如何在libgcrypt中安全使用Elgamal加密？

Question

libgcrypt的Elgamal加密实现有多安全(它与教科书Elgamal有多大的不同)，我如何调整填充和其他预处理操作？

例如，我知道我可以在function gcry_pk_encrypt中使用这个S表达式：

(data
  (flags pkcs1)
  (value BLOCK))

我可以用oaep或pss代替"pkcs1“。但我对Elgamal用了什么？我可以用Elgamal加密和解密

(data
  (value BLOCK))

但是，我不知道是否使用了原始Elgamal，或者它是否实际上是DHAES或一些填充-Elgamal变体。

在libgcrypt中使用Elgamal的正确方法是什么，我可以传递哪些选项？还是改用RSA更好呢？

编辑:我想我想问的是“Elgamal在libgcrypt中实现的目的是什么？”

Answer 1

我看了世界上最短的代码，所以请不要让我接受这些。但实施似乎是一本教科书。如果提供一个数据块，它将被编码为1，.，p-1范围内的整数，然后使用标准Elgamal加密，无需填充。

对于二次残差的子群似乎没有**编码，这种实现是/ not / CCA的。如果你加密一个大的随机密钥，这些可能不会杀死你，但它们绝对不是正确的加密方法。

与其对Elgamal进行黑客攻击，不如用RSA-OAEP加密。

从长远来看，libgcrypt应该为Elgamal加密实现一个安全的KEM/DEM。DHAES将是一个很好的例子。或者，作者应该给出一个适当的(非教科书) Elgamal实现，并提供一组编码和对自适应选择的密文攻击的保护。

(Elgamal似乎是被遗忘的原始人。墓穴也有同样的问题。没有人喜欢Elgamal，这太糟糕了，因为这是一个很棒的加密方案。)

**脚注:我没有深入研究编码功能(如下)，所以我承认我可能在这一点上错了。但我看不出有什么明显的。下面是代码：

init_encoding_ctx (&ctx，PUBKEY_OP_ENCRYPT，gcry_pk_get_nbits (s_pkey))；rc = sexp_data_to_mpi (s_data，&data，&ctx)；