9.2.3. KEM Key Reuse (KEM 鍵の再利用)

9.2.3. KEM 鍵の再利用

DeriveKeyPair() (セクション 7.1.3) への ikm 入力は, 他の場所で再利用してはなりません。特に, 異なる KEM の DeriveKeyPair() と一緒に使用してはなりません。

KEM 共有秘密またはそのカプセル化を生成するために Encap() と AuthEncap() で使用される乱数性は, 他の場所で再利用してはなりません。

送信者または受信者に属する KEM 鍵ペアはすべてのモードで機能するため, 複数のモードで並行して使用できます。HPKE は suite_id 変数を使用したドメイン分離により, このような設定で安全になるように構築されています。ただし, 執筆時点では, 複数のモードを並行して使用するための正式なセキュリティ証明はありません; [HPKEAnalysis] と [ABHKLR20] は孤立したモードのみを分析しています。