Регистрация Войти
Рейтинг:2
avatar Crypto

Пайе против поднятого Эль-Гамаля за гомоморфное сложение для электронного голосования

флаг ng
ystark

Я хочу создать анонимную систему электронного голосования, которая будет назначать определенное количество битов каждому кандидату во время голосования, например. 010000 для Алисы, 000100 для Боба и 000001 для Чарли. Это хорошо работает с ElGamal в меньшем масштабе, но когда я пытаюсь сделать это в большем масштабе (добавляя большие числа), время ожидания истекает. С другой стороны, Пайе кажется более эффективным при добавлении больших чисел.

У меня есть несколько вопросов по этому поводу, так как я не эксперт по криптографии:

  • Действительно ли у Эль-Гамаля есть проблема с добавлением больших чисел или это связано с ограничениями реализации? Это имело бы смысл, поскольку он использует возведение в степень, но я хотел бы подтвердить.
  • Кроме того, поскольку Paillier допускает как сложение, так и умножение, делает ли это его более «податливым» и менее безопасным, чем ElGamal? Я не смог найти никаких показателей их сравнительного анализа безопасности, но я обнаружил, что ElGamal должен быть более эффективным, отсюда и мой первоначальный вопрос.

ОБНОВИТЬ: Этот бумага говорит, что: «Например, для достижения 128-битного уровня безопасности в ElGamal обычно используются 4096-битный p и 256-битный q, а в Paillier размер n обычно выбирается равным 4096 битам».

Означает ли это, что Пайе слабее?

135
1 + 0
Рейтинг:1
Reppiz avatar Crypto
флаг gb
Reppiz

Так что в целом шифрование Эль-Гамаля гомоморфно только относительно. умножение. Однако с помощью нескольких настроек можно преобразовать ElGamal в экспоненциальный ElGamal (и я думаю, это то, о чем вы говорите).

Основное отличие Эль-Гамаля от экспоненциального Эль-Гамаля в том, что вместо сообщения: $м$ вы должны зашифровать $г^{м}$. При расшифровке это означает, что нужно решить задачу дискретного логарифма, чтобы получить $м$. Для небольших чисел это вообще не проблема (таким образом, это прекрасно работает в схеме голосования, где накопленные числа в общем-то не такие уж и большие), но вы правы, когда $м$ становится больше, все может стать грязным и медленным.

Насколько я знаю, у вас нет этого ограничения с Пайе.

Безопасность этих алгоритмов исходит из разных предположений. В то время как Эль-Гамаль опирается на Диффи-Хеллмана (соответственно Решающий-Диффи-Хеллман), Пайе основан на комбинированное допущение о повторном принятии решений.

Я не просматривал соответствующие документы, чтобы узнать, какие доказательства безопасности они предлагают, но я думаю, что если вы используете их надлежащую реализацию с правильными параметрами, то оба варианта полностью подходят для системы электронного голосования.

0 + 3
флаг ng
ystark
Я отредактировал вопрос, чтобы добавить некоторые исследования. Как вы думаете, это имеет значение?
0
Ответить
Reppiz avatar
флаг gb
Reppiz
Мои знания о конкретных деталях этих алгоритмов довольно ограничены, однако, если в документе говорится, что эти параметры выбраны для обеспечения 128-битной безопасности, то оба достигают 128-битной безопасности с соответствующими параметрами. Таким образом, сложность атаки на обоих составит $2^{128}$ (при заданных параметрах).
0
Ответить
флаг ng
ystark
Что означает, что для 128-битной безопасности требуется ключ большего размера? Приведет ли это к увеличению зашифрованного текста?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.