Encryption

做在1=α⋅r1在1=一個⋅r1v_1=alphacdot r_1和在2=α⋅r2在2=一個⋅r2v_2=alphacdot r_2洩露有關資訊一個一個alpha

  • September 3, 2015

請考慮我們有有限域 $ \mathbb{F}_p $ 對於大素數 $ p $ . 我們有一個固定的欄位元素 $ \alpha $ . 經過 $ r_i\leftarrow \mathbb{F}_p $ 我們的意思是我們選擇 $ r_i $ 從現場均勻隨機。我們假設值 $ r_i $ 是不同的,所以 $ r_i\neq r_j $


**問:**給定 $ n $ 價值觀 $ v_1=\alpha \cdot r_1 \bmod p,…, v_n=\alpha \cdot r_n \bmod p $ 對於一個大 $ n $ 對手能學到價值嗎 $ \alpha $ ?


直覺地說,對手可以計算 $ gcd(v_1,…v_n) $ 提取價值 $ \alpha $ .

對手無法學到任何東西,我說得對嗎?否則,ElGamal 加密將不安全?

**問:**給定 $ n $ 價值觀 $ v_1=\alpha \cdot r_1 \bmod p,…, v_n=\alpha \cdot r_n \bmod p $ 對於一個大 $ n $ 對手能學到價值嗎 $ \alpha $ ?

答:假設 $ r_i $ 值是隨機的(即,均勻分佈且不相關),那麼攻擊者絕對不會獲得關於 $ \alpha $ (除了它是否為0)。

我們可以看到這一點,因為對於任何一組值 $ v_i $ , 有一組獨特的 $ r_i $ 符合的價值觀 $ \alpha $ 是一個特定的非零值,即 $ r_i = \alpha^{-1} v_i $ . 所以,如果有人無法區分 $ r_i $ 隨機值,它們無法確定哪個非零 $ \alpha $ 價值比其他任何東西都更有可能。

你說 $ r_i $ 值是不同的,因此從技術上講,這是一種相關性。然而,我們可以證明不同的 $ v_i $ 價值觀轉化為不同的 $ r_i $ 值(對於任何固定的非零 $ \alpha $ ),因此任何 $ \alpha $ value 將保持唯一性。因此,攻擊者無法使用這種相關性來獲取任何資訊。

引用自:https://crypto.stackexchange.com/questions/27916