9.2.2. AuthEncap/AuthDecap Interface (AuthEncap/AuthDecap 接口)

9.2.2. AuthEncap/AuthDecap 接口

[ABHKLR20] 中对 HPKE 的 Auth 模式单次加密 API 的分析提供了组合定理, 保证如果 KEM 的 AuthEncap()/AuthDecap() 接口满足同一论文中定义的多用户外部者-CCA、外部者-认证和内部者-CCA 安全性, HPKE 的 Auth 模式能够实现其所需的安全属性。

直观地说, 外部者-CCA 安全性形式化了机密性, 外部者-认证安全性形式化了在发送方或接收方私钥都未被泄露的情况下 KEM 共享秘密的认证。内部者-CCA 安全性形式化了在发送方私钥被对手知道或选择的情况下 KEM 共享秘密的机密性。(如果接收方私钥被对手知道或选择, 机密性将被轻易破坏, 因为对手会知道接收方一侧的所有秘密)。

内部者-认证安全概念将形式化在接收方私钥被对手知道或选择的情况下 KEM 共享秘密的认证。(如果发送方私钥被对手知道或选择, 它可以以发送方的名义创建 KEM 密文)。由于第 9.1 节中描述的对 HPKE 的类似内部者-认证安全概念的通用攻击, 为 HPKE 中使用的 KEM 定义内部者-认证安全性是没有用的。