9.9. Metadata Protection (メタデータ保護)

9.9. メタデータ保護

HPKE の認証モード (PSK, Auth, AuthPSK) は, 受信者が送信者に使用する鍵マテリアルを知っている必要があります。これは, アプリケーションで PSK ID (上記の psk_id) および/または送信者の公開鍵 (pkS) を送信することによって通知できます。ただし, これらの値自体は機密と見なされる可能性があります。なぜなら, 特定のアプリケーションコンテキストでは, 送信者を識別する可能性があるためです。

これらのメタデータ値を保護したいが, さらなる鍵のプロビジョニングを必要としないアプリケーションは, 認証されていない Base モードを使用して HPKE の追加インスタンスを使用できます。アプリケーションが以前に (psk_id, pkS, enc, ciphertext) を送信していた場合, 今度は (enc2, ciphertext2, enc, ciphertext) を送信します。ここで, (enc2, ciphertext2) は psk_id と pkS 値の暗号化を表します。

このアプローチのコストは, 送信者と受信者それぞれに追加の KEM 操作が必要になることです。[BNT19] のノンス保護スキームが他のメタデータをカバーするように拡張できる場合, 潜在的に低コストのアプローチ (対称操作のみを含む) が利用可能になります。ただし, この構造にはさらなる分析が必要です。