6. Overview of Schemes (スキームの概要)

スキーム (Scheme) は、暗号プリミティブとその他の技術を組み合わせて、特定のセキュリティ目標を達成します。本文書では、2つのタイプのスキームを規定しています：暗号化スキーム (Encryption Schemes) と付録付き署名スキーム (Signature Schemes with Appendix)。

本文書で規定されているスキームは、その動作がRSA公開鍵または秘密鍵を使用してデータを処理するステップのみを含み、鍵の取得または検証のステップを含まないという点で、範囲が限定されています。したがって、スキーム操作に加えて、アプリケーションには通常、当事者がスキーム操作用のRSA公開鍵と秘密鍵を選択できる鍵管理操作 (Key Management Operations) が含まれます。特定の追加操作およびその他の詳細は、本文書の範囲外です。

暗号プリミティブ（セクション5）の場合と同様に、スキーム操作の仕様は、入力が特定の条件を満たすこと、特にRSA公開鍵と秘密鍵が有効であることを前提としています。したがって、鍵が無効な場合、実装の動作は規定されていません。この規定されていない動作の影響は、アプリケーションに依存します。鍵検証の問題に対処する可能性のあるアプローチには、次のものがあります：アプリケーションによる明示的な鍵検証、公開鍵基盤内での鍵検証、および無効な鍵を使用して操作を実行する責任を鍵を生成した当事者に割り当てること。

一般的に良好な暗号実践は、特定のRSA鍵ペアを1つのスキームでのみ使用することです。これにより、1つのスキームの脆弱性が別のスキームのセキュリティを損なう可能性があるリスクが回避され、証明可能なセキュリティ (Provable Security) を維持するために重要である可能性があります。RSAES-PKCS1-v1_5（セクション7.2）とRSASSA-PKCS1-v1_5（セクション8.2）は、既知の悪影響のある相互作用なしに従来から一緒に使用されてきました（実際、これはPKCS #1 v1.5で導入されたモデルです）が、新しいアプリケーションでは、このようなRSA鍵ペアの組み合わせ使用は推奨されません (NOT RECOMMENDED)。

複数のスキームでRSA鍵ペアを使用することに関連するリスクを説明するために、RSA鍵ペアがRSAES-OAEP（セクション7.1）とRSAES-PKCS1-v1_5の両方に使用されると仮定します。RSAES-OAEP自体は攻撃に対して耐性がありますが、攻撃者はRSAES-PKCS1-v1_5実装の弱点を悪用して、いずれかのスキームで暗号化されたメッセージを復元できる可能性があります。別の例として、RSA鍵ペアがRSASSA-PSS（セクション8.1）とRSASSA-PKCS1-v1_5の両方に使用されると仮定します。その場合、RSASSA-PSSのセキュリティ証明は、第2のスキームを使用して署名が生成される可能性を考慮していないため、もはや十分ではありません。RSA鍵ペアがここで定義されているスキームの1つと他の場所で定義されている変種に使用される場合、同様の考慮事項が適用される可能性があります。