Schemata nicht schlüssig.
Eine detaillierte rechnerische Analyse der Single-Shot-Verschlüsselungs-API des Auth-Modus von HPKE wurde in [ABHKLR20] durchgeführt. Das Paper definiert Sicherheitsbegriffe für authentifizierte KEMs und für authentifizierte Public-Key-Verschlüsselung unter Verwendung der aus Signcryption [SigncryptionDZ10] bekannten Outsider- und Insider-Sicherheitsterminologie. Die Analyse beweist, dass die AuthEncap()/AuthDecap()-Schnittstelle von DHKEM diese Begriffe für alle in diesem Dokument spezifizierten Diffie-Hellman-Gruppen erfüllt. Die Analyse liefert auch exakte Sicherheitsgrenzen unter den Annahmen, dass das Gap-Diffie-Hellman-(GDH-)Problem in der entsprechenden Untergruppe schwer ist [GAP] und dass HKDF als Zufallsorakel modelliert werden kann.
Darüber hinaus beweist [ABHKLR20] Kompositionstheoreme, die zeigen, dass der Auth-Modus von HPKE die Sicherheitsbegriffe der authentifizierten Public-Key-Verschlüsselung für alle in diesem Dokument spezifizierten KDFs und AEAD-Schemata erfüllt, gegeben ein beliebiges authentifiziertes KEM, das die zuvor definierten Sicherheitsbegriffe für authentifizierte KEMs erfüllt. Die Theoreme setzen voraus, dass das KEM perfekt korrekt ist; sie könnten leicht angepasst werden, um mit KEMs zu arbeiten, die eine von null verschiedene, aber vernachlässigbare Wahrscheinlichkeit für Entschlüsselungsfehler haben. Die Annahmen für den KDF sind, dass Extract() und Expand() jeweils als pseudozufällige Funktionen modelliert werden können, wobei das erste Argument der Schlüssel ist. Die Annahme für das AEAD ist IND-CPA- und IND-CTXT-Sicherheit.
Zusammenfassend beweist die Analyse in [ABHKLR20], dass die Single-Shot-Verschlüsselungs-API des Auth-Modus von HPKE die gewünschten Eigenschaften der Nachrichtenv ertraulichkeit und Sender-Authentifizierung erfüllt, die am Anfang dieses Abschnitts aufgeführt sind; sie betrachtet keine mehreren Nachrichten und auch nicht die Secret-Export-API.