问是否有可能使用不同的密钥从单个密文中获取不同的明文？

EN

如果我不能信任获取密钥和密文的源，那么如何确定所获得的明文实际上是先前加密的？

一般来说你不能。标准的安全概念并不意味着有任何约束力。也就是说，这些定义并不排除，给定密钥k和密文c \gets \operatorname{Enc}(k,m)，攻击者可能会找到密钥k'，例如某些m' \neq m的m' = \operatorname{Dec}(k',c)。事实上，对于许多加密方案，例如在某些未经身份验证的操作模式中的块密码，或者流密码，这都是可能的，因为任何密钥的解密都是成功的。不同方案的不同之处在于攻击者对m'的控制程度。但是对于许多方案来说，某些控制是可能的，例如确保几个比特具有特定的值。

将加密方案打开到与最初加密的值不同的值称为模糊。正如AleksanderRas所描述的，一次加密方案是一种极端的不确定加密方案，完全不确定。也就是说，对于任何密文c和任何明文m'，都可以找到密钥k'，比如\operatorname{Dec}(k',c)=m'。实际上，在安全多方计算等应用中，不确定是加密方案的一个有用的特性。然而，完全模棱两可实际上意味着该方案必须具有与消息大小一样大的密钥大小。有些地方模棱两可和不承诺加密的概念比较宽松。

这个最后一个概念的名字让我们看到了这样一个事实:事实上，你希望你的加密方案不要模棱两可。与模棱两可的加密方案相反的是提交加密方案，其中密文作为对明文的承诺。

在这一点上，您的问题，特别是“密钥交换”标签，使我相信您可能实际上不是在寻找加密方案，而是一个承诺方案。承诺方案允许一方在承诺m中提交消息c \gets \operatorname{Com}(m;r)。这样的承诺以后可以打开，通常是通过暴露承诺中使用的随机性r。

承诺计划有两个重要的性质：

1. 它是隐藏的，这意味着c没有透露任何关于m的信息。
2. 它是具有约束力的，这意味着它是不可行的含糊其辞，即打开承诺c的消息m'\neq m。

确实有可能(正如Maeher正确地指出的那样)拥有这样的财产。

可能最知名的具有此属性的加密系统是一次性垫。它有一些限制，例如密钥必须是(密码安全的)随机的，长度与明文相同。

程序：

1. 用密钥m_1加密消息k_1
2. 现在我们有一个密文c
3. 现在可以用: a. (正确的)密钥c解密密文k_1并获得结果消息m_1 b. (不正确的)密钥k_2并获得不同的消息m_2

问题是，我们无法确定最初用于加密消息m_1的密钥，因为这两种解密都可能是有效的。

让我们直接使用维基百科的例子：

1. 艾丽斯想给鲍勃哈罗发一条消息(m_1)
2. 她选择密钥(k_1) XMCKL
3. 通过使用模块化加法(请参阅维基百科中的示例，如果此步骤不明确)，我们将得到密文c_1 EQNVZ
4. 现在，Bob可以用密钥a. k_1 (XMCKL)解密密文c_1，并获得预定的明文消息m_1 HELLO . k_2 (TQURI)，并在以后获得不同的消息m_2。

这是可能的，因为单词HELLO和稍后都有5个字符。实际上，可以将任何密文(c_1)解密为任何给定长度的明文(m_n)。