我正在开发一个互联网选举系统,该系统需要对选票进行洗牌,并附上洗牌合法性的交互式证明。我正在研究这篇论文(https://www.microsoft.com/en-us/research/publication/simple-verifiable-elections/),我被困在下面概述的部分:
通过释放单个值 (r'-r'')mod(p-1),可以证明两个 ElGamal 对 (x',y') 和 (x'',y'') 具有相同的解密,而无需与原始 ElGamal 对 (x,y) 的任何链接或关联
我设法获得了上面概述的值 (r'-r'')mod(p-1) 但我不确定如何使用该值来证明两个重新加密具有相同的解密。
谢谢你的时间,
安德烈。