Aes

濃縮 ElGamal + AES

  • June 28, 2014
  1. 在普通的 ElGamal 加密中,加密的消息是一對——也就是說,實際的“加密”只是乘以共享密鑰。(gb, gabM)``gab
  2. 公鑰加密的常見模式是使用 PK 加密對稱密鑰,然後使用對稱密鑰對實際消息進行編碼。

在我看來,您可以簡單地使用共享密鑰作為您的對稱密鑰 - 所以您的對將是. (這看起來非常類似於通過 Diffie-Hellman 商定 AES 密鑰。)這將佔用更少的空間,使其與 RSA + AES 對於給定的密鑰/組大小保持一致。gab``(gb, AES(M, gab))

那麼:有人聽說過這樣的計劃嗎?如果是這樣,它有名稱嗎,是否實際使用過?至於我為什麼感興趣:

可能的優勢:沒有 DDH 的語義安全?

在正常的 ElGamal 中,如果我們沒有DDH(給定和,我們可以測試是否),我們就會失去語義安全性。AFAIU,這是因為消息被編碼為,所以你可以除以你的可疑消息(),並測試它是否匹配。ga``gb``c``c = gab``E = gabM mod p``c = gabM/Mguess``gab

在我看來,如果我們使用提供 AES 密鑰來代替,那麼恢復候選者相當於從明文/密文對中恢復 AES 密鑰。我知道 AES 不易受到已知明文攻擊,這是否意味著即使沒有 DDH,我們也具有語義安全性?gab``c

可能的優勢:更容易生成私鑰?

使用 RSA,生成一個新的公鑰/私鑰對需要相當大的計算量(因為您必須找到一個可能的素數)。使用 ElGamal,這似乎更容易,這意味著您可以更頻繁地旋轉您的短期密鑰,而不會耗盡低功耗設備。

您輪換短期密鑰的次數越多,您的前向保密就“越好”。(畢竟,如果你經常旋轉你的鑰匙,以至於每個鑰匙只用過一次,那麼你基本上是在做 Diffie-Hellman,只是重新排序了一點。)

您所設想的基本上已標準化為集成加密方案,它是提供消息真實性(IND-CCA 安全性)的混合加密方案。

引用自:https://crypto.stackexchange.com/questions/17922