為什麼 El Gamal 承諾方案資訊在理論上具有約束力？

我有點堅持以下主張：

ElGamal 承諾方案在理論上具有約束力

據我了解，對手 $ A $ 如果它能夠找到一個綁定遊戲，它將贏得綁定遊戲 $ x\prime\neq x $ 這樣 $ C(x)=C(x\prime) $ .

$ C(x)=C(x\prime) $ 暗示：

$$ (g^r,h^rx)=(g^{r\prime},h^{r\prime}x\prime) $$ 這怎麼找不到？由於生成器是循環的，因此應該可以找到 $ r\neq r\prime $ 這與 $ g^r=g^{r\prime} $ ，還是我在監督什麼？

這怎麼找不到？由於生成器是循環的，因此應該可以找到 $ r\neq r’ $ 這與 $ g^r = g^{r’} $ ，還是我在監督什麼？

是的，你可能想錯了，可能是這樣的：有價值觀 $ a,b $ 和 $ a\neq b $ 和 $ a^2 = b^2 $ . 但如果仔細觀察，在這種情況下，底數相同，指數不同。

這裡的主要論點是：如果組順序是 $ t $ ，我們有 $ r \neq r’ \mod t $ ， 然後 $ g^{r} \neq g^{r’} $ . 或者：設置 $ x = r’ - r \mod t $ ，這是非零模 $ t $ . 然後 $ g^{r’} = g^{r + x} = g^r \cdot g^x $ . 這不能等於 $ g^r $ 如果 $ x $ 不是零或組順序的倍數。

使用固定生成器，元組中的第一個元素固定 $ r $ - 即使你不知道什麼 $ r $ 實際上是。而作為回報修復 $ h^r $ . 對於給定的 ElGamal 密文，這修復了 $ m $ .

引用自：https://crypto.stackexchange.com/questions/48630