給定生成器GGg以主順序ķķk在模P反對磷bmod P.是否增加磷=2⋅c⋅k+1磷=2⋅C⋅ķ+1P = 2 cdot c cdot k +1降低安全性?增加GGg增加安全性?
對手想要找到 $ a $ 在
$$ m \equiv g^a \bmod P $$
他知道素數 $ P = 2 \cdot c \cdot k +1 $ 用它的素數 $ c,k $ , 價值 $ m $ 和 $ g $ . 而且他也知道 $ g $ 只有一個訂單 $ k $ , 所以: $$ g^k \equiv 1 \bmod P $$
問題:
如果現在是質數 $ P $ 不斷增加 $ k $ (順序 $ g $ 仍然 $ k $ 唯一因素 $ c $ 增加)這會降低安全性嗎?
為什麼這個?如果 $ P \rightarrow \infty $ 與離散版本相比,這將是易於計算的正常對數。
越小越好(同樣 $ k $ )? 最佳安全性的邊界?
離散對數很難,因為它總是減少為從 $ 0 $ 至 $ P-1 $ .
安全性是否與生成器的乘法次數有關 $ g $ 需要直到結束 $ P $ 再次?越少越好嗎?
問題第 2 部分:
將是一個更高的價值 $ g $ 增加安全性?(最好是 $ (P-1)/2 $ ?)
或者更確定的是更高的最小組元素 $ \not=1 $ 增加安全性?
如果現在是質數 $ P $ 不斷增加 $ k $ (順序 $ g $ 仍然 $ k $ ) 這會降低安全性嗎?
不,隨機選擇 $ g $ 之中 $ g $ 具有大常數階 $ k $ .
為什麼這個?如果 $ P \rightarrow \infty $ 這將是正常的對數..
什麼時候 $ P $ 成長, $ g $ 也增長。所以我們永遠不會達到門檻 $ g^a<P $ . 因此我們不能使用正規對數。
越小越好(同樣 $ k $ )?
呃,不,相反!上面說大 $ P $ 不會降低安全性。相應地,更大 $ P $ 傾向於增加安全性。然而,非常大 $ P $ 並沒有增加多少安全性,因為我們擁有的最知名的算法用於固定的離散對數 $ k $ 和大 $ P $ 執行多個模乘模 $ P $ 這是一個函式¹ $ k $ 只有,以及乘法模所需的時間 $ P $ 增長相對緩慢 $ P $ : 按照…的順序 $ O(\log^2 P) $ 對於最簡單和常用的方法²。
最佳安全性的邊界?
只有一個較低的邊界,這是一個不平凡的主題。簡短的回答可能是:至少 $ 2^{4095} $ (那是 $ P $ 的 $ 2^{12} $ 位)與 $ P $ 沒有選擇接近整數的冪。
長答案包括針對經典電腦(不是根據例如Shor 算法可用於密碼分析的假設量子電腦)的安全性被認為受到幾種可能的攻擊的限制:
- 數域篩,其效率主要由 $ P $ , 以及通用數域篩的一般形式(唯一可能適用於 $ P $ 沒有選擇接近整數的冪,特殊數字域篩選器發光的情況)被認為需要 $ P $ 至少按順序 $ 2^{11} $ 至 $ 2^{13} $ 位安全。
- Pollard 的 rho,其效率主要由 $ k $ ,需要一個 $ k $ 至少按順序 $ 2^8 $ 至 $ 2^9 $ 位安全。
- Pohlig–Hellman(可能還有其他算法)取決於因式分解 $ k $ , 效果不如 Pollard 的 rho $ k $ 是素數。
將是一個更高的價值 $ g $ 增加安全性?
不多。的影響 $ g $ 對於上述三種算法,通常忽略安全性。我懷疑它可以超過 $ \mathcal O(\log g) $ (可以在Baby-step/Giant-step中接近)。還有,我不知道怎麼選一個很小的 $ g $ 有訂單 $ k $ 和 $ \log_2(k)\ll\log_2(P) $ , 素數少得多 $ k $ ,出於各種原因,包括阻止 Pohlig-Hellman,這是可取的。
或者更確定的是更高的最小組元素 $ \ne 1 $ 增加安全性?
不是我們知道的。我也不知道如何確保大參數。
我們正在討論的是一個Schnorr 組。有一些成熟的方法可以生成這些,包括從公共種子中生成這些,以便馴服對弱參數的懷疑。請參閱FIPS 186-4,附錄 A(它使用 $ p,q $ 問題和答案在哪裡使用 $ P,k $ ).
¹該功能至多是關於 $ \alpha k^2 $ 對於一個常數 $ \alpha $ 按照…的順序 $ 2 $ 取決於各種細節。但這對於本註釋段落中的推理無關緊要。
² 成本可以降到 $ O(\log^{1.585\ldots}P) $ 與有時使用的Karatsuba ; $ O(\log P;\log\log P;\log\log\log P) $ 與Schönhage-Strassen合作,這可能對瘋狂的大公司感興趣 $ P $ , 和 $ O(\log P;\log\log P) $ 與Harvey-Hoeven(一個似乎不太可能有實際應用的前沿結果)。