Ideea ta despre o metodă de criptare care să includă un nonce și într-un mod în care Alice nu poate recupera nonce este practică; totusi nu iti rezolva problema.
O posibilitate ar fi o variantă a El Gamal; în acest sistem, cheia publică a lui Alice este o valoare $A= G^a \bmod p$, cu $a$ fiind cheia privată a lui Alice și $G, p$ fiind parametri publici (cu $p$ fiind un safe-prime, și $G$ un reziduu cuadratic).
Pentru a cripta un mesaj M$ < p/2$, Bob ar selecta o valoare aleatorie $r$, și generați textul cifrat $G^r \bmod p, M^2 \cdot A^r \bmod p$.
Pentru a decripta perechea $X, Y$, ar calcula Alice $M^2 = Y \cdot X^{-a} \bmod p$ (și apoi luați rădăcina pătrată modulară a $M^2$ a recupera $M$).
Dacă Alice primește perechea $X, Y$, ea nu cunoaște valoarea $r$, și așa, la prima vedere, arătând asta $G, A = G^a, X = G^r, Y \cdot M^{-2} = G^{ar}$ sunt un set DH este problema Decisional Diffie-Hellman, care este grea în general; ar putea face asta cu ușurință expunând $a$, cu toate acestea, pentru ea, asta ar înfrânge scopul.
Cu toate acestea, ceea ce ar putea face ea este să genereze o dovadă de zero cunoștințe că $G^x = A$ și $X^x = Y \cdot M^{-2}$ au o soluție comună $x$ (ceea ce poate face, deoarece știe care este acea soluție comună); această dovadă a cunoștințelor zero ar arăta că $M$ este decriptarea, fără a-și expune cheia privată.
Aceasta duce la o observație mai generală; dacă algoritmul de decriptare $D$ și generarea cheii publice $Gen$ ambele rulează în politimp, apoi afirmația că $D(a, C) = M \land (a, A) = Gen(sămânță)$ (pentru un public $C$ si $M$ despre care Alice pretinde că decriptarea este o declarație în NP (cu $a$ și $sămânță$ fiind „martorii”), iar pentru o astfel de afirmație în cadrul NP, se poate construi o dovadă de cunoștințe zero, arătând că $M$ este o decriptare corectă.
Deci, dacă Bob nu poate pretinde că nu a trimis textul cifrat $C$ (și presupun că cumva se presupune că cumva toată lumea știe că a făcut-o), nu sună ca o problemă rezolvabilă.