ElGamal 代理重新加密

我在 Ivan 和 Dodis 的論文中編寫了一個算法來實現一個建議，將正常 ElGamal 加密方案轉換為代理重新加密方案（它在第 6 頁，左欄，但我在 SO where 上提出了一個與它相關的問題你可以更快地看到數學）。

我指的是這個部分。

$$ \frac{mg^{xr}}{g^{rx_1}}=\frac{mg^{(x_1+x_2)r}}{g^{rx_1}}=\frac{mg^{(x_1)r}mg^{(x_2)r}}{g^{rx_1}}=mg^{(x_2)r} $$ 該方案通過拆分私鑰來工作 $ x $ 進入 $ x_1 $ 和 $ x_2 $ .

我的問題是：如果我不想與某人共享我的私鑰，我可以將其拆分為 $ x_1 $ 和 $ x_2 $ , 解密其中的一部分使用 $ x_1 $ ，與某人共享該加密文本以及 $ x_2 $ （可能在他們的公鑰下加密）並讓他們解密？考慮到這些資訊，他們找出整個私鑰有多容易？如何減少這種威脅（如果可以的話）？

免責聲明：代理重新加密的案例非常具體。根據您的描述，我不清楚為什麼您不只是為您的某人使用不同的密鑰加密消息。

看著這個計劃，在我看來，有人只會得到 $ x_2 $ 並且不能用它來學習任何關於 $ x_1 $ . 即使給出多對 $ x = x_1^{(i)} + x_2^{(i)} $ ; 如果只有 $ x_2^{(i)} $ 已知任何 $ x’ $ 可能是正確的關鍵 $ x_1^{(i)} = x’ - x_2^{(i)} $ .

引用自：https://crypto.stackexchange.com/questions/50662