Elgamal-Encryption

ElGamal 是 IND-CCA1 嗎?

  • July 12, 2015

我們都知道教科書 ElGamal 是由於選擇密文攻擊導致的,因為它的乘法同態性( $ E(A)*E(B)=E(AB) $ ).

然而,這些攻擊需要密文( $ E(A) $ 或者 $ E(B) $ ) 給出,這意味著根據這個答案,這意味著 ElGamal 不是 IND-CCA2,但 IND-CCA1 因為在知道密文之前訪問解密預言沒有任何幫助。

因此我的問題

是:ElGamal 加密方案是 IND-CCA1 還是“僅”IND-CPA?

“獎勵”問題:

如果 ElGamal 加密方案不是 IND-CCA1,CCA1 攻擊會是什麼樣子?

ElGamal 的 CCA1 安全性是一個懸而未決的大問題。沒有已知的攻擊,但標準減少似乎不起作用。

1991 年,Damgard 提出了一個 ElGamal 變體,並證明它是 CCA1 安全的(儘管是在一個非常有問題的不可證偽的假設下,稱為“指數假設知識”);請參閱此處的論文http://link.springer.com/chapter/10.1007%2F3-540-46766-1_36

最近,Lipmaa在這裡表明 ElGamal 可以在非標準(但可證偽)假設下被證明是 CCA1 安全的。假設是即使可以訪問靜態 CDH 預言機(為固定的“秘密”指數計算 Diffie-Hellman 函式),DDH 也很難。

$$ Caveat: I haven’t read the paper so I can’t vouch for correctness… $$

引用自:https://crypto.stackexchange.com/questions/26867