多少對b一世ķ≡G一世（模組p)b一世ķ≡G一世(反對p){b_i}^k equiv g_ipmod p足以解決離散對數問題嗎？

關於乘法模大素數的群 $ p $ 的 $ m $ 位

給定

$$ b_1^k=g_1 ;\text {mod};p $$ $$ b_2^k=g_2 ;\text{mod};p $$ $$ b_3^k=g_3 ;\text{mod};p $$ $$ \vdots $$ $$ b_n^k=g_n ;\text{mod};p $$ 多少對足以計算解決 $ k $ 這個離散對數問題？我有這個問題是因為如果我們在 Elgamal 加密中錯誤地使用了隨機數生成器，則遮罩密鑰可能有關係，例如，遮罩密鑰是前一個模數的平方 $ p $ . 我們可以很容易地解密密文，但我們可能仍然不知道 Bob（接收者）的私鑰，但我們可以知道很多對關係，如上面的等式。這些對是否可以讓我們解決 Bob（接收者）的私鑰？

擁有多套 $ b_i^k = g_i $ 有一個共同的解決方案 $ k $ 不幫你恢復 $ k $ ; 如果你有一個簡單的方程，它不能讓問題變得容易得多 $ b^k = g $ .

這是證據；假設有一種有效的方法來恢復 $ k $ 給定一個 $ n $ 不同的 $ b_i^k = g_i $ 方程。

然後，我們可以有效地求解簡單方程 $ b^k = g $ 通過執行以下操作：

• 我們選擇 $ n $ 隨機值 $ r_1, …, r_n $
• 我們計算：

$$ b_i = b^{r_i} $$ $$ g_i = g^{r_i} $$

• 我們有我們的 $ n $ 方程，如 $ b_i^k = (b^{r_i})^k = (b^k)^{r_i} = g^{r_i} = g_i $ ，所以我們使用有效的方式來恢復 $ k $ 給定 $ n $ 方程。

然後我們知道解決方案 $ k $ 到原始方程，我們唯一的額外時間是時間選擇 $ n $ 隨機值併計算 $ 2n $ 模冪運算。

引用自：https://crypto.stackexchange.com/questions/48033