Așa că m-am familiarizat recent cu criptarea negată și am ajuns să mă gândesc, nu ar fi o modalitate de a face acest lucru să implice utilizarea unui grup care poate fi descompus în sumand directe care au deja criptosisteme bine stabilite, folosind o hartă de proiecție unidirecțională.
O hartă de proiecție unidirecțională este:
- Ușor de calculat cu o trapă
- Greu de calculat fără această trapă
- Aplicațiile repetate, idempotente, nu duc la nicio schimbare.
Asa de, $G$ este considerată suma directă a două grupuri $G_1$ și $G_2$, ceea ce înseamnă că vine echipat cu hărți de proiecție neunice care se cartografiază în mod surjectiv din $G$ la $G_x$ (se poate alege unul special greu de calculat).
Ideea este atunci că criptosistemele pot fi luate în considerare pe cele două grupuri în mod independent datorită acestor hărți de proiecție. Un schimb general de mesaje arată astfel:
- Bob o trimite în siguranță pe Alice $G=G_1\oplus G_2$ și $Enc_{pub}^1$ și $Enc_{pub}^2$.
- Alice criptează $m_1$ și $m_2$ la $Enc_{pub}^1(m_1)\oplus Enc_{pub}^2(m_2)=c$
- Bob poate folosi apoi $m_1=Denc_1(c_1) = Denc_1\circ\pi_1(c)$
- Sau poate folosi Bob $m_2=Denc_2(c_2) = Denc_2\circ\pi_2(c)$
Unde $\pi_1$ și $\pi_2$ sunt hărți de proiecție către $G_1$ și $G_2$ respectiv şi funcţia de criptare pe grupurile originale sunt $Enc_{pub}^x:G_x\la G_x$. Doar Bob are acces la $Denc_i$ și $\pi_i$.
Scenariul „sub constrângere” este atunci că harta de proiecție de decriptare adecvată poate fi renunțată și permite criptografului să scape după ce a dezvăluit efectiv mesajul mai valoros.
Această configurație poate fi considerată „negabilă”?