问带有多个公钥的私钥？

EN

以下是一个想法：

• 艾丽斯的私钥是一个AES密钥k，爱丽丝随机挑选。是的，我们用AES密钥作为私钥；请稍候.
• 为了生成一个新的公钥，Alice选择一个随机值r，并生成她发布的对(\text{AES}_k(r), rG)，我将将其称为(b, H)。爱丽丝也可以选择性地忘记她选择的价值r。爱丽丝可以生成和发布她需要的多少公钥.
• 要用此公钥m加密消息(b, H)，Bob选择一个随机值s，计算点sG和AES密钥KDF(sH)，并输出三重奏(b, sG, \text{AES}_{KDF(sH)}(m))。
• 要解密(b, sG, \text{AES}_{KDF(sH)}(m))，Alice首先解密\text{AES}_k^{-1}(b) = r (如果解密失败，则消息不是针对她的)。然后她计算r(sG) = s(rG) = sH，计算KDF(sH)，然后解密\text{AES}_{KDF(sH)}(m))，给她消息m。

来自Alice的两个不同的公钥是不可链接的，因为唯一的连接是，它们包含使用相同AES密钥的两个不同值的加密，这与随机无法区分。

而且，所有操作都需要时间，与Alice生成的公钥数无关.

(注意:您将使用AES的一些身份验证加密模式，例如AES-GCM.)

将HashToPoint(Number) -> Point定义为一个函数，该函数将整数映射到ECC点的均匀分布(这很容易通过散列来获得x坐标，并递增x直到到达x^3+ax+b为二次剩余的点，并给出一个具有所需顺序的点)。

让鲍勃生成一个主私钥a。

要生成一个新的公钥，可以生成一个随机整数r (在我的例子中是64位)，并计算A = a\text{HashToPoint}(r)。广播(A, r)。

若要发送到Alice的公钥(A, r)，请遵循标准DH。生成一个随机私钥t，并计算T = t\text{HashToPoint}(r)。将S = tA保存为共享秘密，并广播(T, \text{Hash}(S))。

现在，Alice只能计算S = aT一次，并且具有共享的秘密。她根据广播散列检查哈希，以知道它是发送给她的(或者，她可以简单地注意到，试图解密会产生随机字节)。无论发送方使用什么(A_i, r_i)，此公式都有效。

窃听者无法知道谁收到了消息，因此消息内容和接收者身份是安全的。

现在O(n)接收算法是O(1)，发送仍然是O(1)。