9.2.2. AuthEncap/AuthDecap Interface (Interface AuthEncap/AuthDecap)

9.2.2. Interface AuthEncap/AuthDecap

L'analyse de l'API de chiffrement à usage unique du mode Auth de HPKE dans [ABHKLR20] fournit des théorèmes de composition qui garantissent que le mode Auth de HPKE atteint ses propriétés de sécurité souhaitées si l'interface AuthEncap()/AuthDecap() du KEM satisfait la sécurité multi-utilisateur Outsider-CCA, Outsider-Auth et Insider-CCA, telle que définie dans le même article.

Intuitivement, la sécurité Outsider-CCA formalise la confidentialité, et la sécurité Outsider-Auth formalise l'authentification du secret partagé KEM dans le cas où aucune des clés privées de l'expéditeur ou du destinataire n'est compromise. La sécurité Insider-CCA formalise la confidentialité du secret partagé KEM dans le cas où la clé privée de l'expéditeur est connue ou choisie par l'adversaire. (Si la clé privée du destinataire est connue ou choisie par l'adversaire, la confidentialité est trivialement brisée, car alors l'adversaire connaît tous les secrets du côté du destinataire).

Une notion de sécurité Insider-Auth formaliserait l'authentification du secret partagé KEM dans le cas où la clé privée du destinataire est connue ou choisie par l'adversaire. (Si la clé privée de l'expéditeur est connue ou choisie par l'adversaire, il peut créer des textes chiffrés KEM au nom de l'expéditeur). En raison de l'attaque générique sur une notion de sécurité Insider-Auth analogue de HPKE décrite dans la Section 9.1, une définition de la sécurité Insider-Auth pour les KEM utilisés dans HPKE n'est pas utile.