Возможно ли иметь иерархический детерминированный KD для ECC с утечкой дочернего ключа, не влияющей на родительский ключ?

Насколько я понимаю, в BIP 32 знание родительского открытого ключа и дочернего закрытого ключа обеспечивает родительский закрытый ключ по незащищенному пути. В самом деле, это всего лишь вопрос вычитания части, предоставляемой текущим путем, из дочернего ключа, чтобы получить родительский ключ.

У меня есть приложение, в котором я хотел бы:

• люди, чтобы иметь возможность получить открытый ключ данного идентификатора («дочерний открытый ключ») на основе родительского открытого ключа
• не раскрывать родительский закрытый ключ, если известен дочерний закрытый ключ

Например, я хотел бы сгенерировать пару ключей для «Джон Доу» с путем ROOT_ORG/ORG1/ДжонДоу и отдай ему; и иметь внешних людей, способных генерировать соответствующий открытый ключ из открытого ключа ROOT_ORG или же ROOT_ORG / ORG1.

Я использую Curve25519, но меня интересует общий случай ECC.

Насколько я понимаю, я ищу $ф$ и $г$ функция такая, что:

• $f(kG, вход) = k'G$ (получение открытого ключа)
• $h(k, ввод) = k'$ (получение закрытого ключа)
• $k' \not\rightarrow k$ (скрытие: зная $к'$ не раскрывай $к$)

Существует ли такая схема?