Zum Hauptinhalt springen

9.2.2. AuthEncap/AuthDecap Interface (AuthEncap/AuthDecap-Schnittstelle)

9.2.2. AuthEncap/AuthDecap-Schnittstelle

Die Analyse der Single-Shot-Verschlüsselungs-API des Auth-Modus von HPKE in [ABHKLR20] liefert Kompositionstheoreme, die garantieren, dass der Auth-Modus von HPKE seine gewünschten Sicherheitseigenschaften erreicht, wenn die AuthEncap()/AuthDecap()-Schnittstelle des KEM die Multi-User-Outsider-CCA-, Outsider-Auth- und Insider-CCA-Sicherheit erfüllt, wie im selben Paper definiert.

Intuitiv formalisiert Outsider-CCA-Sicherheit Vertraulichkeit, und Outsider-Auth-Sicherheit formalisiert Authentifizierung des gemeinsamen KEM-Geheimnisses im Fall, dass weder der private Senderschlüssel noch der private Empfängerschlüssel kompromittiert sind. Insider-CCA-Sicherheit formalisiert Vertraulichkeit des gemeinsamen KEM-Geheimnisses im Fall, dass der private Senderschlüssel vom Gegner bekannt oder gewählt ist. (Wenn der private Empfängerschlüssel vom Gegner bekannt oder gewählt ist, ist Vertraulichkeit trivial gebrochen, da dann der Gegner alle Geheimnisse auf der Empfängerseite kennt).

Ein Insider-Auth-Sicherheitsbegriff würde Authentifizierung des gemeinsamen KEM-Geheimnisses im Fall formalisieren, dass der private Empfängerschlüssel vom Gegner bekannt oder gewählt ist. (Wenn der private Senderschlüssel vom Gegner bekannt oder gewählt ist, kann er KEM-Chiffretexte im Namen des Senders erstellen). Aufgrund des generischen Angriffs auf einen analogen Insider-Auth-Sicherheitsbegriff von HPKE, der in Abschnitt 9.1 beschrieben ist, ist eine Definition von Insider-Auth-Sicherheit für in HPKE verwendete KEMs nicht nützlich.

Letztes Update am