Există un protocol securizat pentru două părți care face ca P1 (cu x ca intrare) să primească rx+r' și P2 să primească (r,r')

Ar trebui să fie un protocol securizat cu două părți împotriva adversarului rău intenționat.

Intrarea lui P1 este X în Zp* (p este un număr prim); Intrarea lui P2 este nimic. Ieșirea lui P1 este rX+r'. r,r' sunt numere aleatoare din Zp* Ieșirea P2' este r și r'.

Există vreun protocol eficient pentru a realiza această funcționalitate, în afară de utilizarea criptării homomorfe? Dacă doar EL rezolvă această problemă, care este cea mai eficientă?

Multumesc pentru ajutor!

Puteți face acest lucru cu orice schemă aditivă/logaritmică homomorfă cu $p$ împărțind ordinea grupului de text simplu. The Okamoto-Uchiyama sistemul are exact dimensiunea spațiului de text simplu $p$ și poate fi potrivit dacă nu aveți nevoie de rezistență cuantică.

Protocolul este următorul:

P1 creează o cheie publică pentru schemă, precum și criptări ale $X$ și 1, să zicem $c_0=E(X)$ și $c_1=E(1)$. Acestea sunt transmise la P2.

Presupunând o schemă log-homomorfă, P2 alege aleatoriu $r$ și $râ$, calculează $c_2:=c_0^rc_1^{râ}=E(rX+râ)$ și trimite această valoare către P1.

P1 decriptează $c_2$ a recupera $rX+râ$.