9.9. Metadata Protection (Metadatenschutz)

9.9. Metadatenschutz

Die authentifizierten Modi von HPKE (PSK, Auth und AuthPSK) erfordern, dass der Empfänger weiß, welches Schlüsselmaterial für den Sender zu verwenden ist. Dies kann in Anwendungen signalisiert werden, indem die PSK-ID (psk_id oben) und/oder der öffentliche Schlüssel des Senders (pkS) gesendet werden. Diese Werte selbst können jedoch als sensibel angesehen werden, da sie in einem gegebenen Anwendungskontext den Sender identifizieren könnten.

Eine Anwendung, die diese Metadatenwerte schützen möchte, ohne weitere Bereitstellung von Schlüsseln zu erfordern, kann eine zusätzliche Instanz von HPKE verwenden, wobei der nicht authentifizierte Base-Modus verwendet wird. Während die Anwendung zuvor (psk_id, pkS, enc, ciphertext) gesendet haben könnte, würde sie jetzt (enc2, ciphertext2, enc, ciphertext) senden, wobei (enc2, ciphertext2) die Verschlüsselung der psk_id- und pkS-Werte darstellen.

Die Kosten dieses Ansatzes sind eine zusätzliche KEM-Operation sowohl für den Sender als auch für den Empfänger. Ein potenziell kostengünstigerer Ansatz (der nur symmetrische Operationen beinhaltet) wäre verfügbar, wenn die Nonce-Schutz-Schemata in [BNT19] erweitert werden könnten, um andere Metadaten abzudecken. Diese Konstruktion würde jedoch eine weitere Analyse erfordern.