如果 Paillier 系統僅用於加密二進制值，即 {0, 1}，它是否仍然安全？

如果 Paillier 系統僅用於加密 {0, 1} 中的二進制消息，是否存在任何安全隱患？即，明文是 0 或 1。

不，沒有安全隱患；Pallier 系統保持安全。兩條消息都在受支持的消息空間中，並且由於 Paillier 加密提供了 IND-CPA 安全性，因此您在執行此操作時是安全的。

讓我們回顧一下Paillier 的加密過程：

1. 讓 $ m $ 是要加密的消息在哪裡 $ m\in\mathbb{Z}_n $ （在你的情況下 $ m\in{0,1} $ )
2. 隨機選擇 $ r $ 在哪裡 $ r\in\mathbb{Z}_n^* $
3. 計算密文為： $ c=g^m\cdot r^n\bmod{n^2} $

就是那個隨機值 $ r $ 這使得從一個小的明文空間中提取的加密值不存在安全問題。加密過程是隨機的。因此，攻擊者要麼必須僅根據公鑰和密文破解密碼，要麼猜測隨機性。兩者都將非常困難。

引用自：https://crypto.stackexchange.com/questions/25519