1. Introduction (Introduzione)
1. Introduction (Introduzione)
Gli schemi di crittografia che combinano algoritmi asimmetrici e simmetrici sono stati specificati e praticati fin dai primi giorni della crittografia a chiave pubblica, ad esempio [RFC1421]. La combinazione dei due fornisce i vantaggi della gestione delle chiavi della crittografia asimmetrica e i benefici prestazionali della crittografia simmetrica. La combinazione tradizionale è stata "crittografare la chiave simmetrica con la chiave pubblica". Gli schemi di crittografia a chiave pubblica "ibrida" (HPKE), specificati qui, adottano un approccio diverso: "generare la chiave simmetrica e il suo incapsulamento con la chiave pubblica". Nello specifico, i messaggi crittografati trasmettono una chiave di crittografia incapsulata con uno schema a chiave pubblica, insieme a uno o più testi cifrati di dimensioni arbitrarie crittografati utilizzando quella chiave. Questo tipo di crittografia a chiave pubblica ha molte applicazioni nella pratica, tra cui Messaging Layer Security [MLS-PROTOCOL] e TLS Encrypted ClientHello [TLS-ECH].
Attualmente esistono numerosi standard e varianti concorrenti e non interoperabili per la crittografia ibrida, principalmente varianti dell'Elliptic Curve Integrated Encryption Scheme (ECIES), tra cui ANSI X9.63 (ECIES) [ANSI], IEEE 1363a [IEEE1363], ISO/IEC 18033-2 [ISO] e SECG SEC 1 [SECG]. Vedere [MAEA10] per un confronto approfondito. Tutti questi schemi esistenti presentano problemi, ad esempio perché si basano su primitive obsolete, mancano di prove di sicurezza contro attacchi a testo cifrato scelto (adattivi) indistinguibili (IND-CCA2), o non forniscono vettori di test.
Questo documento definisce uno schema HPKE che fornisce un sottoinsieme delle funzioni fornite dalla raccolta di schemi sopra citata, ma specificato con sufficiente chiarezza da poter essere implementato in modo interoperabile. La costruzione HPKE definita qui è sicura contro attacchi a testo cifrato scelto (adattivi) (IND-CCA2-sicura) sotto ipotesi classiche sulle primitive sottostanti [HPKEAnalysis] [ABHKLR20]. Un riepilogo di queste analisi si trova nella sezione 9.1.
Questo documento rappresenta il consenso del Crypto Forum Research Group (CFRG).