密码学-公钥加密EIGamal_elgamal公钥密码-CSDN博客

本文链接：https://blog.csdn.net/qq_36736368/article/details/130326062

1.EIGamal加密

1.1.基于素数群的 EIGamal加密

系统参数:素数群 $\mathbb{G}$ 的阶为p,生成元为g
密钥生成:选择随机数 $\alpha\in\mathbb{Z}_{p},$ ,计算 $g_{1}=g^{a}$ ，则私钥和公钥为 $(\alpha,g_{1})$ 。
加密:将消息编码为群元素 $\ m\in\mathbb{G}$ ,公钥 $g_{1}$ ,选择随机数 r $\in\mathbb{Z}_{p},$ ,计算密文
$C_{1}=g^{r},C_{2}=g_{1}^{r}\cdot m$
解密:对于密文 $C_{1}, C_{2})$ ，使用私钥 ${\alpha}$ ,计算 $m=C_{2}\cdot C_{1}^{-\alpha}$
公式推导过程: $C_{2}\cdot C_{1}^{-\alpha}=(g_{1}^{r}\cdot m)(g^{r})^{-\alpha}=m$
安全性分析：基于DDH 困难问题，归约损失为 2, 1bits
离散对数是困难的，但是计算逆元是简单的
$\begin{array}{l}{h^{n}=e}\\ {h \cdot h^{n-1}=e}\\ {h\cdot h^{-1}=e}\\ {h^{-1}=h^{n-1}}\end{array}$
方案扩展:
应用需求:将消息编码到群上 $m\in\mathbb{G}$ 很难,需要加密任意长的数据 $m\in \lbrace0,1 \rbrace^{*}$ (代表0~1比特的任意字符串)。
**加密:**对于任意长消息 $m\in \lbrace0,1 \rbrace^{*}$ ,公钥 $g_{1}$ ,选择随机数 $r\in\mathbb{Z}_{p},$ 和随机群元素 $x\in\mathbb{G}.$ ,计算密文
$C_{1}=g^{r},C_{2}=g_{1}^{r}\cdot x,C_{3}=GCM_{-}AES_{-}Enc(hash(x),m)$
解密：对于密文 $C_{1}, C_{2})$ ，使用私钥α，计算 $x=C_{2}\cdot C_{1}^{-\alpha}$ ,然后计算
$m=G C M_{-}AES_{-}D e c(hash(x),C_{3})$
数字信封：公钥加密一个对称密钥x，使用对称密钥x进行 AES 对称加密。

1.2.基于素数群的 Hashed ElGamal 加密

系统参数:素数群 $\mathbb{G}$ 的阶为p,生成元为g ·
密钥生成:选择随机数 $\alpha\in\mathbb{Z}_{p}$ ，计算 $g_{1}=g^{\alpha}$ ，则私钥和公钥为 $a,g_{1})$ 。
加密:对于消息 $m\in \lbrace0,1 \rbrace^{256}$ ,公钥 $g_{1}$ ,选择随机数 $r\in\mathbb{Z}_{p}$ ,计算密文
$C_{1}=g^{r},C_{2}=h a s h(g_{1}^{r})\oplus m$
解密:对于密文 $C_{1}, C_{2})$ ，使用私钥α，计算 $m=C_{2}\oplus h a s h(C_{1}^{\alpha})$
公式推导过程:
$C_{2}\cdot C_{1}^{-\alpha}=\left(h a s h(g_{1}^{r})\oplus m\right)\oplus h a s h\left((g^{r})^{\alpha}\right)=m$ ( $\oplus异或运算，a\oplus b=c则b=c\oplus a,推导$ ) 在这里插入图片描述

安全性分析：基于 CDH困难问题，归约损失为 $q_{\mathrm{hash}}$ ，查询随机预言机的次数,通常是 $2^{40}$ 。假设私钥长度为 1000bit，算法安全性为 960bit.

1.3.基于椭圆曲线群的ElGamal 加密

系统参数:椭圆曲线群 $\mathbb{G}$ 的阶为p,生成元为 $G$ 。
密钥生成:选择随机数 $\alpha\in\mathbb{Z}_{p}$ ,计算 $G_{1}=\alpha\cdot G$ ,则私钥和公钥分别为 $(\alpha,G_{\mathrm{1}})$ 。
加密:消息编码到椭圆曲线群 $M\in\mathbb{G}$ ,公钥 $G_{1}$ ,选择随机数 $r\in\mathbb{Z}_{p}$ ,计算密文
$C_{1}=r\cdot G,C_{2}=M+r\cdot G_{1}$
解密:对于密文 $C_{1}, C_{2})$ ，使用私钥 ${\alpha}$ ,计算 $M=C_{2}-\alpha\cdot C_{1}$
公式过程: $C_{2}-\alpha\cdot C_{1}=(M+r\cdot G_{1})-\alpha r\cdot G=M$
安全性分析：基于 DDH 困难问题，归约损失为 2。

1.4.基于椭圆曲线群的 Hashed ElGamal 加密

引入hash类似于2中的换成椭圆曲线即可
加密:对于消息 $m\in \lbrace0,1 \rbrace^{256}$ ,公钥 $G_{1}$ ,选择随机数 $r\in\mathbb{Z}_{p}$ ,计算密文
$C_{1}={r\cdot G},C_{2}=m\oplus h a s h({r}\cdot{G}_{1})$
解密:对于密文 $C_{1},C_{2})$ ,使用私钥α,计算 $m=C_{2}\oplus hash(\alpha\cdot C_{1})$
公式过程： $C_{2}\oplus hash(\alpha\cdot C_{1})=(m\oplus h a s h({r}\cdot{G}_{1})) \oplus hash(\alpha r\cdot G) = m$
安全性分析：基于 CDH 困难问题，归约损失为 $q_{hash}$ ，查询随机预言机的次数,通常是 $2^{40}$ 。私钥长度为256bit，算法安全性为216bit。对于椭圆曲线，通常70 bit的随机数就足够安全。

1.5.基于素数群的 Twin Hashed ElGamal 加密

系统参数:素数群 $\mathbb{G}$ 的阶为p,生成元为g 。
密钥生成:选择2个随机数 $\alpha,\beta\in\mathbb{Z}_{p}$ ,计算 $g_{1}=g^{\alpha},g_{2}=g^{\beta}$ ，则私钥为 $\alpha,\beta$ 和公钥为 $g_{1},g_{2}$ 。
加密:对于消息 $m\in\{0,1\}^{256}$ ,公钥 $g_{1},g_{2}$ ,选择随机数 $r\in\mathbb{Z}_{p}$ ,计算密文
$C_{1}=g^{r},C_{2}=h a s h(g_{1}^{r},g_{2}^{r})\oplus m$
解密:对于密文 $C_{1},C_{2})$ ，使用私钥 $\alpha,\beta$ ,计算 $m=C_{2}\oplus h a s h(C_{1}^{\alpha},C_{2}^{\beta})$
公式推导过程: $C_{2}\oplus hash((C_{1}^{\alpha},C_{2}^{\beta})=(hash((g_{1}^{r},g_{2}^{r})\oplus m) \oplus hash(g^{r\alpha},g^{r\beta })=m$
安全性分析：添加了一个随机因子（私钥），基于CDH 困难问题，无归约损失

2.Cramer-shoup（EIGamal的安全升级）

2.1基于数群的Cramer-shoup加密

系统参数：素数群 $\mathbb{G}$ 的阶为p，生成元为 $g_{1},g_{2}$ 。
密钥生成:选择5个随机数 $x_{1},x_{2},y_{1},y_{2},z\in\mathbb{Z}_{p}$ ,计算3个群元素
$c=g_{1}^{x_{1}}g_{2}^{x_{2}},d=g_{1}^{y_{1}}g_{2}^{y_{2}},h=g_{1}^{z}$ ，则私钥为 $x_{1},x_{2},y_{1},y_{2},z)$ 和公钥为 $(c, d, h)$ 。
加密:对于消息 $m\in\mathbb{G}$ ,公钥 $(c, d, h)$ ,选择随机数 $r\in\mathbb{Z}_{p}$ ，计算密文 $u_{1},u_{2},e,v)$
$\begin{array}{l}{{u_{1}=g_{1}^{r},u_{2}=g_{2}^{r},e=h^{r}\cdot m,}}\\ {{\alpha=h a s h(u_{1},u_{2},e),}}\\ {{v=c^{r}d^{r\alpha}}}\end{array}$
解密:对于密文 $u_{1},u_{2},e,v)$ ，使用私钥 $x_{1},x_{2},y_{1},y_{2},z)$ ，计算 $\alpha=h a s h(u_{1},u_{2},e)$
校验 $v=u_{1}^{x_{1}+y_{1}\alpha}u_{2}^{x_{2}+y_{2}\alpha}$ ,然后解密 $m=e\cdot u_{1}^{-z}$ ·
公式推导过程： 在这里插入图片描述

2.2基于椭圆曲线群 Cramer-Shoup 加密

系统参数：素数群 $\mathbb{G}$ 的阶为p，生成元为 $G_{1},G_{2}$ 。
密钥生成:选择5个随机数 $x_{1},x_{2},y_{1},y_{2},z\in\mathbb{Z}_{p}$ ,计算3个群元素
$C=x_{1}\cdot G+x_{2}·G,D=y_{1}·G+y_{2}·G,,H=z·G$ ，则私钥为 $x_{1},x_{2},y_{1},y_{2},z)$ 和公钥为 $(C, D, H)$
加密:对于消息 $M\in\mathbb{G}$ ,公钥 $(C, D, H)$ ,选择随机数 $r\in\mathbb{Z}_{p}$ ,计算密文 $U_{1},U_{2},e,V)$
$\begin{array}{l c r}{{U_{1}=r\cdot G_{1},U_{2}=r\cdot G_{2},E=r\cdot H+M,}}\\ {{\alpha=h a s h(U_{1},U_{2},E),}}\\ {{V=r\cdot C+r\alpha\cdot D}}\end{array}$
解密:对于密文 $U_{1},U_{2},e,V)$ ，使用私钥 $x_{1},x_{2},y_{1},y_{2},z)$ ，计算 $\alpha=h a s h(U_{1},U_{2},E)$
校验 $V=(x_{1}+y_{1}\alpha)\cdot U_{1}+(x_{2}+y_{2}\alpha)\cdot U_{2}$ ,然后解密 $M=E-z\ U_{1}$
公式推导过程:
$\begin{array}{c}{{(x_{1}+y_{1}\alpha)\cdot U_{1}+(x_{2}+y_{1}\alpha)U_{2}=(x_{1}+y_{1}\alpha)r\cdot G_{1}+(x_{2}+y_{2}\alpha)r\cdot G_{2}}}\\ {{=x_{1}r\cdot G_{1}+y_{1}\alpha r\cdot G_{1}+x_{2}r\cdot G_{1}+y_{2}\alpha r\cdot G_{2}}}\\ {{=r(x_{1}G_{1}+x_{2}\cdot G_{2})+r\alpha(y_{1}\cdot G_{1}+y_{2}\cdot G_{2})}}\\ {{=rC+r\alpha D=V}}\\ {{E-z\cdot U_{1}=(r\cdot H+M)-zr\cdot G_{1}=M}}\end{array}$
优点：校验使得安全性从 CPA 安全提升到 CCA 安全。
缺点：私钥、公钥、密文长度增加，计算复杂度增加。

补充：
当密码系统只有承受住选择明文攻击(CPA)和选择密文攻击(CCA)，才能算是安全的。
其中，四种攻击方式对应的攻击强度为：
攻击难度：选择密文攻击(CCA)＞选择明文攻击(CPA)＞已知明文攻击(KPA)＞唯密文攻击(COA)
难易程度：选择密文攻击(CCA)＜选择明文攻击(CPA)＜已知明文攻击(KPA)＜唯密文攻击(COA)