選擇 x from 時的區別Zp−1Zp−1mathbb{Z}_{p-1}和ZpZpmathbb{Z}_p在離散對數問題?
閱讀“數字簽名和盲簽名的安全參數”論文,我被一些問題弄糊塗了。
- Q1。當它提到“El Gamal 簽名方案”時,
密鑰生成算法:它選擇一個隨機的大素數 $ p $ , 長度 $ n $ 多項式 $ k $ , 和一個生成器 $ g $ 的 $ (\mathbb{Z}/p\mathbb{Z})^* $ , 都是公開的。然後,對於隨機密鑰 $ x \in \mathbb{Z}/(p − 1)\mathbb{Z} $ , 它計算公鑰 $ y = gx \mod p $
為什麼 $ x $ 從組中選擇 $ \mathbb{Z}_{p-1} $ ,但不是 $ \mathbb{Z}_p $ ? 有什麼區別?
$ \mathbb{Z}_p=\mathbb{Z}/p\mathbb{Z} $ 表示一個有限域,它只是整數模素數 $ p $ , IE, $ {0,1,\ldots,p-1} $ . 這個域(根據域的定義)有兩個操作:加法和乘法,其中乘法群(記為 $ \mathbb{Z}p^* $ ) 僅在非零元素上定義 $ {1,2,\ldots,p-1} $ . 那麼,由於 $ g $ 是大小乘法群的生成器 $ p-1 $ , 指數 $ x $ 應該從 $ \mathbb{Z}{p-1}={0,1,\ldots,p-2} $ (順便說一句,它不是有限域)。
因為 $ \mathbb{Z}/{p\mathbb{Z}} $ 當用於 El-Gamal 時,以乘法形式使用:我們有一個生成器 $ g $ 這樣所有的權力 $ g $ 繞圈穿過 $ {1,2,\ldots,p-1} $ (所以 $ 0 $ 被排除在外)並且作為 $ g^{p-1} =1 \pmod{p} $ 根據費馬小定理,冪 $ x $ 我們用於生成器,我們在 DL 方案中用作私鑰,本質上取值 $ {0,\ldots,p-2} $ (作為 $ x=0 $ 和 $ x=p-1 $ 兩者都有 $ g^x=1 $ ), IE $ g^x = g^{x’} \pmod{p} $ 當且當 $ x = x’\pmod{p-1} $ . 因此,我們有 $ p-1 $ 選擇 $ x $ .