Randomness
使用不同明文重複使用隨機指數進行 ElGamal 加密
在基本的 ElGamal 加密方案中,我們對消息進行加密 $ m $ 作為 $ (g^r, h^r m) $ , 在哪裡 $ g $ 是組生成器並且 $ h $ 是收件人的公鑰。
如果發件人有另一封郵件 $ m’ $ 發送給收件人,他們可以使用相同的隨機 $ r $ 在不降低方案安全性的情況下施工?更一般地,與 $ n $ 不同的消息 $ (m_1, m_2, \dotsc, m_n) $ , 將它們加密為 $ (g^r, h^r m_1, h^r m_2, \dotsc, h^r m_n) $ ?
不,你不能。在這種情況下,攻擊者可以計算 $ m_1/m_2 $ 通過將第一個密文與第二個密文相乘,例如,確定是否 $ m_1=m_2 $ 或不。這在安全方案中是不可能的。