9.1. Security Properties (安全属性)

9.1. 安全属性

HPKE 根据操作模式具有多个安全目标, 以对抗可以泄露发送方和接收方部分秘密的主动和自适应攻击者。所需的安全目标详述如下:

• 消息保密性 (Message secrecy): 发送方消息对抗选择密文攻击的机密性

• 导出密钥保密性 (Export key secrecy): 每个导出秘密与相同长度的均匀随机比特串不可区分, 即 Context.Export 是一个可变长度 PRF

• 发送方认证 (Sender authentication): PSK、Auth 和 AuthPSK 模式的发送方来源证明

这些安全目标预期对任何诚实的发送方和诚实的接收方密钥成立, 以及如果诚实的发送方和诚实的接收方密钥相同时也成立。

HPKE 通过在密钥调度的上下文中包含所有公钥, 缓解了基于 ECIES 的先前公钥加密标准中的可塑性问题 (称为良性可塑性 [SECG])。

HPKE 不提供关于接收方泄露的前向保密性。在 Base 和 Auth 模式中, 保密性属性仅在接收方私钥 skR 在任何时间点都未被泄露时才预期成立。在 PSK 和 AuthPSK 模式中, 保密性属性预期在接收方私钥 skR 和预共享密钥未同时在任何时间点被泄露时成立。有关更多详细信息, 请参阅第 9.7 节。

在 Auth 模式中, 如果发送方私钥 skS 在消息接收时未被泄露, 则通常预期发送方认证成立。在 AuthPSK 模式中, 如果在消息接收时发送方私钥 skS 和预共享密钥未同时被泄露, 则通常预期发送方认证成立。

除了前向保密性和密钥泄露冒充 (因其特殊的密码学重要性而在本节中强调) 之外, HPKE 还有其他非目标, 这些在第 9.7 节中描述: 不容忍消息重排序或丢失, 不提供降级或重放防护, 不隐藏明文长度, 以及不防护不良的临时随机性。第 9.7 节为其中一些问题建议了应用层缓解措施。