1

据我所知,在 Paillier 密码系统中,消息 m 的加密 c 计算为 c=g^mr^n mod n^2

现在,我想知道如果我知道 c、r 和 n,我是否可以推导出 g^m mod n^2?

似乎“mod n^2”操作不构成有限域。并非每个元素在 Z*_{n^2} 中都有相应的乘法逆元。因此,似乎并不总是不可能找到一个合适的 (r^n)^-1 来得到 g^m=g^mr^n (r^n)^-1 mod n^2

如果是这样,我们是否可以找到或限制使用 r 以便始终可以找到 (r^n)^-1 ?

4

0 回答 0