Elgamal-Encryption
臨時密鑰在 ElGamal 中保持不變
是否有已知的算法可以在 ElGamal 中恢復發件人的消息 $ \mathbb{F}_p^* $ 如果臨時密鑰在兩次或多次傳輸中保持不變,假設消息總是不同的?
假設愛麗絲選擇了一個素數 $ p $ 之間 $ 2^{1000} $ 和 $ 2^{1001} $ 並選擇一個 $ g \in \mathbb{F}p^* $ 大素數訂單。 $ L $ 是她的公鑰。Doug the doofus 向 Alice 發送了兩次或多次傳輸 $ (c_1, c_i), c_1 = g^k (mod,p), c_i = m{i}L^k (mod,p) i = 1,2,…,n $ 和 $ k $ 保持不變。竊聽者夏娃能恢復道格的資訊嗎?
IOW,為什麼臨時密鑰需要是臨時的?
Eve 可以做的一件事是計算任意兩條消息的模除。
也就是說,她被賦予了兩者 $ c_2 = mL^k $ 和 $ c’_2 = m’L^k $ ; 然後她可以計算價值 $ c_2\cdot c’^{-1}_2 = m\cdot m’^{-1} $ .
這本身是否足以恢復消息取決於 Doug 消息的分佈。然而,這意味著(與分佈無關)如果 Eve 猜到任何消息的明文,她可以立即推斷出所有其他消息的明文。
請注意,這個類似的系統IES不存在這個問題。如果 Doug 重複所有參數,那麼如果他重新發送相同的明文,它就會洩漏;但是,否則它仍然是安全的。