关于非对称加密在实际中应用的一些疑问

@zzh1823 请阅读"Authenticated Key Exchange (AKE)"段，仍有兴趣的话还可以了解下“ Socialist Millionaires' Protocol (SMP)”

之前没看清你的要求，以为是想要端到端加密。实际上是对 TLS 理解不对，才会出现这种奇怪的想法。
TLS1.2 握手过程主要是完成服务端身份验证以及 key 交换，这个 key 用于实际的加解密。如果需要对每个客户端也进行证书验证，可以要求客户端提供自己的证书。实际的加解密 key 是和某次会话关联的，即使同一个客户端，这个 key 也可能不同，所以并不存在你说的情况。
TLS 支持 Static RSA 和 DH 两种方式实现 key 交换，前者用到了公私钥加解密，但存在 PFS 问题， TSL1.3 草案已经废弃。
另外公钥不能解密私钥加密的内容，一般用于加密和验证（非对称）。

@SBEer 。。。 RSA 的公钥实际上也是拿来做 key exchange 的，你提到的这个协议做 ake 就是用的 DH 啊。。清真是说实现起来轻么？

@zzh1823 你自然可以用 signature based 的 DH 如 ECDHE 甚至直接拿 RSA 签名也行,但是 OTR 比传统的非对称加密多提供 forward secrecy 和 deniable authentication 。 forward secrecy ，即前向加密，保证私钥泄露后，攻击者无法根据之前的通信记录恢复通信明文。 deniable authentication, 保证在认证过程中不会泄露私钥信息(具体通过 SMP 实现)。一个可以接受的做法是利用 NTRU 公钥加密 psk 然后通过 SMP 验证通信对端，然后利用 psk 生成一个临时信道完成密钥交换，但这种方法依旧不够清真。对比 NTRUSign,SMP 依旧不会泄漏私钥信息。目前最清真的方法比较复杂,比较关于 NTRU 的研究还不够充分，而且，你并不知道哪天会突然冒出来一个量子通用计算机。

@zzh1823 对于群聊环境，你可以看一下 Muti-party Off-the-record(mpOTR)。
https://www.cypherpunks.ca/~iang/pubs/mpotr.pdf

@SBEer 受教了，我好好消化下！