RSA homomorf (modificat) aditiv?

Există o modalitate de a modifica RSA, astfel încât să fie aditiv homomorf?

Am făcut câteva cercetări și am dat peste o lucrare care descrie MREA (Algoritmul de criptare RSA modificat), o modificare RSA care, se presupune, este aditivă homomorfică.

Autorii definesc algoritmul de criptare după cum urmează: $$ E(mesaj) = g^{mesaj^e \bmod {n}} \cdot r^{m} \bmod m^{2}$$

$e$ și $n$ au același sens ca în RSA.
$m = r \cdot s$.
$r$ și $s$ sunt numere prime mari generate aleatoriu.
$g = m + 1$.

Am încercat să demonstrez asta $E(mesaj_{1} + mesaj_{2}) \equiv E(mesaj_{1}) \cdot E(mesaj_{2})$.

Iată încercarea mea: $$E(mesaj_{1}) \cdot E(mesaj_{2}) = g^{(mesaj_{1} + mesaj_{2})^e \bmod {n}} \cdot r^{\textbf{2 }m} \bmod m^{2}$$ $$\neq $$ $$g^{(mesaj_{1} + mesaj_{2})^e \bmod {n}} \cdot r^{m} \bmod m^{2} = E(mesaj_{1} + mesaj_{2} )$$

Cred că am făcut o greșeală undeva, dar nu reușesc să o observ.

Vede cineva unde am greșit?

Mulțumesc anticipat!

Am încercat să demonstrez asta $E(mesaj_{1} + mesaj_{2}) \equiv E(mesaj_{1}) \cdot E(mesaj_{2})$.

Vede cineva unde am greșit?

Se pare că ai greșit când ai încercat să iei în serios această lucrare.

Acest sistem lipește criptosistemul Paillier cu manualul RSA; Paillier și manualul RSA au ambele proprietăți homomorfe, dar nu se combină corect. Pentru Paillier, înmulțirea a două texte cifrate adaugă efectiv textele simple; cu toate acestea, adăugarea a două texte cifrate RSA manuale nu face nimic (trebuie să multiplicați textele cifrate RSA pentru a multiplica homomorf textele clare).

Dacă aveți nevoie de un sistem homomorf aditiv, utilizați doar Paillier drept.

Alte reclamații cu privire la această lucrare:

• Din secțiunea de analiză de securitate, aceștia susțin „Dacă RSA care se bazează pe un singur modul, este rupt în timp $x$ și aditiv homomorf bazat pe modul dublu, este rupt la timp $y$ apoi timpul necesar pentru a rupe algoritmul MREA este $x \cdot y$„. Ar trebui să fie evident că, pentru că publicul cheia conține atât RSA, cât și cheia publică Paillier, ar fi suficient pentru a sparge ambele individual, și astfel de siguranță este nu mai bun decât $x + y$. Dacă ambele probleme sunt aproximativ la fel de dificultate, ajungi să dublezi volumul de muncă al atacatorului trebuie să facă, cu prețul creșterii criptatorului/decriptorului cu un factor de 6 - nu este un compromis mare.

• Ei folosesc Paillier (și folosesc aceeași notație ca și Paillier), dar nu-l cita - asta e plagiat