Public-Key
ElGamal 代理重新加密
我在 Ivan 和 Dodis 的論文中編寫了一個算法來實現一個建議,將正常 ElGamal 加密方案轉換為代理重新加密方案(它在第 6 頁,左欄,但我在 SO where 上提出了一個與它相關的問題你可以更快地看到數學)。
我指的是這個部分。
$$ \frac{mg^{xr}}{g^{rx_1}}=\frac{mg^{(x_1+x_2)r}}{g^{rx_1}}=\frac{mg^{(x_1)r}mg^{(x_2)r}}{g^{rx_1}}=mg^{(x_2)r} $$ 該方案通過拆分私鑰來工作 $ x $ 進入 $ x_1 $ 和 $ x_2 $ .
我的問題是:如果我不想與某人共享我的私鑰,我可以將其拆分為 $ x_1 $ 和 $ x_2 $ , 解密其中的一部分使用 $ x_1 $ ,與某人共享該加密文本以及 $ x_2 $ (可能在他們的公鑰下加密)並讓他們解密?考慮到這些資訊,他們找出整個私鑰有多容易?如何減少這種威脅(如果可以的話)?
免責聲明:代理重新加密的案例非常具體。根據您的描述,我不清楚為什麼您不只是為您的某人使用不同的密鑰加密消息。
看著這個計劃,在我看來,有人只會得到 $ x_2 $ 並且不能用它來學習任何關於 $ x_1 $ . 即使給出多對 $ x = x_1^{(i)} + x_2^{(i)} $ ; 如果只有 $ x_2^{(i)} $ 已知任何 $ x’ $ 可能是正確的關鍵 $ x_1^{(i)} = x’ - x_2^{(i)} $ .