Pohlig-Hellman 指數密碼的安全性？

我正在研究實現Pohlig-Hellman 指數密碼，我想知道該算法的安全性如何？我猜它的安全性與它使用的素數有很大關係。有沒有人有一些參考資料可能有助於確定應該使用的最小素數，以確保算法對於各種應用程序足夠安全？

您需要一個大的隨機素數模數，其中離散對數很難。閱讀有關如何選擇素數以使離散對數變得困難的資訊。還有，你想要 $ p-1 $ 盡可能少的小因素。因此，簡短的版本是，我建議你選擇一個大的隨機 2048 位素數 $ p $ 這樣 $ (p-1)/2 $ 是素數。

然而，Pohlig-Hellman 有一些嚴重的問題。與其他對稱密鑰密碼相比，它的性能非常差。此外，它沒有隨機化，因此其標準形式在語義上不是安全的（它不是 IND-CPA 安全的）。我不知道有誰在實踐中以標準形式使用 Pohlig-Hellman 密碼。它更多的是理論興趣而不是實際興趣。

你到底想用 Pohlig-Hellman 密碼做什麼？你的應用究竟是什麼？為什麼要使用 Pohlig-Hellman 密碼？可能有更好的解決方案。

引用自：https://crypto.stackexchange.com/questions/6554