จะรู้ผลลัพธ์ที่แน่นอนในการคูณแบบคงที่ที่ถูกกว่าของ Paillier ได้อย่างไร

ฟังก์ชันการเข้ารหัส $E_{k^+}: Z_n \rightarrow Z_{n^2}$.
ฟังก์ชั่นการถอดรหัส $D_{k^-}: Z_{n^2} \rightarrow Z_n$.
$m_1 = 42, k = 15, n=77$.
หลังจากการเข้ารหัส การยกกำลัง และถอดรหัส ฉันได้รับ: $$D_{k^-}((E_{k^+}(m_1))^k) \equiv 14 \bmod 77$$ ชั้นของสารตกค้างของ $14$ เป็นรูปแบบ: $$\langle 14 \rangle = \{\alpha \in Z: 14 + \alpha*77\}$$ และหนึ่งในค่าเหล่านี้คือ $630 = 14 + 8*77 \equiv 630 \bmod 5929 \equiv 42*15 \bmod 77$
ดังนั้น คำถามคือ หลังจากที่ฉันถอดรหัสและได้รับ $14$ ฉันจะอนุมานจากค่านี้ได้อย่างไรว่าค่าที่แท้จริงของ $\alpha$ ฉันกำลังค้นหาอยู่ $8$และจากการอนุมานนั้น $630$, มูลค่าที่แท้จริงของผลิตภัณฑ์?
สาเหตุ เท่าที่ฉันรู้ โมดูโลตัวเลขที่เป็นไปได้ทั้งหมด $5929$ ใน $\langle 14 \range$ อาจเป็นผลิตภัณฑ์ที่ถูกต้องถ้าฉันไม่รู้ $m_1$ และ $k$.

คุณกำลังจะบอกว่าถ้าผลคูณมากกว่าโมดูโล ผมก็จะไม่ได้ผลลัพธ์ที่แท้จริงอยู่ดี?

ใช่. Pailler คำนวณโมดูโล $n$ แม้ว่าจะมีการเข้ารหัสลับอยู่ก็ตาม $[0,n^2)$. ไม่ใช่เรื่องบังเอิญ $42\times15\equiv14\pmod{77}$. เพื่อให้ Pailler ปลอดภัย จำเป็นต้องมี $n$ หลายร้อยหลัก ดังนั้นนั่นจึงไม่ใช่ปัญหา