メインコンテンツまでスキップ

1. Introduction (はじめに)

1. Introduction (はじめに)

公開鍵暗号の初期の頃から, 非対称アルゴリズムと対称アルゴリズムを組み合わせた暗号化スキームが規定され, 実践されてきました (例えば [RFC1421])。この2つを組み合わせることで, 非対称暗号の鍵管理の利点と対称暗号の性能上の利点が得られます。従来の組み合わせ方法は, "公開鍵で対称鍵を暗号化する" というものでした。ここで規定される "ハイブリッド" 公開鍵暗号 (HPKE) スキームは, 異なるアプローチを取ります: "公開鍵で対称鍵とそのカプセル化を生成する"。具体的には, 暗号化されたメッセージは, 公開鍵スキームでカプセル化された暗号化鍵と, その鍵を使用して暗号化された1つ以上の任意サイズの暗号文を伝達します。このタイプの公開鍵暗号は, メッセージングレイヤーセキュリティ (Messaging Layer Security) [MLS-PROTOCOL] や TLS 暗号化 ClientHello [TLS-ECH] など, 実際に多くのアプリケーションがあります。

現在, ハイブリッド暗号化には, 多数の競合する相互運用不可能な標準と変種が存在し, その多くは楕円曲線統合暗号化スキーム (ECIES) の変種です。これには, ANSI X9.63 (ECIES) [ANSI], IEEE 1363a [IEEE1363], ISO/IEC 18033-2 [ISO], SECG SEC 1 [SECG] が含まれます。徹底的な比較については [MAEA10] を参照してください。これらの既存のスキームはすべて問題を抱えています。例えば, 時代遅れのプリミティブに依存している, 識別不可能 (適応的) 選択暗号文攻撃 (IND-CCA2) セキュリティの証明が欠けている, またはテストベクターを提供していないなどです。

この文書は, 上記のスキームのコレクションによって提供される機能のサブセットを提供する HPKE スキームを定義しますが, 相互運用可能に実装できるように十分明確に規定されています。ここで定義される HPKE 構成は, 基礎となるプリミティブに関する古典的な仮定の下で, (適応的) 選択暗号文攻撃に対して安全 (IND-CCA2 安全) です [HPKEAnalysis] [ABHKLR20]。これらの分析の要約はセクション 9.1 にあります。

この文書は, 暗号フォーラム研究グループ (CFRG) の合意を表しています。