是否有可能建立一個 CPA 安全的加密方案，即使在給出密鑰加密的情況下也能保持安全？

如何設計一個 CPA-secure 加密方案，即使在訓練階段給出了密鑰加密後也是安全的？即，在訓練階段， $ \mathit{Enc}_{\mathit{pk}}(\mathit{sk}) $ 給攻擊者，其中 $ (\mathit{sk},\mathit{pk}) $ 是密鑰對。

事實證明，您正在尋找的並不是微不足道的……滿足此類屬性的方案稱為（CPA）循環安全方案。

有一些方案可以滿足這一點，但我不知道它們是否有公開的實現。例如，你可以看看這個方案。

在紙上使用的符號中， $ \ell $ 是公鑰和私鑰對的數量（因此，在您的情況下， $ \ell = 1 $ ）。他們證明了一個更強大的安全概念（KDM - 密鑰相關消息），這意味著循環安全（至少在他們的設置中）。

- 編輯 -

正如其他使用者所指出的，在隨機 Oracle 模型 (ROM) 上，還有其他（更標準的）結構可以滿足此安全定義。當我寫這個答案時，我沒有考慮這個安全模型，但我是在不知不覺中做出的。我不想說必須簡單地拒絕在 ROM 上證明是安全的方案。老實說，我認為對您問題的正確答案應該將我的原始答案與其他答案合併並指出這些細節。

引用自：https://crypto.stackexchange.com/questions/68270