29、白盒设计的增强编码

白盒设计的增强编码

1. 高阶剩余与高阶剩余性问题

• 高阶剩余定义 ：对于奇数 $n$，若 $m \in Z_n^ $，且存在 $x \in Z_n^ $ 使得 $x^d \equiv m \mod n$，则称 $m$ 是模 $n$ 的 $d$ - 剩余；若不存在这样的 $x$，则称 $m$ 是模 $n$ 的 $d$ - 非剩余。
• 高阶剩余性问题 ：给定奇数合数 $n$ 和 $m \in Z_n^*$，判断 $m$ 是模 $n$ 的 $d$ - 剩余还是 $d$ - 非剩余。若已知 $n$ 的因式分解，则该问题容易解决。

2. 原始 Benaloh 密码系统

Benaloh 密码系统是 Goldwasser - Micali 密码系统的扩展，前者安全性依赖于高阶剩余性问题（HRP），后者依赖于二次剩余性问题（QRP）。GM 密码系统逐位加密，而 Benaloh 改进后可一次加密多位。两者都是概率密码系统，相同密钥下多次加密同一消息会得到不同密文。
- 密钥生成 ：
1. 选择块大小 $r$ 和两个大素数 $p$、$q$，满足 $r | (p - 1)$，$\gcd(r, (p - 1)/r) = 1$，$\gcd(r, q - 1) = 1$。
2. 计算 $n = p \times q$ 和 $\varphi(n) = (p - 1)(q - 1)$。
3. 选择 $y \in Z_n^ $，使得对于 $r$ 的任意素因子 $r_i$，$y^