ElGamal加密算法

在密码学中，ElGamal加密算法是一个基于迪菲-赫尔曼密钥交换的非对称加密算法。它在1985年由塔希尔·盖莫尔提出。^[1]GnuPG和PGP等很多密码学系统中都应用到了ElGamal算法。

ElGamal加密算法可以定义在任何循环群${\displaystyle G}$上。它的安全性取决于${\displaystyle G}$上的离散对数难题。

ElGamal加密算法由三部分组成：密钥生成、加密和解密。

密钥生成的步骤如下：

• Alice利用生成元${\displaystyle g}$产生一个${\displaystyle q}$阶循环群${\displaystyle G}$的有效描述。该循环群需要满足一定的安全性质。
• Alice从${\displaystyle \{1,\dots ,q-1\}}$中随机选择一个${\displaystyle x}$。
• Alice计算${\displaystyle h:=g^x}$。
• Alice公开${\displaystyle h}$以及${\displaystyle G,q,g}$的描述作为其公钥，并保留${\displaystyle x}$作为其私钥。私钥必须保密。

使用Alice的公钥${\displaystyle (G,q,g,h)}$向她加密一条消息${\displaystyle m}$的加密算法工作方式如下：

• Bob从${\displaystyle \{1,\dots ,q-1\}}$随机选择一个${\displaystyle y}$，然后计算${\displaystyle c_1:=g^y}$。
• Bob计算共享秘密${\displaystyle s:=h^y}$。
• Bob把他要发送的秘密消息${\displaystyle m}$映射为${\displaystyle G}$上的一个元素${\displaystyle m^{\prime }}$。
• Bob计算${\displaystyle c_2:=m^{\prime }\cdot s}$。
• Bob将密文${\displaystyle (c_1,c_2)=(g^y,m^{\prime }\cdot h^y)=(g^y,m^{\prime }\cdot (g^x{)}^y)}$发送给Alice。

值得注意的是，如果一个人知道了${\displaystyle m^{\prime }}$，那么它很容易就能知道${\displaystyle h^y}$的值。因此对每一条信息都产生一个新的${\displaystyle y}$可以提高安全性。所以${\displaystyle y}$也被称作Template:Link-en。

利用私钥${\displaystyle x}$对密文${\displaystyle (c_1,c_2)}$进行解密的算法工作方式如下：

• Alice计算共享秘密${\displaystyle s:=c_1{}^x}$
• 然后计算${\displaystyle m^{\prime }:=c_2\cdot s^{-1}}$，并将其映射回明文${\displaystyle m}$，其中${\displaystyle s^{-1}}$是${\displaystyle s}$在群${\displaystyle G}$上的逆元。（例如：如果${\displaystyle G}$是整数模n乘法群的一个子群，那么逆元就是模逆元）。

解密算法是能够正确解密出明文的，因为

${\displaystyle c_2\cdot s^{-1}=m^{\prime }\cdot h^y\cdot (g^{xy}{)}^{-1}=m^{\prime }\cdot g^{xy}\cdot g^{-xy}=m^{\prime }.}$

ElGamal加密系统通常应用在Template:Link-en中。例如：用对称加密体制来加密消息，然后利用ElGamal加密算法传递密钥。这是因为在同等安全等级下，ElGamal加密算法作为一种非对称密码学系统，通常比对称加密体制要慢。对称加密算法的密钥和要传递的消息相比通常要短得多，所以相比之下使用ElGamal加密密钥然后用对称加密来加密任意长度的消息，这样要更快一些。

Template:密碼學