Аддитивно гомоморфный (модифицированный) RSA?

Есть ли способ изменить RSA, чтобы он был гомоморфно аддитивным?

Я провел небольшое исследование и наткнулся на документ, в котором описывается MREA (модифицированный алгоритм шифрования RSA), модификация RSA, которая предположительно является гомоморфно-аддитивной.

Авторы определяют алгоритм шифрования следующим образом: $$ E(сообщение) = g^{сообщение^e \bmod {n}} \cdot r^{m} \bmod m^{2}$$

$е$ и $n$ имеют то же значение, что и в RSA.
$m = г \cdot s$.
$г$ и $s$ представляют собой случайно сгенерированные большие простые числа.
$г = м + 1$.

Я пытался доказать, что $E(сообщение_{1} + сообщение_{2}) \equiv E(сообщение_{1}) \cdot E(сообщение_{2})$.

Вот моя попытка: $$E(сообщение_{1}) \cdot E(сообщение_{2}) = g^{(сообщение_{1} + сообщение_{2})^e \bmod {n}} \cdot r^{\textbf{2 }m} \bmod m^{2}$$ $$\neq $$ $$g^{(сообщение_{1} + сообщение_{2})^e \bmod {n}} \cdot r^{m} \bmod m^{2} = E(сообщение_{1} + сообщение_{2} )$$

Я верю, что где-то сделал ошибку, но не могу ее заметить.

Кто-нибудь видит, где я накосячил?

Заранее спасибо!

Я пытался доказать, что $E(сообщение_{1} + сообщение_{2}) \equiv E(сообщение_{1}) \cdot E(сообщение_{2})$.

Кто-нибудь видит, где я накосячил?

Похоже, вы запутались, когда попытались серьезно отнестись к этой статье.

Эта система объединяет криптосистему Пайе с учебником RSA; Paillier и учебник RSA имеют гомоморфные свойства, однако они не сочетаются должным образом. Для Пайе умножение двух зашифрованных текстов эффективно добавляет открытые тексты; однако добавление двух зашифрованных текстов RSA учебника ничего не делает (вам нужно умножить зашифрованные тексты RSA, чтобы гомоморфно умножить открытые тексты).

Если вам нужна аддитивно гомоморфная система, просто используйте прямое Пайе.

Другие жалобы на эту бумагу:

• В разделе анализа безопасности они утверждают: «Если RSA который основан на едином модуле, ломается во времени $х$ и аддитивная гомоморфность, основанная на двойственном модуле, нарушается во время $у$ тогда время, необходимое для взлома алгоритма MREA является $х \cdot у$". Должно быть очевидно, что, поскольку общественность key содержит как открытый ключ RSA, так и открытый ключ Пайе, он достаточно взломать оба по отдельности, а так безопасности нет лучше чем $х + у$. Если обе проблемы примерно одинакового размера сложности, вы в конечном итоге удваиваете объем работы злоумышленника. нужно сделать за счет увеличения шифратора/дешифратора на коэффициент 6 - не лучший компромисс.

• Они используют Пайе (и используют те же обозначения, что и Пайе), но не цитируйте его - это плагиат