ご存知のように、Paillier暗号システムでは、メッセージmの暗号化cはc = g ^ mr ^ n mod n^2として計算されます。
さて、c、r、nを知っているので、g ^ m mod n ^ 2を導出できるかどうか疑問に思っていますか?
「modn^2」演算は有限体を構成していないようです。すべての要素がZ*_ {n^2}に対応する逆数を持っているわけではありません。したがって、適切な(r ^ n)^-1を見つけてg ^ m = g ^ mr ^ n(r ^ n)^-1 mod n^2を取得することは必ずしも不可能ではないようです。
もしそうなら、(r ^ n)^-1が常に見つかるように、rの使用を見つけたり制限したりできますか?