Гибридное шифрование с открытым ключом (HPKE) с детерминированно генерируемыми парами ключей с помощью Tink ⇐ JAVA

[Anonymous]

Я хотел бы использовать Google Tink для шифрования с открытым ключом/расшифровки с закрытым ключом, главным образом потому, что он достаточно высокоуровневый и доступен на различных языках программирования (например, с Android и IOS).

Я выбрал ключи типа DHKEM_X25519_HKDF_SHA256_HKDF_SHA256_AES_256_GCM, которые используют криптографию с эллиптической кривой X25519, потому что они:
[*]рекомендовано https://developers.google.com/tink/hybrid [*]не используется кривая, рекомендованная NIST.
Мне нужно, чтобы этот ключ генерировался детерминированно для аварийного восстановления. Есть и другие уровни безопасности, и меня больше всего беспокоит потеря данных.

Генерация закрытого ключа находится под контролем (!). Я думаю, что открытый ключ генерируется Tink «на лету», поскольку это простая арифметическая операция с использованием закрытого ключа. Однако я не могу создать HpkePrivateKey в Java без предоставления как открытого, так и закрытого ключей (и использования API в альфа-версии).

Я также пытался импортировать созданный вручную JSON с помощью JsonKeysetReader, но получал не очень подробные ошибки о том, что мои ключевые данные не соответствуют ожидаемому формату ProtoBuf. Я бы пошел на это (по крайней мере временно), если бы это работало, но, честно говоря, мне было бы лучше реализовать что-то, что не так уж похоже на хак.

Я изо всех сил пытаюсь найти решение для реализации этой проблемы. Есть идеи, как импортировать/сгенерировать KeysetHandle, содержащий действительную пару ключей HPKE, с учетом необработанного 32-байтового закрытого ключа?