9.9. Metadata Protection (元数据保护)

9.9. 元数据保护

HPKE 的认证模式 (PSK、Auth 和 AuthPSK) 要求接收方知道用于发送方的密钥材料。这可以通过发送 PSK ID (上面的 psk_id) 和/或发送方的公钥 (pkS) 在应用程序中发出信号。然而, 这些值本身可能被认为是敏感的, 因为在给定的应用程序上下文中, 它们可能识别发送方。

希望在不需要进一步提供密钥的情况下保护这些元数据值的应用程序可以使用 HPKE 的另一个实例, 使用未认证的 Base 模式。应用程序之前可能发送了 (psk_id, pkS, enc, ciphertext), 现在将发送 (enc2, ciphertext2, enc, ciphertext), 其中 (enc2, ciphertext2) 表示 psk_id 和 pkS 值的加密。

这种方法的成本是发送方和接收方各需要额外的 KEM 操作。如果 [BNT19] 中的随机数保护方案可以扩展到涵盖其他元数据, 则可以使用潜在的低成本方法 (仅涉及对称操作)。然而, 这种构造需要进一步分析。