Aller au contenu principal

9.1. Security Properties (Propriétés de sécurité)

9.1. Propriétés de sécurité

HPKE a plusieurs objectifs de sécurité, en fonction du mode de fonctionnement, contre les attaquants actifs et adaptatifs qui peuvent compromettre des secrets partiels des expéditeurs et des destinataires. Les objectifs de sécurité souhaités sont détaillés ci-dessous :

  • Confidentialité des messages : Confidentialité des messages de l'expéditeur contre les attaques par texte chiffré choisi

  • Confidentialité de la clé d'exportation : Indistinguabilité de chaque secret d'exportation d'une chaîne de bits uniformément aléatoire de longueur égale, c'est-à-dire que Context.Export est une PRF à longueur variable

  • Authentification de l'expéditeur : Preuve d'origine de l'expéditeur pour les modes PSK, Auth et AuthPSK

Ces objectifs de sécurité sont censés être valables pour tout expéditeur honnête et toute clé de destinataire honnête, ainsi que si les clés de l'expéditeur honnête et du destinataire honnête sont les mêmes.

HPKE atténue les problèmes de malléabilité (appelés malléabilité bénigne [SECG]) dans les normes précédentes de chiffrement à clé publique basées sur ECIES en incluant toutes les clés publiques dans le contexte de l'ordonnancement des clés.

HPKE ne fournit pas de secret de transmission par rapport à la compromission du destinataire. Dans les modes Base et Auth, les propriétés de confidentialité ne sont censées être valables que si la clé privée du destinataire skR n'est compromise à aucun moment. Dans les modes PSK et AuthPSK, les propriétés de confidentialité sont censées être valables si la clé privée du destinataire skR et la clé pré-partagée ne sont pas toutes deux compromises à un moment quelconque. Voir la Section 9.7 pour plus de détails.

Dans le mode Auth, l'authentification de l'expéditeur est généralement censée être valable si la clé privée de l'expéditeur skS n'est pas compromise au moment de la réception du message. Dans le mode AuthPSK, l'authentification de l'expéditeur est généralement censée être valable si, au moment de la réception du message, la clé privée de l'expéditeur skS et la clé pré-partagée ne sont pas toutes deux compromises.

Outre le secret de transmission et l'usurpation par compromission de clé, qui sont mis en évidence dans cette section en raison de leur importance cryptographique particulière, HPKE a d'autres non-objectifs décrits dans la Section 9.7 : pas de tolérance au réordonnancement ou à la perte de messages, pas de prévention de la rétrogradation ou de la relecture, pas de masquage de la longueur du texte en clair, et pas de protection contre le mauvais caractère aléatoire éphémère. La Section 9.7 suggère des atténuations au niveau de l'application pour certains d'entre eux.

Dernière mise à jour le