Diffie-Hellman：推薦基本尺寸？

基於選擇素數 $ p $ 推薦長度和 $ N=2p+1 $ ， 在哪裡 $ N $ 也是素數，並且 $ a^2 $ 不符合 $ 1 \pmod N $ ， 和 $ a^p ≡ 1 \pmod N $ ，我相信你可以依靠 $ a $ 具有順序等於 $ p $ .

我的問題是，什麼尺寸適合 $ a $ ? 我問的原因是因為我聽說你想要足夠大的基礎，以便大多數功率可能性超過 $ N $ . 我正在尋找的是更正式的要求或提供的範例 $ p, N, a $ 使用目前的建議。

標準方法是使用 $ N \equiv 7 \pmod 8 $ 以便 $ a = 2 $ 有訂單 $ p $ 由於是二次餘數，例如在RFC 3526組中，由RFC 2412附錄 E中描述的確定性程序選擇。對有限域 Diffie-Hellman使用任何其他組引起了很多人的注意。

通常大小的均勻隨機指數小到可以通過實數對數計算恢復它們的機率可以忽略不計：即使對於 $ a = 2 $ 和 $ N \sim 2^{2048} $ , 256 位指數承認這次攻擊的機率約為 $ 2^{11}/2^{256} = 2^{-245} $ 這是“不會發生”的技術詞。

當然，無論如何，您應該只使用像 X25519 這樣的現代系統而不是有限域 DH！更快、更安全、更簡單。

引用自：https://crypto.stackexchange.com/questions/67673