Passa al contenuto principale

9.1. Security Properties (Proprietà di sicurezza)

9.1. Proprietà di sicurezza

HPKE ha diversi obiettivi di sicurezza, a seconda della modalità di funzionamento, contro attaccanti attivi e adattivi che possono compromettere segreti parziali di mittenti e destinatari. Gli obiettivi di sicurezza desiderati sono dettagliati di seguito:

  • Segretezza dei messaggi: Riservatezza dei messaggi del mittente contro attacchi con testo cifrato scelto

  • Segretezza della chiave di esportazione: Indistinguibilità di ogni segreto di esportazione da una stringa di bit uniformemente casuale di uguale lunghezza, cioè Context.Export è una PRF a lunghezza variabile

  • Autenticazione del mittente: Prova dell'origine del mittente per le modalità PSK, Auth e AuthPSK

Questi obiettivi di sicurezza devono valere per qualsiasi mittente onesto e chiavi di destinatario oneste, così come se le chiavi del mittente onesto e del destinatario onesto sono le stesse.

HPKE mitiga i problemi di malleabilità (chiamata malleabilità benigna [SECG]) negli standard di crittografia a chiave pubblica precedenti basati su ECIES includendo tutte le chiavi pubbliche nel contesto della pianificazione delle chiavi.

HPKE non fornisce segretezza in avanti rispetto alla compromissione del destinatario. Nelle modalità Base e Auth, le proprietà di segretezza sono attese solo se la chiave privata del destinatario skR non è compromessa in alcun momento. Nelle modalità PSK e AuthPSK, le proprietà di segretezza sono attese se la chiave privata del destinatario skR e la chiave pre-condivisa non sono entrambe compromesse in alcun momento. Vedere la Sezione 9.7 per maggiori dettagli.

Nella modalità Auth, l'autenticazione del mittente è generalmente attesa se la chiave privata del mittente skS non è compromessa al momento della ricezione del messaggio. Nella modalità AuthPSK, l'autenticazione del mittente è generalmente attesa se, al momento della ricezione del messaggio, la chiave privata del mittente skS e la chiave pre-condivisa non sono entrambe compromesse.

Oltre alla segretezza in avanti e all'impersonificazione per compromissione della chiave, che sono evidenziate in questa sezione a causa della loro particolare importanza crittografica, HPKE ha altri non-obiettivi descritti nella Sezione 9.7: nessuna tolleranza del riordino o della perdita di messaggi, nessuna prevenzione del downgrade o del replay, nessun occultamento della lunghezza del testo in chiaro e nessuna protezione contro la casualità effimera scadente. La Sezione 9.7 suggerisce mitigazioni a livello di applicazione per alcuni di essi.

Ultimo aggiornamento il