两个不同的密码如何解锁相同的内容？

Question

我听说，在企业中，it管理员通常有一个主密码，可以解锁员工加密的任何内容。

如果认为It管理员的密码是用员工密码加密的，那么IT就不能更改他的密码了。

这种加密实际上是如何工作的？

是否有一种加密安全的方法来做到这一点？

Answer 1

上述方法中的另一种方法是基于ID的加密，其中称为私有密钥生成器(PKG)的可信第三方根据用户的身份(无论是域名还是电子邮件地址)生成相应的私钥。

给定主公钥，任何一方都可以通过将主公钥与标识值相结合来计算与标识ID相对应的公钥。为了获得相应的私钥，授权使用标识ID的一方与PKG联系，PKG使用主私钥为标识ID生成私钥，如果只使用主私钥的一部分来生成相应的私钥，则PKG可以使用主密钥的不同部分生成两个私钥。这样，用户将拥有一个私钥，管理另一个私钥。

这是否安全取决于您对第三方PKG的信任程度。

有关更多信息，请查看以下链接。

基于ID的加密

还请看以下文章：

基于身份的Weil对加密

如果您对标题进行搜索，您应该能够找到相关的PDF。

Answer 2

一般来说，这个过程是这样的：

• 数据使用完全随机生成的密钥加密。
• 然后，此数据加密密钥被包装到多个不同的密钥中。
• 这些已包装的键被加到数据中。

可以通过一些基于安全密码的密钥派生方法(如PBKDF2 )从密码中生成数据加密密钥所封装的一些密钥。

Answer 3

免责声明:我不知道这是否真的完成了我在这里写，这些只是一些猜测。

一个想法是，在文件头中，用于加密的实际密钥(“会话密钥”)同时使用员工密码和IT管理员的密码(并行)加密。然后，只要知道其中一个密码就足以解密整个文档。

当然，如果这个密钥加密(至少是管理部分)是用非对称算法(比如RSA)完成的，这就更容易做到了(因为否则员工，或者至少是加密软件，将需要管理员的密码)。因此，我们用管理员的公钥加密会话密钥，然后如果需要，管理员可以使用自己的私钥解密它。

当您向多个收件人发送一封PGP加密的电子邮件时，也会做类似的事情。