您可以從簽名算法創建加密算法，反之亦然？

我記得幾年前讀過，如果不禁止簽名就不能禁止加密，因為您總是可以從簽名算法中創建公鑰加密算法。

（可能您總是可以從公鑰加密算法中創建簽名算法。）

此外，我記得這不是按位操作的，因此需要以某種方式對每個位進行簽名以加密消息。

顯然，這樣的算法效率極低，但它們可能嗎？

這裡在對稱世界和不對稱世界之間存在混淆。對於對稱，確實可以從消息身份驗證建構加密，反之亦然。從理論上講，這是微不足道的，因為這兩個原語都暗示著單向函式，而單向函式足以建構對稱加密和 MAC。Rivest 在Ron Rivest的一篇名為Winnowing and Chaffing的論文中提出了一個更直接的解決方案，即您只能獲得對 MAC 的黑盒訪問權限。

您的問題與不對稱設置有關。在這種情況下，加密確實意味著簽名，因為單向函式足以建構數字簽名。然而，有一些黑盒分離表明公鑰加密不能從單向函式（甚至單向排列或散列函式）建構。因此，這需要重大突破。例如，我們知道如何從散列函式建構數字簽名，但我們無法從散列函式建構公鑰加密（當將散列函式視為黑盒時）。

簡而言之，答案是否定的。*通常，*您不能從數字簽名（通過黑盒結構）建構公鑰加密。這是否可以在非黑盒中完成的問題是開放的，但如果是的話，那將是非常令人驚訝的。

引用自：https://crypto.stackexchange.com/questions/91709