7.1.5. Future KEMs (未来的 KEMs)

第 9.2 节列出了 HPKE 中使用的 KEM 的安全要求。

AuthEncap() 和 AuthDecap() 函数是可选的。如果 KEM 算法不提供它们, 则仅支持 HPKE 的 Base 和 PSK 模式。定义新 KEM 的未来规范必须指明是否支持 Auth 和 AuthPSK 模式。

KEM 算法可能支持不同的编码算法, 对于 KEM 公钥具有不同的输出长度。此类 KEM 算法必须仅指定一个输出长度为 Npk 的编码算法。