9.9. Metadata Protection (Protection des métadonnées)

9.9. Protection des métadonnées

Les modes authentifiés de HPKE (PSK, Auth et AuthPSK) exigent que le destinataire sache quel matériel de clé utiliser pour l'expéditeur. Cela peut être signalé dans les applications en envoyant l'ID PSK (psk_id ci-dessus) et/ou la clé publique de l'expéditeur (pkS). Cependant, ces valeurs elles-mêmes peuvent être considérées comme sensibles, car, dans un contexte d'application donné, elles pourraient identifier l'expéditeur.

Une application qui souhaite protéger ces valeurs de métadonnées sans nécessiter un provisionnement supplémentaire de clés peut utiliser une instance supplémentaire de HPKE, en utilisant le mode Base non authentifié. Alors que l'application aurait pu envoyer (psk_id, pkS, enc, ciphertext) auparavant, elle enverrait maintenant (enc2, ciphertext2, enc, ciphertext), où (enc2, ciphertext2) représentent le chiffrement des valeurs psk_id et pkS.

Le coût de cette approche est une opération KEM supplémentaire pour chacun de l'expéditeur et du destinataire. Une approche potentiellement à moindre coût (impliquant uniquement des opérations symétriques) serait disponible si les schémas de protection de nonce dans [BNT19] pouvaient être étendus pour couvrir d'autres métadonnées. Cependant, cette construction nécessiterait une analyse plus approfondie.