9.1. Security Properties (セキュリティ特性)
9.1. セキュリティ特性
HPKE には, 送信者と受信者の部分的な秘密を侵害できるアクティブで適応的な攻撃者に対して, 動作モードに応じたいくつかのセキュリティ目標があります。望ましいセキュリティ目標は次のとおりです:
-
メッセージ秘匿性: 選択暗号文攻撃に対する送信者のメッセージの機密性
-
エクスポートキー秘匿性: 各エクスポート秘密と同じ長さの均一なランダムビット列との区別不可能性, つまり Context.Export は可変長 PRF です
-
送信者認証: PSK, Auth, AuthPSK モードの送信者の起源証明
これらのセキュリティ目標は, 正直な送信者と正直な受信者の鍵に対して成立することが期待され, また正直な送信者と正直な受信者の鍵が同じである場合にも成立することが期待されます。
HPKE は, 鍵スケジュールのコンテキストにすべての公開鍵を含めることにより, ECIES に基づく以前の公開鍵暗号化標準における可鍛性の問題 (良性可鍛性 [SECG] と呼ばれる) を軽減します。
HPKE は受信者の侵害に関する前方秘匿性を提供しません。Base モードと Auth モードでは, 秘匿性特性は受信者の秘密鍵 skR がいかなる時点でも侵害されていない場合にのみ成立することが期待されます。PSK モードと AuthPSK モードでは, 秘匿性特性は受信者の秘密鍵 skR と事前共有鍵が両方ともいかなる時点でも侵害されていない場合に成立することが期待されます。詳細についてはセクション 9.7 を参照してください。
Auth モードでは, 送信者認証は一般的に, メッセージ受信時に送信者の秘密鍵 skS が侵害されていない場合に成立することが期待されます。AuthPSK モードでは, 送信者認証は一般的に, メッセージ受信時に送信者の秘密鍵 skS と事前共有鍵が両方とも侵害されていない場合に成立することが期待されます。
特定の暗号学的重要性のためにこのセクションで強調されている前方秘匿性と鍵侵害なりすまし以外に, HPKE にはセクション 9.7 で説明されている他の非目標があります: メッセージの並べ替えや損失の許容なし, ダウングレードやリプレイ防止なし, 平文長の隠蔽なし, 不良なエフェメラル乱数性に対する保護なし。セクション 9.7 では, これらのいくつかに対するアプリケーションレベルの緩和策を提案しています。