9.2.2. AuthEncap/AuthDecap Interface (AuthEncap/AuthDecap インターフェース)

9.2.2. AuthEncap/AuthDecap インターフェース

[ABHKLR20] における HPKE の Auth モードの単発暗号化 API の分析は, KEM の AuthEncap()/AuthDecap() インターフェースが同じ論文で定義されているマルチユーザー外部者-CCA, 外部者-認証, 内部者-CCA セキュリティを満たす場合, HPKE の Auth モードが望ましいセキュリティ特性を達成することを保証する合成定理を提供します。

直感的には, 外部者-CCA セキュリティは機密性を形式化し, 外部者-認証セキュリティは送信者または受信者の秘密鍵のいずれも侵害されていない場合の KEM 共有秘密の認証を形式化します。内部者-CCA セキュリティは, 送信者の秘密鍵が敵対者によって知られているか選択されている場合の KEM 共有秘密の機密性を形式化します。(受信者の秘密鍵が敵対者によって知られているか選択されている場合, 機密性は自明に破られます。なぜなら, その場合敵対者は受信者側のすべての秘密を知っているからです)。

内部者-認証セキュリティ概念は, 受信者の秘密鍵が敵対者によって知られているか選択されている場合の KEM 共有秘密の認証を形式化するでしょう。(送信者の秘密鍵が敵対者によって知られているか選択されている場合, 送信者の名前で KEM 暗号文を作成できます)。セクション 9.1 で説明されている HPKE の類似の内部者-認証セキュリティ概念に対する一般的な攻撃のため, HPKE 内で使用される KEM の内部者-認証セキュリティの定義は有用ではありません。