Mã hóa khóa công khai/bất đối xứng nơi bạn chỉ có thể rò rỉ tin nhắn được giải mã bằng cách rò rỉ mật khẩu của mình

Một nhóm bạn đang sử dụng mã hóa khóa công khai để gửi tin nhắn được mã hóa cho nhau bằng một diễn đàn công khai mở. I E. mỗi người bạn có một khóa chung (mà bạn có thể sử dụng để mã hóa tin nhắn cho họ) và một khóa riêng (mà họ sử dụng để giải mã tin nhắn cho họ).

Bob gửi cho Alice tin nhắn được mã hóa $y$, mà khi được giải mã sẽ tạo ra văn bản $x=$"Tôi sẽ giết bạn trừ khi bạn gửi cho tôi \$1000". Alice, rõ ràng là tức giận, gửi cho mọi người tin nhắn không được mã hóa "Bob là một người xấu. Anh ấy nói $x$ với tôi, mà tất cả các bạn có thể xác minh bằng cách mã hóa nó bằng khóa công khai của tôi để tạo $y$, mà trước đây anh ấy đã đăng trên diễn đàn công cộng của chúng tôi." Đây là một phương pháp đầy đủ bằng chứng để Mary tiết lộ thông điệp của Bob cho mọi người.

Câu hỏi của tôi là, có bất kỳ sơ đồ mã hóa khóa công khai/bất đối xứng nào có thể ngăn Mary tiết lộ thông điệp được mã hóa của Bob cho mọi người không? Ví dụ: một kế hoạch trong đó cách duy nhất Mary có thể chứng minh thông điệp được giải mã của Bob là tiết lộ khóa bí mật của cô ấy (mật khẩu cô ấy sử dụng để giải mã).

Chỉnh sửa: Tôi có một ý tưởng là sơ đồ mã hóa cho phép một số loại nonce hoặc ngẫu nhiên hóa an toàn nội dung thư được mã hóa thành. Ví dụ, nếu $x$ là văn bản mà Bob muốn mã hóa, anh ấy có thể chọn một "nonce" ngẫu nhiên $s$, và sản xuất $y_s$. Sau đó Mary có thể giải mã $y_s$ để có được $x$, nhưng cô ấy sẽ không biết $s$, vì vậy cô ấy không thể chỉ nói rằng $x$ sản xuất $y_s$ trừ khi cô ấy tiết lộ chìa khóa bí mật của mình. Tôi biết khái niệm nonce này tồn tại trong mật mã, nhưng nếu ai đó có thể cho tôi một ví dụ rõ ràng về cách triển khai nó (có lẽ với thứ gì đó đơn giản như RSA), điều đó sẽ được đánh giá rất cao.

Ý tưởng của bạn về một phương thức mã hóa bao gồm cả nonce và theo cách mà Alice không thể khôi phục nonce là thực tế; tuy nhiên nó không giải quyết được vấn đề của bạn.

Một khả năng sẽ là một biến thể của El Gamal; trong hệ thống này, khóa công khai của Alice là một giá trị $A= G^a \bmod p$, với $a$ là khóa riêng của Alice và $G, p$ là tham số công khai (với $p$ là một số nguyên tố an toàn, và $G$ dư bậc hai).

Để mã hóa một tin nhắn $M < p/2$, Bob sẽ chọn một giá trị ngẫu nhiên $r$, và tạo bản mã $G^r \bmod p, M^2 \cdot A^r \bmod p$.

Để giải mã cặp $X, Y$, Alice sẽ tính toán $M^2 = Y \cdot X^{-a} \bmod p$ (và sau đó lấy căn bậc hai mô-đun của $M^2$ để phục hồi $M$).

Nếu Alice lấy được cặp $X, Y$, cô ấy không biết giá trị $r$, và như vậy, thoạt nhìn, cho thấy rằng $G, A = G^a, X = G^r, Y \cdot M^{-2} = G^{ar}$ là một tập hợp DH là vấn đề Quyết định Diffie-Hellman, nói chung là khó; cô ấy có thể dễ dàng làm như vậy bằng cách phơi bày $a$, tuy nhiên đối với cô ấy, điều đó sẽ đánh bại mục đích.

Tuy nhiên, những gì cô ấy có thể làm là tạo ra một bằng chứng không có kiến ​​thức rằng $G^x = A$ và $X^x = Y \cdot M^{-2}$ có một giải pháp chung $x$ (điều mà cô ấy có thể làm, vì cô ấy biết giải pháp thông thường đó là gì); bằng chứng không kiến ​​thức này sẽ chỉ ra rằng $M$ là giải mã mà không để lộ khóa riêng của cô ấy.

Điều này dẫn đến quan sát tổng quát hơn; Nếu thuật toán giải mã $D$ và tạo khóa công khai $Gen$ cả hai đều chạy trong đa thời gian, sau đó tuyên bố rằng $D(a, C) = M \land (a, A) = Gen(hạt giống)$ (đối với công chúng $C$ và $M$ mà Alice tuyên bố là giải mã là một tuyên bố trong NP (với $a$ và $hạt giống$ là 'nhân chứng') và đối với một tuyên bố như vậy trong NP, người ta có thể xây dựng một bằng chứng không có kiến ​​​​thức, cho thấy rằng $M$ là một giải mã chính xác.

Vì vậy, trừ khi Bob có thể khẳng định rằng anh ấy đã không thực sự gửi bản mã $C$ (và tôi cho rằng bằng cách nào đó người ta cho rằng bằng cách nào đó mọi người đều biết anh ấy đã làm), nó không giống như một vấn đề có thể giải quyết được.

Tôi tin rằng những gì bạn đang tìm kiếm là Không thể nào. Tuy nhiên, tôi sẽ đề xuất cho bạn một cách khác để giải quyết vấn đề này có thể hữu ích dựa trên khả năng từ chối hợp lý.

Đầu tiên, tôi sẽ cố gắng giải thích tại sao tôi tin rằng không thể buộc Alice tiết lộ khóa bí mật của cô ấy khi chứng minh cho người khác thấy thông điệp mà cô ấy đã giải mã. Ngày nay, với sự gia tăng của các bằng chứng Zero-Knowledge mạch chung (ví dụ: STARKS và SNARKS) gần như bất kỳ mối quan hệ nào giữa giá trị bí mật và giá trị công khai đều có thể được chứng minh cho các bên khác.(Mọi quan hệ có thể biểu diễn bằng đa thức số cổng của $VÀ$ và $HOẶC$)

Nói chung, một hệ thống mật mã khóa công khai được xác định bởi một bộ $(Gen, Enc, Dec)$:

• $(pk, sk) \leftarrow Gen(\lambda, rnd)$: thuật toán tạo khóa tạo khóa công khai $pk$ và khóa bí mật $sk$ theo tham số bảo mật $\lambda$ và một chuỗi ngẫu nhiên $rnd$.

• $c \leftarrow Enc(m, pk, rnd)$: thuật toán mã hóa mã hóa tin nhắn $m$ với khóa công khai $pk$ và tạo ra bản mã $c$. Thuật toán này phải là một thuật toán xác suất có nghĩa là nó sẽ tạo ra các bản mã khác nhau mỗi khi chúng tôi chạy nó. Mặt khác, nó không có mức bảo mật khóa công khai thấp nhất (IND-CPA).

• $m \leftarrow Dec(c, sk)$ thuật toán giải mã là xác định.

Nếu Alice có thể biến $Dec$ thành mạch Không tri thức với giá trị riêng là $sk$ sau đó cô ấy có thể chứng minh rằng một bản mã đã biết $c$ giải mã thành $m$ với chìa khóa bí mật $sk$ tương ứng với $pk$. Không cần biết hệ thống mật mã khóa công khai là gì.

Tuy nhiên, có thể có một cách khác để giải quyết vấn đề bằng cách sử dụng tin nhắn không ghi âm (OTR) khiến giao tiếp dựa trên khóa công khai có thể bị từ chối.

Trong OTR, bất kỳ bản ghi tin nhắn nào được ghi lại đều có thể được tạo ra bởi bất kỳ bên nào của giao tiếp. Theo đó, thật dễ dàng để từ chối mọi thứ.