Mathefrager,
zunächst erinnere ich kurz an den
Ablauf des ElGamal-Verfahrens (Quelle: meine
Klausurzusammenfassung), um u.a. aufzuzeigen, auf welcher
Grundlage meine
Argumentation fußt.
Eine
"Schwachstelle" kann tatsächlich in der
Wahl des Exponenten b liegen. Seien $$m,m'$$ zwei
verschiedene Nachrichten. Wählen wir dasselbe b, dann gilt: $$c=A^b\cdot m\mod p$$ $$c'=A^b\cdot m'\mod p$$ $$\Longrightarrow c\cdot c^{-1}=A^b\cdot m'\cdot (A^b)^{-1}\cdot m^{-1}=m'\cdot m^{-1}\cdot \underbrace{A^b\cdot (A^b)^{-1}}_{=1}$$$$\Longrightarrow c'\cdot c^{-1}=m' \cdot m^{-1}$$ $$\Longrightarrow c'\cdot c\cdot m = m'$$ Wenn man
das Paar (c,m), also den
verschlüsselten und
entschlüsselten Text kennt, dann kann man zu
c' bei
gleichem b den
Klartex m' sehr leicht berechnen, nämlich durch: $$c'=c^{-1}\cdot m^{-1}\cdot m'$$ Voraussetzung dafür ist natürlich, dass
A gleich bleibt. Wenn Du
Rückfragen hast, kannst Du Dich
gerne wieder melden!
André, savest8