เข้ารหัสอย่างรวดเร็วด้วยคีย์เดียวและถอดรหัสอย่างรวดเร็วด้วยหลายคีย์ตามลำดับ

มีกลไกการเข้ารหัสและถอดรหัสหรือไม่: ให้การเข้ารหัส C = E(K1, M) โดยที่ K1 เป็นคีย์เข้ารหัสและ M เป็นข้อความธรรมดา จะต้องใช้การถอดรหัสด้วยสองคีย์ K2 และ K3 ตามลำดับเพื่อกู้คืน M คือ D(K3, D(K2, C)) = M เมื่อพิจารณาจาก K1 จึงเหมาะที่จะสร้างคู่ K2 และ K3 ได้ไม่จำกัดจำนวนเพื่อให้แน่ใจว่ากระจายความน่าเชื่อถือ การเข้ารหัสและถอดรหัสจะต้องไม่ช้าเกินไปสำหรับข้อมูลจำนวนมาก ดังนั้นควรใช้การเข้ารหัสแบบสมมาตร

อีกทางหนึ่ง มีวิธีสร้างลำดับตัวเลขสุ่มสามชุด R1(K1), R2(K2), R3(K3) จากสามคีย์/เมล็ด K1, K2, K3 เพื่อให้ R1(K1) = R2(K2) XOR R3 ( K3)? หากเป็นเช่นนั้นก็สามารถแก้ไขปัญหาข้างต้นได้เช่นกัน

ฉันทราบ Threshold ElGamal หรือการเข้ารหัสคีย์สาธารณะอื่นๆ สำหรับการเข้ารหัสแบบหลายฝ่าย แต่ช้าเกินไปเมื่อเปรียบเทียบกับไซเบอร์แบบสมมาตร เช่น RC4

ให้ฉันอธิบายเรื่องราวด้วยวิธีอื่น: อลิซอัปโหลดข้อมูลของเธอไปที่โหนดของบ็อบ ต่อมาแครอลสอบถามบ็อบและดาวน์โหลดข้อมูลของอลิซ ข้อควรพิจารณาในการออกแบบหลายประการ:

1. ข้อมูลของอลิซจะถูกเข้ารหัสในขณะที่อัปโหลดไปยังบ็อบหรือแครอลดึงข้อมูลมา
2. แครอลหรือบ็อบไม่สามารถถอดรหัสข้อมูลของอลิซได้โดยลำพัง
3. ข้อมูลอาจมีขนาดใหญ่มาก จึงจำเป็นต้องมีการเข้ารหัสและถอดรหัสอย่างรวดเร็ว
4. อลิซอาจไม่ได้ออนไลน์ตลอดเวลา
5. เป็นที่ยอมรับได้หากสันนิษฐานว่า Bob และ Carol จะไม่สมรู้ร่วมคิดกัน แต่จะดีกว่าหากสามารถออกแบบกลไกการตรวจสอบ (เช่น Blockchain) เพื่อให้แน่ใจว่า Bob และ Carol จะไม่ร่วมมือกันโดยไม่ได้รับอนุญาตจาก Alice

อีกทางหนึ่ง มีวิธีสร้างลำดับตัวเลขสุ่มสามลำดับ R1, R2, R3 จากสามปุ่ม K1, K2, K3 ที่ทำให้ R1 XOR R2 XOR R3 = 0 หรือไม่

ส่วนนั้นง่าย; เราสามารถกำหนด:

$$R1 = \text{SHAKE}(K1) \oplus \text{SHAKE}(K2)$$ $$R2 = \text{SHAKE}(K3) \oplus \text{SHAKE}(K1)$$ $$R3 = \text{SHAKE}(K2) \oplus \text{SHAKE}(K3)$$

(ที่ไหน $\text{เขย่า}$ สามารถเป็นได้ ตัวอย่างเช่น ฟังก์ชันเอาต์พุตที่ขยายได้ นั่นคือ ฟังก์ชันที่แปลงพรีอิมเมจเป็นบิตสตริงที่มีความยาวตามอำเภอใจ)

เป็นรายบุคคล (และเป็นคู่) $R1, R2, R3$ ทั้งหมดดูสุ่ม (สมมติว่าไม่สามารถเดาคีย์ได้) อย่างไรก็ตามพวกมัน xor ถึง 0 ร่วมกันตามที่คุณร้องขอ

ข้อเสนอมุ่งเป้าไปที่ 1/2/3/4 ของส่วนสุดท้ายของคำถาม: การเข้ารหัสแบบลูกโซ่แบบลูกโซ่

เราจะใช้

• รูปแบบการเข้ารหัสที่รับรองความถูกต้องแบบสมมาตรอย่างรวดเร็ว เช่น AES-GCM หรือ ChaCha20-Poly1305 ด้วยคีย์ลับ 256 บิต การเข้ารหัสด้วยคีย์ $K$ ข้อสังเกต $C=E_K(M)$ และการถอดรหัส $M=D_K(C)$.
• รูปแบบการเข้ารหัสแบบอสมมาตรที่สามารถเข้ารหัสข้อความ 256 บิต โดยมีการบันทึกการเข้ารหัส $C=\คณิตศาสตร์ E_P(M)$ และการถอดรหัส $M=\คณิตศาสตร์ D_S(C)$, ที่ไหน $(ป,ส)$ เป็นคู่คีย์ (สาธารณะ ส่วนตัว/ลับ) RSAES-สศอ หรือ ECIES จะทำ.

เราถือว่า Bob และ Carol ได้สร้างคู่คีย์ $(P_B,S_B)$ และ $(P_C,S_C)$และส่งคีย์สาธารณะ $P_B$ และ $P_C$ ถึงอลิซในลักษณะที่รับประกันความสมบูรณ์และหลักฐานแหล่งกำเนิด (อาจใช้ใบรับรองดิจิทัล)

เพื่อเข้ารหัสต่อแครอลโดยผู้รับมอบฉันทะจากบ็อบ อลิซ

• ดึงคีย์สุ่ม 256 บิตสองคีย์ $K_B$ และ $K_C$
• คำนวณ $C_B=\คณิตศาสตร์ E_{P_B}(K_B)$
• คำนวณ $C_C=\คณิตศาสตร์ E_{P_C}(K_C)$
• คำนวณ $C_0=E_{K_B}(C_C)$
• คำนวณ $C_1=E_{K_C}(M)$
• ส่งข้อความถึงบ๊อบ $C=C_B\mathbin\|C_0\mathbin\|C_1$.

Bob รับและจัดเก็บ $C$. เมื่อแครอลขอข้อความที่เข้ารหัส บ็อบ

• สารสกัด $C_B$, $C_0$ และ $C_1$ จาก $C$
• คำนวณ $K_B=\คณิตศาสตร์ D_{S_B}(C_B)$
• คำนวณ $C_C=D_{K_B}(C_0)$
• แบบฟอร์มและส่งให้แครอล $C'=C_C\mathbin\|C_1$.

แครอลได้รับ $C'$ และ

• สารสกัด $C_C$ และ $C_1$ จาก $C'$
• คำนวณ $K_C=\คณิตศาสตร์ D_{S_C}(C_C)$
• คำนวณ $M=D_{K_C}(C_1)$

เมื่อใดก็ตามที่การถอดรหัสล้มเหลว Bob หรือ Carol จะล้มเลิก

สังเกตว่าข้อความจำนวนมาก $M$ ได้รับการเข้ารหัสเพียงครั้งเดียว ซึ่งเป็นไปตามข้อกำหนดด้านประสิทธิภาพ

เราสามารถแทนที่โครงร่างการเข้ารหัสแบบอสมมาตรด้วยแบบสมมาตร $(P_B,S_B)$ กับคำถามที่ว่า $K_2$ และ $(P_C,S_C)$ กับคำถามที่ว่า $K_3$ (และนอกจากนั้นระบบยังสามารถทำให้ง่ายขึ้นเพื่อกำจัด $K_B$). แต่การใช้แบบสมมาตรทำให้เราสูญเสียประโยชน์ของการเข้ารหัสแบบอสมมาตร นั่นคืออลิซไม่จำเป็นต้องเก็บอะไรเป็นความลับ และไม่สามารถใช้ความลับดังกล่าวเพื่อพยายามถอดรหัสการสื่อสารอื่น ๆ ที่ส่งถึงบ็อบหรือแครอล