提供可拒絕加密的密碼？

我在 Wikipedia 上偶然發現了可拒絕加密的概念，有以下場景：

可拒絕加密允許加密消息的發送者拒絕發送該消息。這需要一個受信任的第三方。一個可能的情況是這樣的：

1. 鮑勃懷疑他的妻子愛麗絲正在通姦。既然如此，愛麗絲想和她的秘密情人卡爾交流。她創造了兩把鑰匙，一把用於保密，另一把用於犧牲。她將密鑰（或兩者）傳遞給卡爾。
2. 愛麗絲為卡爾建構了一條無害的消息 M1（打算在被發現時向鮑勃透露）和一封給卡爾的有罪情書 M2。她從消息 M1、M2 中構造了一個密文 C，並將其通過電子郵件發送給 Carl。
3. Carl 使用他的密鑰來解密 M2（也可能是 M1，以讀取假消息）。
4. Bob 發現了發給 Carl 的電子郵件，變得可疑並強迫 Alice 解密該消息。
5. Alice 使用犧牲密鑰向 Bob 透露無害的消息 M1。由於 Bob 不知道另一個密鑰，他可能會假設沒有消息 M2。

我想提供提供此屬性的密碼範例。維基百科頁面只提供文件系統之類的軟體。

這是關於可否認加密的論文的相對完整列表（以及包含針對某種類型的可否認加密的下限的論文）：

1. Canetti/Dwork/Naor/Ostrovsky 的可否認加密$$ CRYPTO 1997 $$
2. 從復雜性理論證明中分離隨機 Oracle 證明： Nielsen的非送出加密案例$$ CRYPTO 2002 $$
3. Bendlin/Nielsen/Nordholt/Orlandi 的可否認公鑰加密的下限和上限$$ ASIACRYPT 2011 $$
4. O’Neill/Peikert/Waters的雙向可否認公鑰加密$$ CRYPTO 2011 $$
5. 關於Dachman-Soled的發件人可拒絕公鑰加密的（黑盒）不可能性$$ PKC 2014 $$
6. 如何使用不可區分性混淆：可否認加密等Sahai/Waters*$$ STOC 2014 $$*
7. De Caro/Iovino/O’Neill 的可否認功能加密$$ PKC 2016 $$
8. Apon /Fan/Liu 的基於可否認屬性的 LWE 分支程序加密*$$ TCC 2016-B $$*

僅靠密碼學很難做到這一點是有充分理由的。請注意，我並不是說基於文件的系統是好的解決方案，我對它們了解不夠。

對稱密碼學：

在不同的密鑰對下解密成不同明文所需的消息對引入了密鑰的等價關係並削弱了密碼。即使假設您的“消息對”足夠短以適合單個塊，在某些不同的密鑰對下找到兩個加密到相同密文的選定塊在某種意義上等同於生日問題，平均需要類似 $ 2^{k/2} $ 加密，因此禁止 $ k=128. $

這種分析完全忽略了作為真實通信會話的一部分的密鑰生成/儲存/銷毀問題，以及關於超過塊長度的消息的操作模式。

非對稱密碼學：

有一些關於可否認簽名的文獻。一些密碼系統的同態特性可以提供幫助，但同樣存在部署此類系統的實際問題。

引用自：https://crypto.stackexchange.com/questions/33255