跳到主要内容

1. Introduction (简介)

1. Introduction (简介)

自公钥密码学早期以来, 结合非对称和对称算法的加密方案就已经被指定并实践, 例如 [RFC1421].结合这两者可以获得非对称密码学的密钥管理优势和对称密码学的性能优势.传统的组合方式是"用公钥加密对称密钥".这里指定的"混合"公钥加密 (HPKE) 方案采用了不同的方法: "用公钥生成对称密钥及其封装".具体来说, 加密消息传递一个使用公钥方案封装的加密密钥, 以及使用该密钥加密的一个或多个任意大小的密文.这种类型的公钥加密在实践中有许多应用, 包括消息层安全 (Messaging Layer Security) [MLS-PROTOCOL] 和 TLS 加密 ClientHello [TLS-ECH].

目前, 存在许多相互竞争且不可互操作的混合加密标准和变体, 主要是椭圆曲线集成加密方案 (ECIES) 的变体, 包括 ANSI X9.63 (ECIES) [ANSI], IEEE 1363a [IEEE1363], ISO/IEC 18033-2 [ISO] 和 SECG SEC 1 [SECG].有关全面比较, 请参见 [MAEA10].所有这些现有方案都存在问题, 例如, 因为它们依赖于过时的原语, 缺乏不可区分 (自适应) 选择密文攻击 (IND-CCA2) 安全性的证明, 或者未能提供测试向量.

本文档定义了一个 HPKE 方案, 该方案提供了上述方案集合所提供功能的子集, 但指定得足够清晰以便可以互操作地实现.本文定义的 HPKE 构造在关于底层原语的经典假设下是抵抗 (自适应) 选择密文攻击 (IND-CCA2 安全) 的 [HPKEAnalysis] [ABHKLR20].这些分析的摘要在第 9.1 节.

本文档代表密码论坛研究组 (CFRG) 的共识.