ElGamal 是 IND-CCA1 嗎？

我們都知道教科書 ElGamal 是由於選擇密文攻擊導致的，因為它的乘法同態性（ $ E(A)*E(B)=E(AB) $ ).

然而，這些攻擊需要密文（ $ E(A) $ 或者 $ E(B) $ ) 給出，這意味著根據這個答案，這意味著 ElGamal 不是 IND-CCA2，但 IND-CCA1 因為在知道密文之前訪問解密預言沒有任何幫助。

因此我的問題

是：ElGamal 加密方案是 IND-CCA1 還是“僅”IND-CPA？

“獎勵”問題：

如果 ElGamal 加密方案不是 IND-CCA1，CCA1 攻擊會是什麼樣子？

ElGamal 的 CCA1 安全性是一個懸而未決的大問題。沒有已知的攻擊，但標準減少似乎不起作用。

1991 年，Damgard 提出了一個 ElGamal 變體，並證明它是 CCA1 安全的（儘管是在一個非常有問題的不可證偽的假設下，稱為“指數假設知識”）；請參閱此處的論文http://link.springer.com/chapter/10.1007%2F3-540-46766-1_36。

最近，Lipmaa在這裡表明 ElGamal 可以在非標準（但可證偽）假設下被證明是 CCA1 安全的。假設是即使可以訪問靜態 CDH 預言機（為固定的“秘密”指數計算 Diffie-Hellman 函式），DDH 也很難。

$$ Caveat: I haven’t read the paper so I can’t vouch for correctness… $$

引用自：https://crypto.stackexchange.com/questions/26867