Elgamal-Encryption

我可以使用模數嗎n2n2n^2算術在哪裡n=p⋅qn=p⋅qn=p cdot qElGamal 加密?

  • January 18, 2018

在我正在閱讀的論文中,作者使用了帶模的 ElGamal 加密 $ p $ , 在哪裡 $ p $ 是一個素數。

如果我們使用模數,承諾屬性是否仍然成立 $ n^2 $ 在哪裡 $ n=p \cdot q $ 和 $ p $ 和 $ q $ 是大素數嗎?

我問這個是因為許多其他承諾方案使用模 $ n^2 $ 算術。

要完成SEJPM的答案,請注意ElGamal應該直接在環上使用 $ \mathbb{Z}{n^2} $ (更準確地說,在乘法群上 $ \mathbb{Z}{n^2}^* $ ),因為這裡不安全。更準確地說,它仍然是單向的,這意味著如果你得到一個隨機明文的加密,就很難恢復明文。但是,它不再是 IND-CPA 安全的,因為 ElGamal 的 IND-CPA 安全屬性簡化為 Diffie-Hellman 假設 - 但 Diffie-Hellman 假設不成立 $ \mathbb{Z}{n^2}^* $ . 直覺地說,這背後的原因是計算雅可比符號很容易,並且給定 $ (g^a, g^b) $ 在哪裡 $ a,b $ 是一些指數,並且 $ g $ 是一些元素 $ \mathbb{Z}{n^2}^* $ , 它認為

雅可比符號 $ (g^{ab}) = $ 雅可比符號 $ (g^a)\cdot $ 雅可比符號 $ (g^b) $

它允許以不可忽略的機率打破決策 Diffie-Hellman 假設(機率為 1/2,隨機元組不會滿足這種關係,而 Diffie-Hellman 元組總是會滿足這種關係)。

這可以通過進入適當的循環子群來解決 $ \mathbb{Z}{n^2}^* $ 其中元素具有所有 Jacobi 符號 1 - DDH 假設被認為適用於此類組,因此 ElGamal 應該是安全的。但是,請注意,它在質數順序組上的效率遠低於標準 ElGamal,並且僅當它是您確實需要使用特定結構的更大系統的一部分時才應使用 $ \mathbb{Z}{n^2} $ .

我不會深入討論 ElGamal 的“承諾屬性”,因為我無法準確理解您對該聲明的含義。但是,我將回答如果您使用以下形式的模數執行 ElGamal 會發生什麼 $ n^2 $ 和 $ n=pq $ 而不是更標準(安全)的素數 $ p $ 和 $ \frac{p-1}{2} $ 是素數。

首先是理論部分:(理論上)可以獲得不可解密的密文。這是因為 ElGamal 本質上製定了 Diffie-Hellman 密鑰協議,並使用與消息的乘法來加密。現在,如果您使用複合模數,無論何時 $ \gcd(g^{kx},n)>1 $ ,那麼您將無法找到唯一的逆元素,因此無法解密。

現在是更實際的部分:使用沒有意義 $ n^2 $ 作為模數,它只會讓事情變慢。因為你知道 $ n^2 $ 是模數,你可以計算一個(實值)平方根 $ n^2 $ 並得到 $ n $ 背部。現在您已經有效地將模數的長度減半。另請注意,如果您可以考慮模數並恢復 $ p $ 和 $ q $ ,可以使用中國剩餘定理來拆分離散對數問題 $ n $ 分成兩個半大小的 $ p $ 和 $ q $ ,這 $ n $ . 而且由於您不需要額外依賴保理來有效地運營 ElGamal,因此通常不會這樣做。此外,如果以及何時,這樣的模數可能更容易受到Pohlig-Hellman 攻擊 $ n $ 已被分解(儘管這通常與計算離散對數一樣困難) $ \bmod n $ ).

引用自:https://crypto.stackexchange.com/questions/54805