Zum Hauptinhalt springen

9.1. Security Properties (Sicherheitseigenschaften)

9.1. Sicherheitseigenschaften

HPKE hat mehrere Sicherheitsziele, abhängig vom Betriebsmodus, gegen aktive und adaptive Angreifer, die Teilgeheimnisse von Sendern und Empfängern kompromittieren können. Die gewünschten Sicherheitsziele sind nachfolgend detailliert:

  • Nachrichtengeheimhaltung: Vertraulichkeit der Nachrichten des Senders gegen Chosen-Ciphertext-Angriffe

  • Export-Key-Geheimhaltung: Ununterscheidbarkeit jedes Exportsgeheimnisses von einer gleichmäßig zufälligen Bitfolge gleicher Länge, d.h. Context.Export ist eine PRF variabler Länge

  • Sender-Authentifizierung: Nachweis der Senderherkunft für PSK-, Auth- und AuthPSK-Modi

Diese Sicherheitsziele werden für alle ehrlichen Sender- und ehrlichen Empfängerschlüssel erwartet, sowie wenn die ehrlichen Sender- und ehrlichen Empfängerschlüssel dieselben sind.

HPKE mildert Manipulierbarkeitsprobleme (gutartige Manipulierbarkeit genannt [SECG]) in früheren Public-Key-Verschlüsselungsstandards auf Basis von ECIES ab, indem alle öffentlichen Schlüssel im Kontext des Schlüsselplans enthalten sind.

HPKE bietet keine Forward Secrecy in Bezug auf Empfängerkompromittierung. In den Base- und Auth-Modi werden die Geheimhaltungseigenschaften nur dann erwartet, wenn der private Empfängerschlüssel skR zu keinem Zeitpunkt kompromittiert wird. In den PSK- und AuthPSK-Modi werden die Geheimhaltungseigenschaften erwartet, wenn der private Empfängerschlüssel skR und der vorgeteilte Schlüssel nicht beide zu irgendeinem Zeitpunkt kompromittiert werden. Siehe Abschnitt 9.7 für weitere Details.

Im Auth-Modus wird die Sender-Authentifizierung im Allgemeinen erwartet, wenn der private Senderschlüssel skS zum Zeitpunkt des Nachrichtenempfangs nicht kompromittiert ist. Im AuthPSK-Modus wird die Sender-Authentifizierung im Allgemeinen erwartet, wenn zum Zeitpunkt des Nachrichtenempfangs der private Senderschlüssel skS und der vorgeteilte Schlüssel nicht beide kompromittiert sind.

Neben Forward Secrecy und Identitätsvortäuschung durch Schlüsselkompromittierung, die in diesem Abschnitt wegen ihrer besonderen kryptographischen Bedeutung hervorgehoben werden, hat HPKE andere Nicht-Ziele, die in Abschnitt 9.7 beschrieben werden: keine Toleranz für Nachrichten-Neuordnung oder -Verlust, keine Downgrade- oder Replay-Prävention, kein Verbergen der Klartextlänge und kein Schutz gegen schlechte ephemere Zufälligkeit. Abschnitt 9.7 schlägt Anwendungsebenen-Mitigationen für einige davon vor.

Letztes Update am