9.7.4. Forward Secrecy (前方秘匿性)

9.7.4. 前方秘匿性

HPKE 暗号文は, どのモードでも受信者の侵害に関して前方秘匿性を持ちません。これは, 長期的な受信者の秘密の侵害により, 攻撃者がその秘密の下で暗号化された過去の暗号文を復号化できることを意味します。これは, 受信者側では長期的な秘密のみが使用されるためです。

HPKE 暗号文は, すべてのモードで送信者の侵害に関して前方秘匿性を持ちます。これは, 送信者側でエフェメラル乱数性が使用され, KEM 共有秘密と暗号文の計算後すぐに消去されることになっているためです。