安全素數和子群

我一直在閱讀有關安全素數及其在Niels Ferguson、Bruce Schneier 和 Tadayoshi Kohno 的Cryptography Engineering中的使用。

有一個安全的素數 $ q $ 和 $ q=2p+1 $ 在哪裡 $ p $ 是索菲日耳曼素數

他們聲稱子群的元素 $ p $ 是優選使用的元素。為什麼？

為什麼不是裡面的元素 $ 2p $ ?

密鑰交換所基於的決策 Diffie-Hellman假設不成立 $ \mathbb{Z}_q^* $ . 原因是Jacobi 符號“洩露”了有關共享密鑰的資訊。因此，一個，相反，與子組一起工作 $ \mathbb{Z}_q^* $ 有秩序的 $ p $ ，這是通過“引用”這些資訊直覺地獲得的。（該組有時稱為Schnorr 組。）您可以在此處閱讀有關 DDH 不成立的原因的詳細資訊（練習 2）。

引用自：https://crypto.stackexchange.com/questions/83511