9.2. Security Requirements on a KEM Used within HPKE (HPKE 中使用的 KEM 的安全要求)

9.2. HPKE 中使用的 KEM 的安全要求

HPKE 中使用的 KEM 必须允许 HPKE 满足第 9.1 节中描述的所需安全属性。第 9.6 节列出了有关域分离的要求。

特别是, KEM 共享秘密必须是长度为 Nsecret 的均匀随机字节串。这意味着, 例如, 如果 KEM 共享秘密在编码为字节串之前仅作为某个集合的元素是均匀随机的, 这是不够的。