9.1.1. Key-Compromise Impersonation (鍵漏洩なりすまし)

9.1.1. 鍵漏洩なりすまし

この文書で定義されている DHKEM バリアントは, 鍵侵害なりすまし攻撃 [BJM97] に対して脆弱です。これは, Auth モードでは受信者の秘密鍵 skR が侵害された場合, AuthPSK モードでは事前共有鍵と受信者の秘密鍵 skR の両方が侵害された場合に, 送信者認証が成立することを期待できないことを意味します。NaCl の box インターフェース [NaCl] も同じ問題を抱えています。同時に, これは否認可能性を可能にします。

[ABHKLR20] で示されているように, KEM 暗号文が HPKE メッセージに結び付けられていないため, 鍵侵害なりすまし攻撃は HPKE で一般的に可能です。受信者の秘密鍵を知っている攻撃者は, 観測された KEM 暗号文をデカプセル化し, 鍵スケジュールを計算し, 受信者が元の送信者からのものとして受け入れる任意のメッセージを暗号化できます。重要なことに, これは鍵侵害なりすまし攻撃に耐性のある KEM を使用している場合でも可能です。その結果, この問題を軽減するには, この仕様の範囲外の根本的な変更が必要です。

鍵侵害なりすましに対する耐性を必要とするアプリケーションは, この攻撃を防ぐために追加の手順を講じる必要があります。1つの可能性は, 送信者の秘密鍵を使用して (enc, ct) タプルにデジタル署名を生成することです -- ここで ct は単発または複数回の API によって生成された AEAD 暗号文であり, enc は対応する KEM カプセル化鍵です。

これらの特性を考えると, 事前共有鍵は特定の敵対者モデルにおいて認証と秘匿性の両方の特性を強化します。これが有用である特定の例の1つは, ハイブリッド量子設定です: HPKE で使用される非量子耐性 KEM が量子コンピュータによって破られた場合, 事前共有鍵の使用を通じてセキュリティ特性が保持されます。[RFC8696] のセクション 7 で説明されているように, これは事前共有鍵が侵害されていないことを前提としています。