Passa al contenuto principale

9.2.2. AuthEncap/AuthDecap Interface (Interfaccia AuthEncap/AuthDecap)

9.2.2. Interfaccia AuthEncap/AuthDecap

L'analisi dell'API di cifratura a singola esecuzione della modalità Auth di HPKE in [ABHKLR20] fornisce teoremi di composizione che garantiscono che la modalità Auth di HPKE raggiunga le sue proprietà di sicurezza desiderate se l'interfaccia AuthEncap()/AuthDecap() del KEM soddisfa la sicurezza multi-utente Outsider-CCA, Outsider-Auth e Insider-CCA, come definita nello stesso documento.

Intuitivamente, la sicurezza Outsider-CCA formalizza la riservatezza, e la sicurezza Outsider-Auth formalizza l'autenticazione del segreto condiviso KEM nel caso in cui nessuna delle chiavi private del mittente o del destinatario sia compromessa. La sicurezza Insider-CCA formalizza la riservatezza del segreto condiviso KEM nel caso in cui la chiave privata del mittente sia nota o scelta dall'avversario. (Se la chiave privata del destinatario è nota o scelta dall'avversario, la riservatezza è banalmente violata, perché allora l'avversario conosce tutti i segreti dal lato del destinatario).

Una nozione di sicurezza Insider-Auth formalizzerebbe l'autenticazione del segreto condiviso KEM nel caso in cui la chiave privata del destinatario sia nota o scelta dall'avversario. (Se la chiave privata del mittente è nota o scelta dall'avversario, può creare testi cifrati KEM a nome del mittente). A causa dell'attacco generico su una nozione di sicurezza Insider-Auth analoga di HPKE descritto nella Sezione 9.1, una definizione di sicurezza Insider-Auth per i KEM utilizzati in HPKE non è utile.

Ultimo aggiornamento il