7、变形加密：对抗独裁者的私密通信

变形加密：对抗独裁者的私密通信

1. 接收方变形加密概述

接收方变形加密方案（Receiver - AM 方案）提供了一种无需依赖接收方隐私假设的私密通信方式。它由两个加密方案组成：正常方案（KG, Enc, Dec）和变形方案（aKG, aEnc, aDec）。

当作为正常方案部署时：
1. Bob 运行正常密钥生成算法 KG 得到密钥对 (PK, SK)，并公布 PK。
2. Alice 希望发送消息 m 时，使用 PK 和 m 运行加密算法 Enc 生成密文 ct。
3. Bob 接收到 ct 后，使用 SK 运行解密算法 Dec 进行解密。此时，Receiver - AM 就是一个常规的公钥加密方案。若独裁者索要私钥，Bob 会交出 SK。

当 Bob 想保护与 Alice 通信的机密性，即便他被迫向独裁者交出解密私钥时，会将方案部署为变形模式：
1. Bob 运行变形密钥生成算法 aKG，得到变形公钥 - 私钥对 (aPK, aSK) 以及一个特殊的双密钥 dkey。
2. Bob 公布 aPK，保留 aSK 私密，并与 Alice 共享 dkey。若被问起，Bob 会向独裁者交出 aSK。
3. 当 Alice 有需要保密的消息 m1 时，她会选择一个看似无害的消息 m0，使用双密钥 dkey 运行变形加密算法 aEnc 对 (m0, m1) 进行加密。
4. 加密得到的密文 ct 具有特殊性质：使用正常解密算法 Dec 和 aSK 解密得到 m0；使用双密钥 dkey 运行变形解密算法 aDec 解密得到 m1。

总结来说，权威机构得到 m0，而 Bob 得到 m1。并且，Al