O posibilitate este să alegem¹ un mic întreg public $r>1$ cu $r^{(q-1)/2}\equiv-1\pmod q$, și să asigure² $n$ în Pailler este cel puţin $2q-1$. Acum $x\mapsto r^x\bmod q$ este o bijecție pe $[1,q)$.
Alice alege $\widetilde{\mathsf{aliceSK}}$ uniform la întâmplare în $[1,q)$ și derivă $\mathsf{aliceSK}=r^{\widetilde{\mathsf{aliceSK}}}\bmod q$. Ea Pailler-criptează $\widetilde{\mathsf{aliceSK}}$.
Același lucru pentru Bob.
Într-o oarecare măsură, textele cifrate Pailler devin combinate cu Pailler (adică multiplicate modulo $n^2$ Unde $n$ este modulul Pailler public) și Pailler-descifrat la $d=\widetilde{\mathsf{aliceSK}}+\widetilde{\mathsf{bobSK}}$
Și din asta se poate obține
$$\mathsf{aliceSK}\times\mathsf{bobSK}\bmod q=r^d\bmod q$$
Cu 256 de biți și chiar 384 de biți $q$, este destul de ușor de găsit $\widetilde{\mathsf{aliceSK}}$ din $\mathsf{aliceSK}$. Astfel, acea tehnică poate fi folosită și după $\mathsf{aliceSK}$ a fost desenat în modul standard.
Nu am văzut niciodată asta propusă, dar este atât de simplu încât mă îndoiesc că este nou.
¹ Încercare și eroare cu $r$ primele numere prime vor găsi una rapid într-o medie de două încercări.
² Asta va fi valabil pentru comun $q$ în ECDSA, care de obicei este de câteva sute de biți și obișnuit $n$ pentru Paillier sigur, care de obicei este în mii de biți.
