9.9. Metadata Protection (Protezione dei metadati)

9.9. Protezione dei metadati

Le modalità autenticate di HPKE (PSK, Auth e AuthPSK) richiedono che il destinatario sappia quale materiale di chiave utilizzare per il mittente. Questo può essere segnalato nelle applicazioni inviando l'ID PSK (psk_id sopra) e/o la chiave pubblica del mittente (pkS). Tuttavia, questi valori stessi potrebbero essere considerati sensibili, poiché, in un dato contesto applicativo, potrebbero identificare il mittente.

Un'applicazione che desidera proteggere questi valori di metadati senza richiedere ulteriore provisioning di chiavi può utilizzare un'istanza aggiuntiva di HPKE, utilizzando la modalità Base non autenticata. Dove l'applicazione avrebbe potuto inviare (psk_id, pkS, enc, ciphertext) prima, ora invierebbe (enc2, ciphertext2, enc, ciphertext), dove (enc2, ciphertext2) rappresentano la cifratura dei valori psk_id e pkS.

Il costo di questo approccio è un'operazione KEM aggiuntiva per ciascuno del mittente e del destinatario. Un approccio potenzialmente a costo inferiore (che coinvolge solo operazioni simmetriche) sarebbe disponibile se gli schemi di protezione del nonce in [BNT19] potessero essere estesi per coprire altri metadati. Tuttavia, questa costruzione richiederebbe ulteriori analisi.