同態加密的延展性

El Gamal 是一個可延展的同態加密系統，Rabin 也是。所有的同態加密系統都具有延展性嗎？或者有沒有不可延展的？謝謝！

答案可能取決於您對“同態”和“可塑性”的確切定義，但我會試一試。

基本上，同態加密意味著給定的加密 $ E_k(x) $ 和 $ E_k(y) $ 一些值 $ x $ 和 $ y $ , 你可以得到一個加密 $ x\ast y $ 在同一把鑰匙下 $ k $ 從 $ E_k(x) $ 和 $ E_k(y) $ ， 在哪裡 $ \ast $ 是一些二元運算，不知道密鑰 $ k $ . 通常， $ \ast $ 是（有界）整數上通常的加法或乘法，但該攻擊實際上適用於幾乎任意操作（即，必須有一對 $ (x,y) $ 這樣 $ x\ast y\notin{x,y} $ )：假設攻擊者知道 $ x $ 和 $ y $ 連同他們的加密 $ E_k(x) $ 和 $ E_k(y) $ . 然後他們可以計算 $ E_k(x)\mathbin{\hat\ast}E_k(y) $ ， 在哪裡 $ \hat\ast $ 表示“解除”實施 $ \ast $ 在密文上，獲取密文 $ \zeta $ . 根據定義， $ \zeta $ 解密為 $ x\ast y $ , 假設兩者都不同 $ x $ 和 $ y $ . 因此，攻擊者獲得了密文（ $ \zeta $ ) 對應於他們知道的明文 ( $ x\ast y $ )但他們之前沒有觀察到其密文。

因此，任何同態加密方案都是可塑的。

引用自：https://crypto.stackexchange.com/questions/20830