Aller au contenu principal

1. Introduction

1. Introduction

Les schémas de chiffrement qui combinent des algorithmes asymétriques et symétriques ont été spécifiés et pratiqués depuis les débuts de la cryptographie à clé publique, par exemple [RFC1421]. La combinaison des deux offre les avantages de gestion des clés de la cryptographie asymétrique et les bénéfices de performance de la cryptographie symétrique. La combinaison traditionnelle a été "chiffrer la clé symétrique avec la clé publique". Les schémas de chiffrement à clé publique "hybride" (HPKE), spécifiés ici, adoptent une approche différente: "générer la clé symétrique et son encapsulation avec la clé publique". Plus précisément, les messages chiffrés transmettent une clé de chiffrement encapsulée avec un schéma à clé publique, ainsi qu'un ou plusieurs textes chiffrés de taille arbitraire chiffrés à l'aide de cette clé. Ce type de chiffrement à clé publique a de nombreuses applications en pratique, notamment Messaging Layer Security [MLS-PROTOCOL] et TLS Encrypted ClientHello [TLS-ECH].

Actuellement, il existe de nombreuses normes et variantes concurrentes et non interopérables pour le chiffrement hybride, principalement des variantes du schéma de chiffrement intégré à courbe elliptique (ECIES), notamment ANSI X9.63 (ECIES) [ANSI], IEEE 1363a [IEEE1363], ISO/IEC 18033-2 [ISO] et SECG SEC 1 [SECG]. Voir [MAEA10] pour une comparaison approfondie. Tous ces schémas existants présentent des problèmes, par exemple parce qu'ils reposent sur des primitives obsolètes, manquent de preuves de sécurité contre les attaques à texte chiffré choisi (adaptatives) indistinguables (IND-CCA2), ou ne fournissent pas de vecteurs de test.

Ce document définit un schéma HPKE qui fournit un sous-ensemble des fonctions fournies par la collection de schémas ci-dessus, mais spécifié avec une clarté suffisante pour qu'ils puissent être implémentés de manière interopérable. La construction HPKE définie ici est sécurisée contre les attaques à texte chiffré choisi (adaptatives) (IND-CCA2-sécurisée) sous des hypothèses classiques concernant les primitives sous-jacentes [HPKEAnalysis] [ABHKLR20]. Un résumé de ces analyses se trouve dans la section 9.1.

Ce document représente le consensus du Crypto Forum Research Group (CFRG).