Paillier私有$\mu$和$\lambda$

Question

Paillier CryptoSystem有一个公钥(g,n)和私钥，它可以被\lambda独占，其中解密方案是：

m = L(c^\lambda \bmod n^2)/L(g^\lambda \bmod n^2) \bmod n

由于1/L(g^\lambda \bmod n^2)是固定的，并且总是需要解密，所以通常计算一次，并表示为\mu。

What信息是 \mu关于 \lambda**吗？因为最终，即使我有** \mu**，我也无法解密。也就是说，我可以从\mu**获得**D9<#><#>吗？**

关于\mu构造方式的一个附带说明，我认为这证明了假设的正确性：

因此，由于不可能得到给定的\begin{align} g &= (1+n)^\alpha \cdot \mathcal{B}^n \pmod{n^2} & & \text{$g$ in the $n^{\text{th}}$ root form} \\ g^\lambda &= (1+n)^{\alpha\lambda} \cdot \mathcal{B}^{n\lambda} \pmod{n^2} & &\text{so base on carmichael's theorem} \\ g^\lambda &= (1+n)^{\alpha\lambda} \pmod{n^2} & & \text{again, based on $n^{\text{th}}$ root rule}\\ g^\lambda &= 1+n\alpha\lambda \pmod{n^2}& & \\ L(g^\lambda) &= \alpha\lambda \pmod{n^2}& &\\ \mu &= 1/\alpha\lambda \pmod{n^2} & \end{align}，加密方案本身的主要复杂性，以及最后一个方程是两个变量的函数，因此无法找到这两个变量。

Answer 1

\mu泄露了什么关于\lambda的信息？

安全的假设是：all。必须假定，\mu的知识以及公钥允许计算\lambda (这允许对n进行解密和分解)。

至少，正如Jonathan和Yehuda的现代密码学概论 (第13.2.2节)所描述的那样，这在Paillier的计划中是成立的。在这里，我们有大小相等的p和q，g=n+1，\lambda=(p-1)(q-1)和\mu=\lambda^{-1}\bmod n。因此，\lambda=\mu^{-1}\bmod n允许从\mu和n中计算\lambda (例如使用扩展欧氏算法，这是很便宜的)。

虽然这不能像问题中那样，立即告诉我们如何从\lambda和\mu和n中计算\mu，但这足以说明我们不能安全地揭示D21。