為什麼在DSA中，子組的順序，qqq, 被選擇使得它劃分p-1p−1p - 1?

考慮DSA 密鑰生成：

1. 一個大素數 $ p $ 被選中；
2. 較小的模量 $ q $ 選擇使得 $ p - 1 $ 是的倍數 $ q $ ;
3. 發電機 $ g $ 英石 $ \operatorname{ord}_p(g) = q $ 被選中。

我的問題是——為什麼我們需要這樣做 $ p - 1 $ 是的倍數 $ q $ ? 我缺少任何基礎數學嗎？謝謝。

正如評論中指出 的那樣，原因 $ q $ 不得不分開 $ p-1 $ 是拉格朗日定理：

拉格朗日定理

$$ … $$, 表明對於任何有限群 $ G $ , 每個子群的階數（元素數） $ H $ 的 $ G $ 劃分順序 $ G $ .

在 DSA 的情況下，我們在以下子組中工作 $ \mathbb F_p $ （有秩序 $ p-1 $ ）。根據拉格朗日定理，每個子群都必須有一個階 $ q $ 這樣 $ q $ 劃分 $ p-1 $ .

引用自：https://crypto.stackexchange.com/questions/31225