双重不对称加密与知识分离问题

Question

莫恩·莫恩

• 让我们假设有两个键盘(d1,e1)和(d2,e2)，其中d1和d2是无关的私钥，e1和e2是相应的公钥。
• 想象一下，爱丽丝既不认识d1，也不认识d2，鲍勃只认识d1，不认识d2。
• Alice有一个密文c，其结果是使用e1加密消息m。她无法解密，因为她不知道d1。
• Alice再次使用不对称密码对c进行e2加密(仍有待选择)，并将其发送给Bob。
• 鲍勃不能解密，因为他没有d2。
• 然后，他可以使用某种算法和d1来产生一些他可以发送给我的东西，可以用d1和d2解密，从而产生原始消息吗？

我想要的是，爱丽丝和鲍勃读不懂这条信息，只有对这两个秘密密钥的综合了解才能让他们破译。

伪码：

m是消息

c := RSAEncrypt(m, using: e1)

爱丽丝知道：

c2 := AsymEncrypt(c, using: e2)

鲍勃这样做：

c3 := RSADecryptAlgo(c2, using: d1)

我想：

m = SomeDecryptionAlgo(c3, using: d2)

这种情况(虽然很奇怪)可能吗？如果是的话，有没有人知道一个可搜索的术语或算法/S适合我的情况？

编辑:键盘没有相同的模数。

Answer 1

我想要的是，爱丽丝和鲍勃读不懂这条信息，只有他们的综合知识才能让他们破译出来。

“提交部分知识的组顺序”场景是在CECC 2010上提出的。

设计了一个方案，使得RSA类乘性组的顺序被分成两部分，由双方共享，因此双方都必须参与解密。从技术上讲，模数是四个素数的乘积，每一方吐出两对。

Answer 2

这个问题有点让人困惑，但对我来说，它与三通协议非常相关。具体来说，我们需要一个“可交换的”(与顺序无关的)加密方案，其中(对于所有消息)，

c = Enc(k_1, Enc(k_2, m)) = Enc(k_2, Enc(k_1, m)).

在这种情况下，密文c可以用k_1和k_2解密，以便重新获得m。

我相信只有当两个密钥都使用相同的模数时，RSA才有可能这样做。它也可以通过ElGamal (参考文献)和其他方案来实现。在任何情况下，只有当两个密钥/加密步骤都使用相同的算法&公共参数时，才有可能。