關於 Paillier 密碼系統中正確加密證明的問題
在 Paillier 密碼系統中
$$ 1 $$的加密 $ m \in \mathbb{Z}_N $ 具有隨機性 $ r \in \mathbb{Z}_n^* $ 是 $ c = g^m r^n \bmod{n^2} $ . 正確加密的證明可能如第 4.2 節所示$$ 2 $$:
“假設一個證明者 $ P $ 提出懷疑的驗證者 $ V $ 帶有密文 $ c $ 並聲稱它編碼明文 $ i $ . 一種簡單的說服方法 $ V $ 也將揭示隨機選擇 $ r $ , 然後 $ V $ 可以驗證自己 $ c = E(i, r) $ . 但是,為了在下面使用,我們需要一個不透露額外有用資訊的解決方案。”
儘管我了解證明本身,但我不知道它應該提供“額外有用資訊”的確切位置。
將證明與提議的零知識證明進行比較,除了證明的全部內容之外,驗證者不會學到任何東西。 $ n $ 和 $ g $ 是公鑰的一部分, $ m $ , $ r $ 和 $ c $ 用於驗證加密。當然披露 $ r $ 消除了系統的機率,但是如果您已經知道明文,那麼這樣做會得到什麼?
提出這個問題後,我還有另一個問題似乎與上述問題密切相關:
假設我要同態地總結來自有限的公開明文集的幾條消息的加密 $ S={0, 1} $ . 如果我隨後通過公開加密和、明文和以及由此產生的加密和的隨機因子 r 來證明和的正確加密 - 這是否會提供有關哪個 summand 加密哪個明文消息的任何有用資訊?
$$ 1 $$ Pascal Paillier - 基於復合度殘差類的公鑰密碼系統 Link $$ 2 $$ Ivan Damgård 和 Mads Jurik - Paillier 機率公鑰系統 連結的概括、簡化和一些應用
揭示 $ r $ 然後將允許驗證者向其他人(另一個驗證者)證明 $ c $ 編碼 $ i $ . 驗證者還可以證明其他事情知道 $ r $ 到不同的驗證者(任何其他使用密文、相應明文和隨機值的證明 $ r $ ).
使用 ZKP,驗證者無法向其他任何人證明該密文的任何內容。在某些情況下,這似乎是一個有用的屬性。
回答你的第二個問題,假設我所說的是揭示的唯一副作用 $ r $ ,那麼您的方法還將允許驗證者向另一個驗證者證明有關總和的事情。這可能是也可能不是您的系統的問題。可能還有其他我不知道的副作用。