Bằng chứng kiến ​​​​thức không về mã hóa ElGamal chính xác

Giả sử cho $sk = x$, $pk = g^x$ chúng tôi mã hóa tin nhắn $m$ với mã hóa ElGamal như $(g^r,m\cdot pk^r)$. Mục tiêu của tôi là chứng minh rằng tôi đã thực hiện mã hóa chính xác, tức là giống nhau $r$ được sử dụng trên $g^r$ và $m\cdot pk^r$.

tôi đã nghĩ ra một cách đơn giản $\Sigma$-protocol để hiển thị điều này như sau:

1. văn mẫu $q_1,q_2$, tính toán $R_1 = q_1\cdot pk^{q_2}$ và $R_2 = g^{q_2}$ và gửi $R_1, R_2$ cho Người xác minh.
2. Người xác minh gửi thử thách ngẫu nhiên $e$ để chứng minh.
3. Prover tính toán $z_1 = q_1 \cdot m^e$ và $z_2 = q_2 + e\cdot r$. gửi $z_1$ và $z_2$ để xác minh.
4. Người xác minh kiểm tra nếu $R_1 \cdot (m \cdot pk^r)^e= z_1 \cdot pk^{z_2}$ và $R_2 \cdot (g^r)^e = g^{z_2}$

Kiểm tra toán bằng bút và giấy nhưng tôi không chắc liệu mình có bỏ sót điều gì không? (câu hỏi này là phần tiếp theo của một câu hỏi liên quan cũ hơn của tôi: Bằng chứng về tính chính xác của mã hóa ElGamal được cung cấp một khóa chung cụ thể). Ví dụ, có một cơ hội mà $z_1$ trong thực tế có thể rò rỉ thông tin về tin nhắn $m$?

Bằng chứng không hoạt động (ngay cả khi bạn sửa nó bằng cách yêu cầu người chứng minh ban đầu gửi $R_1, R_2$, còn hơn là $q_1, q_2$, mà bạn có thể dự định); người nắm giữ khóa riêng có thể tạo ra bằng chứng hợp lệ, ngay cả khi bản mã không thực sự giải mã thành bản rõ.

Giả sử người chứng minh có khóa công khai $pk$ (và khóa riêng tương ứng); anh ấy có một tin nhắn $M'$ không liên quan đến bản mã $C$. Sau đó, đây là cách anh ta có thể tạo ra một 'bằng chứng':

• Bước 1, 2 tiến hành như quy định

• Ở bước 3, anh ta tính toán $z_2 = q_2 + e \cdot r$ (như được chỉ định), tuy nhiên anh ta tính toán $z_1 = R_1 \cdot C^e \cdot pk^{-z_2}$

• Ở bước 4, người xác minh sẽ lưu ý rằng cả hai mối quan hệ đều được giữ nguyên.

(Rằng người xác minh không bao giờ sử dụng giá trị của bản rõ được cho là bằng chứng được cho là đủ để cho thấy rằng có điều gì đó còn thiếu ở đây ...)