81、抗泄漏的ElGamal加密：原理、方法与应用

抗泄漏的ElGamal加密：原理、方法与应用

1. 背景与基础概念

在加密领域，侧信道攻击是一个不容忽视的安全威胁。一些限制条件虽然由“仅计算过程泄露信息”这一公理推导而来，但实际上它能涵盖更多不符合该公理的实际攻击。例如，攻击者可以通过指定泄漏函数，学习整个状态 $S$ 的线性函数 $f(S)$。

1.1 ElGamal加密算法

ElGamal加密方案在素数阶循环群 $G$ 上的工作流程如下：
- 密钥生成 ：公钥由群 $G$ 的生成元 $g$ 和 $X = g^x$ 组成，其中 $x \in Z_p$ 是私钥。
- 加密过程 ：密文 $C = g^r$，使用对称密钥 $K = X^r$ 对消息进行加密。
- 解密过程 ：通过计算 $K = C^x$ 重构密钥。

然而，ElGamal加密方案并非抗泄漏的。攻击者在第 $i$ 次解密查询时，可以指定一个泄漏函数，输出私钥 $x$ 的第 $i$ 位。经过 $q = |x|$ 次查询，就能重构整个私钥。这是因为其解密过程是无状态的。

为了使ElGamal方案具有抗泄漏性，我们尝试将解密过程变为有状态的，并将其分为两部分 $Dec1^ $ 和 $Dec2^ $。私钥 $x$ 被加法共享为 $x = \sigma_0 + \sigma’_0$，其中 $\sigma_0 = x - r_0$，$\sigma’_0 = x + r_0$。但这种方案仍然不具备抗泄漏性，因为攻击者可以自适应地获取 $\sigma_i = x + R_i$