Có thể có KD xác định phân cấp cho ECC với rò rỉ khóa con không ảnh hưởng đến khóa gốc không?

Theo những gì tôi hiểu, trong BIP 32, kiến ​​​​thức về khóa chung của cha mẹ và khóa riêng tư của con cung cấp khóa riêng tư của cha mẹ, theo một đường dẫn không cứng. Thật vậy, vấn đề chỉ là trừ đi phần được cung cấp bởi đường dẫn hiện tại từ khóa con để lấy lại khóa cha.

Tôi có một ứng dụng mà tôi muốn:

• mọi người có thể lấy được khóa công khai của một ID nhất định ("khóa công khai con"), dựa trên khóa công khai gốc
• không tiết lộ khóa riêng của cha nếu biết khóa riêng của con

Chẳng hạn, tôi muốn tạo một cặp khóa cho "John Doe" với đường dẫn ROOT_ORG / ORG1 / JohnDoe và đưa nó cho anh ta; và có những người bên ngoài có thể tạo khóa chung tương ứng từ khóa chung của ROOT_ORG hoặc ROOT_ORG / ORG1.

Tôi đang sử dụng Curve25519, nhưng tôi quan tâm đến trường hợp ECC chung.

Từ những gì tôi hiểu, tôi đang tìm kiếm một $f$ và $g$ chức năng sao cho:

• $f(kG, đầu vào) = k'G$ (dẫn xuất khóa công khai)
• $h(k, đầu vào) = k'$ (dẫn xuất khóa riêng)
• $k' \not\rightarrow k$ (ẩn: biết $k'$ không tiết lộ $k$)

Liệu một kế hoạch như vậy tồn tại?