臨時密鑰在 ElGamal 中保持不變

是否有已知的算法可以在 ElGamal 中恢復發件人的消息 $ \mathbb{F}_p^* $ 如果臨時密鑰在兩次或多次傳輸中保持不變，假設消息總是不同的？

假設愛麗絲選擇了一個素數 $ p $ 之間 $ 2^{1000} $ 和 $ 2^{1001} $ 並選擇一個 $ g \in \mathbb{F}p^* $ 大素數訂單。 $ L $ 是她的公鑰。Doug the doofus 向 Alice 發送了兩次或多次傳輸 $ (c_1, c_i), c_1 = g^k (mod,p), c_i = m{i}L^k (mod,p) i = 1,2,…,n $ 和 $ k $ 保持不變。竊聽者夏娃能恢復道格的資訊嗎？

IOW，為什麼臨時密鑰需要是臨時的？

Eve 可以做的一件事是計算任意兩條消息的模除。

也就是說，她被賦予了兩者 $ c_2 = mL^k $ 和 $ c’_2 = m’L^k $ ; 然後她可以計算價值 $ c_2\cdot c’^{-1}_2 = m\cdot m’^{-1} $ .

這本身是否足以恢復消息取決於 Doug 消息的分佈。然而，這意味著（與分佈無關）如果 Eve 猜到任何消息的明文，她可以立即推斷出所有其他消息的明文。

請注意，這個類似的系統IES不存在這個問題。如果 Doug 重複所有參數，那麼如果他重新發送相同的明文，它就會洩漏；但是，否則它仍然是安全的。

引用自：https://crypto.stackexchange.com/questions/27174