Trebuie să luăm în considerare depășirea în criptarea pailier?

Înmulțirea omomorfă a textelor clare în criptosistemul Paillier poate fi construit după cum urmează: Dsk(E(x1)^x2 mod N^2) = x1x2 mod N. Deci, după decriptare, obținem rezultatul înmulțirii x1x2. Întrebarea mea este, este necesar să ne gândim la situația : x1*x2>N care duce la un debordare? Sau pentru că parametrul N este destul de mare (de obicei 1024 de biți sau chiar 2048 de biți), așa că în majoritatea scenariilor de utilizare nu trebuie să luăm în considerare această problemă în mod implicit?

Da, este adesea necesar să se ia în considerare depășirile în criptarea Paillier. Motivul este simplu: chiar dacă în majoritatea situațiilor, valorile sunt presupus pentru a fi mult prea mic pentru a provoca orice problemă de depășire, ce îi împiedică pe utilizatorii rău intenționați să provoace depășiri pentru a înșela?

Fără un scenariu specific, este greu să fii mai precis, dar există multe situații în care, dacă nu se face nimic, un trișor ar putea (forțând să se întâmple depășiri, folosind valori foarte mari cu Paillier) să creeze erori în sistem, să învețe informații private sau să reușească ceva la care nu ar trebui să li se permită să reușească.

Iată un exemplu: în această hârtie, Yehuda Lindell dezvoltă un protocol cu ​​două părți pentru semnarea ECDSA. Procesul de semnare se realizează în esență homomorf și interactiv, în interiorul unui text cifrat Paillier. Apoi, dacă nu se face nimic pentru a preveni revărsările, securitatea este ruptă; pentru a preveni acest lucru, lucrarea folosește dovezi ale intervalului: dovezi cu cunoștințe zero pentru a garanta că o valoare criptată nu este suficient de mare pentru a provoca depășiri.