使用不同明文重複使用隨機指數進行 ElGamal 加密

在基本的 ElGamal 加密方案中，我們對消息進行加密 $ m $ 作為 $ (g^r, h^r m) $ ， 在哪裡 $ g $ 是組生成器並且 $ h $ 是收件人的公鑰。

如果發件人有另一封郵件 $ m’ $ 發送給收件人，他們可以使用相同的隨機 $ r $ 在不降低方案安全性的情況下施工？更一般地，與 $ n $ 不同的消息 $ (m_1, m_2, \dotsc, m_n) $ , 將它們加密為 $ (g^r, h^r m_1, h^r m_2, \dotsc, h^r m_n) $ ?

不，你不能。在這種情況下，攻擊者可以計算 $ m_1/m_2 $ 通過將第一個密文與第二個密文相乘，例如，確定是否 $ m_1=m_2 $ 或不。這在安全方案中是不可能的。

引用自：https://crypto.stackexchange.com/questions/24328