密文的雜湊

將散列密文（所以 $ H(Enc(pk,m)) $ ) 如果這兩種方案本身都是安全的，是否會以任何方式對其進行妥協？情況似乎並非如此，但我找不到明確的答案。

不。

任何對手都可以簡單地自己執行雜湊，因此您無需為他們提供額外的資源。

將散列密文（所以 $ H(Enc(pk,m)) $ ) 如果這兩種方案本身都是安全的，是否會以任何方式對其進行妥協？情況似乎並非如此，但我找不到明確的答案。

我可以通過兩種方式閱讀

1. 你只透露 $ H(Enc(pk,m)) $ 對攻擊者；

• 那麼攻擊者需要對安全散列函式執行預鏡像攻擊以找到 $ Enc(pk,m) $ . 這可以使用一些預先知道的明文來執行，因為密鑰是公開的，或者可以使用通用的原像攻擊來執行。
• 如果公鑰是 Ind-CPA 安全的，則搜尋將失敗。

2. 您將以加密然後散列的形式發送您的消息 $ C = (Enc(pk,m) \mathbin|H(Enc(pk,m))) $

• 在這種情況下，雜湊不提供任何身份驗證。由於攻擊者可以計算加密 $ Enc(pk,m’) $ 消息的 $ m’ $ 他們的選擇並將其散列以利用他們的優勢$$ C’ = (Enc(pk,m’) \mathbin|H(Enc(pk,m’))) $$. 這很危險，可能會帶來災難性的後果。
• 這不會洩露原始消息，但是，在公鑰密碼術中，加密是免費的，因此可以減輕像 HMAC 這樣的相互身份驗證需要數字簽名。

引用自：https://crypto.stackexchange.com/questions/89534