Меня тут всё ещё напрягает возможность сговора участников

Или обмана

Хотя в целом при потере ключа такие механики можно предусмотреть. Даже без разделения ключа. Просто возможность пошарить переписку. И это вполне имеет смысл.

я так понимаю ты считаешь что есть ключ Х и расшарить можно только его

куда полезнее иметь по 1 ключу на функцию, и шарить нужный ключ если условия выполнены

В принципе да, так можно сделать
Что-то типа разделения доступа

не в тему, но просто мысль

мне всегда была интересна система которая постоянно обновляла бы ключ на основе обмена ключа

т.е. например А и Б установили контакт. обновили ключ. теперь используют новый ключ между собой и с другими

тогда даже утечка всех ключей одного юзера мало значит (с ним не все меняются) и утечки в прошлом мало важны для будущего (только если атакующий не хранит вообще всю историю обмена сообщений в сети)

Обновлять собственный ключ подтверждая текущий - ну это что-то вроде токенов в вебе, в принципе ок идея.
Можно даже навертеть это на том же хешировании (возможно с подписью каждый раз), небольшая проблема только с хранением ключей и с многодевайсовостью. То есть когда я с одного своего устройства ключ обновил когда другое было оффлайн, и другому устройству нужно как-то об этом узнать (ещё веселее если начал переписку с новым ключом)

Ну или, как вариант, в момент установления связи воспользоваться любым из протоколов выработки общего ключа

И на аккаунта просто хранить некоторый набор ключей

Я эту проблему решаю так: выдумал осмысленную, но длинную парольную фразу, к которой через разделитель дописываю название сайта, на который захожу, имя пользователя на нём и, если необходимо пароль регулярно менять, то его порядковый номер. Весь этот текст хеширую алгоритмом SHA-256 и в качестве пароля использую хеш или его часть.

Что-то типа алгоритма генерации паролей от xkcd?)

...и https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%BE_34

Без понятия, честно говоря. SHA-256 выбрана только из-за распространённости её онлайн-реализаций, одну из которых я сохранил на всех своих компьютерах (и домашнем, и рабочих), где требуется парольный доступ. В общем случае подойдёт любой криптографически стойкий ГПСЧ.

Автор: xkcd
Дата: август 2011

Наверное, да. Только осмысленная фраза у меня одна-единственная на все случаи жизни (мастер-пароль, так сказать), а вот конечные пароли, вырабатываемые из неё, - разные за счёт конкатенации мастер-пароля с разными дополнениями: разные названия сайтов, разные пользователи на них и разные порядковые номера самих паролей у этих пользователей на этих сайтах.

Кстати, я так подумал, что для такого генератора паролей не обязательно использовать именно криптостойкий ГПСЧ. Можно любой, но просто реализации SHA очень распространены.

Можно хоть квадрат Полибия использовать)

Например, генерация открытых ключей по протоколу Диффи-Хеллмана(-Меркла) тоже может быть использована для получения паролей: A = g^x mod P, где A - это открытый ключ, часть которого можно взять для пароля; x - это закрытый ключ (наша длинная парольная фраза с соответствующими дополнениями к ней).

Ну, я бы остановился на RC4 в качестве такого ГПСЧ.

ИМХО основное требование тут это возможность на коленке произвести нужные операции)