是否存在一種公鑰語義安全的密碼系統，可以用零知識證明兩個明文的等價性？

如果 Alice 加密了兩條消息 $ a $ 和 $ b $ , 這樣 $ x=E(a) $ , $ y=E(b) $ . 愛麗絲可以證明（不透露 $ a $ , $ b $ 或私鑰） $ a = b $ ?

顯然，證明不能太長，並且計算和驗證（互動式或非互動式）應該是實用的。

這對於 Pohlig-Hellman 對稱密碼是可能的，即使密文是用不同的密鑰加密的。但 PH 不是公鑰。

如果存在這樣的密碼系統（並且它是可交換的或提供公共重新加密），那麼可以解決心理撲克協議中的限制之一。問題是存在（或不存在）可以提供語義安全性和突然退出容忍度（沒有任何門檻值方案）的協議。 **編輯：**似乎加密需要確定性才能支持輟學容忍度，我認為沒有辦法克服這一點。如果沒有確定性，我只能從新牌組中否決單個玩家的牌。

看看心理撲克的理論和實踐現狀如何？對於一個相關的問題。

是的。對於 El Gamal，這樣的證明是可能的。

它涉及離散對數相等的零知識證明，以及 El Gamal 加密的同態屬性。

回想一下，給定 $ E(a) $ 和 $ E(b) $ , 任何人都可以形成 $ E(a/b) $ 使用 El Gamal 的同態性質。認為 $ E(a/b)=(r,s)=(g^k,h^k a/b) $ （在哪裡 $ g $ 是發電機和 $ h $ 是公鑰）。然後證明 $ a=b $ 相當於證明 $ a/b=1 $ ，即，那個 $ (r,s)=(g^k,h^k) $ 對於一些 $ k $ ，或者換句話說， $ (g,h,r,s) $ 是一個 Diffie-Hellman 4 元組。有一個標準的零知識協議可以證明這一事實。這就是你所需要的。

引用自：https://crypto.stackexchange.com/questions/4031