Acest lucru este foarte nesigur. Oricine poate produce o dovadă falsă că două texte cifrate sunt echivalente.
Dat $c_1$ și $c_2$, alegeți una aleatorie $x$ si lasa $a_1=c_1x\mod {n^2}$ și $a_2=c_2x\mod {n^2}$. Noi vedem asta $a_1c_2\equiv a_2c_1\pmod {n^2}$ care corespunde criteriului de verificare.
O dovadă că $c_1$ și $c_2$ sunt criptări de aceeași valoare este echivalent cu a arăta că $c_1/c_2\pmod{n^2}$ este o $n$puterea. Iată un protocol sigma pentru acea dovadă pe care o poți face non-interactiv cu schtick-ul obișnuit Fiat-Shamir.
Pentru a dovedi asta $k$ este o $n$modulo de putere $n^2$
Presupunem că dovatorul este înzestrat cu $s:k\equiv s^n\pmod{n^2}$.
Angajament
Dovatorul generează un număr aleator uniform $r\mod{n^2}$, calculează $c=r^n\mod{n^2}$ și publică $c$.
Provocare
Verificatorul solicită aceluia să publice fie $r$ astfel încât $r^n=c\mod{n^2}$ sau $r'$ astfel încât $r'^n=ck\mod{n^2}$.
Raspuns
Prover publică fie $r$ sau $r'=rs\mod{n^2}$ conform provocării.
Dacă ambele răspunsuri posibile sunt disponibile unui răspuns, atunci respondentul ar ști $s=r'/r$ astfel încât cunoaşterea ambelor răspunsuri dovedeşte cunoaşterea $s$. Prin urmare, protocolul este corect cu mare probabilitate pe măsură ce numărul de iterații de protocol crește.
Verifer ar putea genera transcrieri ale protocolului pentru ei înșiși, alegând mai întâi provocarea, apoi răspunsul, apoi angajamentul. Prin urmare, protocolul este zero-cunoaștere.
