9.1.2. Computational Analysis (計算論的分析)
9.1.2. 計算論的分析
[CS01] では, ここで説明されている Base モードと本質的に同じ形式のハイブリッド公開鍵暗号化スキームは, 基礎となる KEM と AEAD スキームが IND-CCA2 安全である限り IND-CCA2 安全であることが示されています。さらに, [HHK06] では, KEM とデータカプセル化メカニズムの IND-CCA2 セキュリティは, ハイブリッド公開鍵暗号化の IND-CCA2 セキュリティを達成するための必要条件であることが示されています。[CS01] で提案されているスキームとこの文書の Base モード (両方とも HPKE という名前) の主な違いは, KEM と AEAD の間にいくつかの KDF 呼び出しを挿入していることです。したがって, この文書の HPKE Base モードのインスタンス化を分析するには, 追加の KDF 呼び出しが IND-CCA2 特性を失敗させないことを検証し, 追加のエクスポートキー秘匿性特性を検証する必要があります。
この文書で定義されている PSK, Auth, AuthPSK モードの分析には, さらに送信者認証特性の検証が必要です。PSK モードは鍵スケジュールに補足的な鍵マテリアルを追加するだけですが, Auth モードと AuthPSK モードは非標準の認証された KEM 構造を使用します。一般的に, HPKE の認証モードは署名暗号化 [SigncryptionDZ10] のフレーバーとして見なし, 分析することができます。
[HPKEAnalysis] ですべての HPKE モードの予備的な計算論的分析が行われており, KEM が DHKEM であり, AEAD が任意の IND-CPA 安全かつ INT-CTXT 安全なスキームであり, DH グループと KDF が次の条件を満たす場合の漸近的セキュリティが示されています:
-
DH グループ: ギャップ Diffie-Hellman (GDH) 問題が適切な部分群で困難である [GAP]。
-
Extract() と Expand(): Extract() はランダムオラクルとしてモデル化できます。Expand() は疑似ランダム関数としてモデル化でき, 最初の引数が鍵です。
特に, この文書で定義されている KDF と DH グループ (セクション 7.2 と 7.1 を参照) は, 指定どおりに使用される場合にこれらの特性を満たします。[HPKEAnalysis] の分析は, これらの制約の下で, HPKE が IND-CCA2 セキュリティを提供し続け, 上記の追加特性を提供することを示しています。また, この分析は, 上記で言及されたさまざまな鍵侵害ケースで期待される特性が成立することを確認しています。この分析は, 暗号化コンテキストを使用して1つのメッセージを送信し, さらに秘密エクスポートインターフェースを使用して2つの独立した秘密をエクスポートする送信者を考慮しています。
下の表は [HPKEAnalysis] の主な結果をまとめたものです。N/A は特性が特定のモードに適用されないことを意味し, Y は特定のモードがその特性を満たすことを意味します。
| バリアント | メッセージ秘匿性 | エクスポート秘匿性 | 送信者認証 |
|---|---|---|---|
| Base | Y | Y | N/A |
| PSK | Y | Y | Y |
| Auth | Y | Y | Y |
| AuthPSK | Y | Y | Y |
表 6: HPKE モードのセキュリティ特性
非 DH ベースの KEM を HPKE で使用する場合, そのセキュリティを証明するためにさらなる分析が必要になります。[CS01] の結果は, 任意の IND-CCA2 安全な KEM がここで十分であることを示唆していますが, スキームの違いを考えると決定的ではありません。
[ABHKLR20] では, HPKE の Auth モードの単発暗号化 API の詳細な計算論的分析が行われています。この論文は, 署名暗号化 [SigncryptionDZ10] で知られている外部者と内部者のセキュリティ用語を使用して, 認証された KEM と認証された公開鍵暗号化のセキュリティ概念を定義しています。この分析は, DHKEM の AuthEncap()/AuthDecap() インターフェースがこの文書で指定されているすべての Diffie-Hellman グループに対してこれらの概念を満たすことを証明しています。この分析はまた, ギャップ Diffie-Hellman (GDH) 問題が適切な部分群で困難である [GAP] という仮定と, HKDF がランダムオラクルとしてモデル化できるという仮定の下で, 正確なセキュリティ境界を提供しています。
さらに, [ABHKLR20] は合成定理を証明し, この文書で指定されているすべての KDF と AEAD スキームに対して, 以前に定義された認証された KEM のセキュリティ概念を満たす任意の認証された KEM が与えられた場合, HPKE の Auth モードが認証された公開鍵暗号化のセキュリティ概念を満たすことを示しています。これらの定理は KEM が完全に正しいことを前提としていますが, 復号化失敗の確率が0ではないが無視できる KEM で機能するように簡単に適応できます。KDF に関する仮定は, Extract() と Expand() がそれぞれ疑似ランダム関数としてモデル化でき, 最初の引数が鍵であるということです。AEAD に関する仮定は, IND-CPA と IND-CTXT セキュリティです。
要約すると, [ABHKLR20] の分析は, HPKE の Auth モードの単発暗号化 API がこのセクションの冒頭に記載されている望ましいメッセージ機密性と送信者認証特性を満たすことを証明しています; それは複数のメッセージや秘密エクスポート API を考慮していません。