Chúng ta có cần xem xét tràn trong mã hóa paillier không?

Phép nhân đồng hình của các bản rõ trong hệ thống mật mã Paillier có thể được được xây dựng như sau: Dsk(E(x1)^x2 mod N^2) = x1x2 mod N . Vậy sau khi giải mã ta được kết quả là phép nhân x1x2. Câu hỏi của tôi là, chúng ta có cần phải suy nghĩ về tình huống : x1*x2>N dẫn đến tràn không? Hay do tham số N khá lớn (thường là 1024 bit thậm chí 2048 bit) nên trong hầu hết các tình huống sử dụng chúng ta mặc định không phải xét đến vấn đề này?

Vâng, thường cần phải xem xét các lỗi tràn trong mã hóa Paillier. Lý do rất đơn giản: mặc dù trong hầu hết các trường hợp, các giá trị giả sử quá nhỏ để gây ra bất kỳ sự cố tràn nào, điều gì ngăn cản người dùng ác ý gây ra tràn để gian lận?

Nếu không có một kịch bản cụ thể, khó có thể chính xác hơn, nhưng có nhiều tình huống nếu không làm gì cả, kẻ gian lận có thể (bằng cách buộc xảy ra tràn, bằng cách sử dụng các giá trị rất lớn với Paillier) tạo ra lỗi trong hệ thống, hãy tìm hiểu thông tin cá nhân, hoặc thành công ở điều gì đó mà lẽ ra họ không được phép thành công.

Đây là một ví dụ: trong tờ giấy này, Yehuda Lindell phát triển giao thức hai bên để ký ECDSA. Quá trình ký về cơ bản được thực hiện đồng hình và tương tác, bên trong bản mã Paillier. Sau đó, nếu không có gì được thực hiện để ngăn tràn, bảo mật sẽ bị phá vỡ; để ngăn chặn điều này, bài báo sử dụng bằng chứng phạm vi: bằng chứng không kiến ​​thức để đảm bảo rằng giá trị được mã hóa không đủ lớn để gây tràn.