ElGamal 相同的私鑰和隨機密鑰攻擊

我很難理解這一點。

考慮使用相同的循環組順序對兩條消息進行加密 $ q $ ， 發電機 $ g $ , 私鑰 $ x $ , 和隨機參數 $ y $ . 攻擊者知道明文 $ m_1 $ 及其對應的密文 $ c_1=\left(r_1,s_1\right) $ .

有人告訴我，在這種情況下，如果攻擊者也知道密文 $ c_2=\left(r_2,s_2\right) $ 另一條消息的 $ m_2 $ , 他們可以恢復 $ m_2 $ .

這怎麼可能？攻擊者不需要知道嗎 $ q $ 和 $ g $ ?

$ q $ 和 $ g $ 通常假定為公共知識——它們被稱為公共參數（或者是使用者公鑰的一部分）。

如果相同的隨機值 $ y $ 用於兩個消息，然後 $ r_1 = r_2 = g^y $ .

然後我們知道 $ s_1 = (r_1^x) \cdot m_1 $ 和 $ s_2 = (r_1^x) \cdot m_2 $ .

因此攻擊者可以計算$$ m_2 = \frac{s_2}{s_1}m_1 $$在群裡。

引用自：https://crypto.stackexchange.com/questions/99887