、 ELGamal公钥密码 ()安全性 如果k不是一次性的,时间长了就可能被击 着获得。又因是公开密钥,政击者自然知道。 是项击者就可以根据U=ykm0dp计算出U 进而利用EC1id算法求出U1。又因为攻击者可 以获得密文C2,于是可根据式2=Mm0dp通 过计算C2得到明文M 设用同一个k加密两个不同的明文M和M,相应 的密文为(G1,C2)和(C',C2)。因为 C2=M/M,如果功击者知道M,则很容易 求出M。二、 ELGamal ELGamal公钥密码 ⑷ 安全性 • 如果 k不是一次性的，时间长了就可能被攻击 时间长了就可能被攻击 着获得。又因y是公开密钥，攻击者自然知道 攻击者自然知道。 于是攻击者就可以根据 于是攻击者就可以根据U＝y k mod p计算出U， 进而利用Euclid算法求出U－1。又因为攻击者可 又因为攻击者可 以获得密文C2，于是可根据式C2＝UM mod p通 过计算U－1 C2得到明文M。 • 设用同一个k加密两个不同的明文 加密两个不同的明文M和M’，相应 的密文为（ C1 ， C2）和（ C1’， C2’）。因为 C2∕C2’＝ M∕M’，如果攻击者知道 如果攻击者知道M，则很容易 求出M’