Итак, я недавно познакомился с отрицательным шифрованием и подумал, не будет ли способ сделать это с использованием группы, которая может быть разложена на прямые слагаемые, которые уже имеют хорошо зарекомендовавшие себя криптосистемы с использованием карты односторонней проекции.
Карта односторонней проекции:
- Легко вычислить с помощью люка
- Трудно вычислить без этого люка
- Идемпотентные повторные применения не приводят к изменениям.
Так, $G$ считается прямой суммой двух групп $G_1$ и $G_2$, что означает, что он оснащен неуникальными проекционными картами, которые отображают сюръективно из $G$ к $G_x$ (можно выбрать специальный сложный для вычислений).
Идея состоит в том, что криптосистемы можно рассматривать на две группы независимо друг от друга благодаря этим картам проекций. Общий обмен сообщениями выглядит следующим образом:
- Боб безопасно отправляет Алисе $G=G_1\oплюс G_2$ и $Enc_{паб}^1$ и $Enc_{паб}^2$.
- Алиса шифрует $m_1$ и $m_2$ к $Enc_{pub}^1(m_1)\oplus Enc_{pub}^2(m_2)=c$
- Затем Боб может использовать $m_1=Denc_1(c_1) = Denc_1\circ\pi_1(c)$
- Или Боб может использовать $m_2=Denc_2(c_2) = Denc_2\circ\pi_2(c)$
Где $\pi_1$ и $\pi_2$ являются проекционными картами на $G_1$ и $G_2$ соответственно, а функция шифрования на исходных группах $Enc_{pub}^x:G_x\to G_x$. Только Боб имеет доступ к $Denc_i$ и $\pi_i$.
Тогда сценарий «под принуждением» заключается в том, что соответствующая карта проекции дешифрования может быть передана и позволяет криптографу сбежать, фактически раскрыв более ценное сообщение.
Можно ли считать эту установку «опровержимой»?