Threshold RSA 或 Threshold Paillier 中的驗證

在 RSA 的門檻值版本或 Paillier 密碼系統的門檻值版本的密鑰生成中（例如“Shoup - 2000 - Practical threshold signatures”或“Fouque 等人 - 2000 - 在投票或彩票的上下文中共享解密”）正方形 在 $ v $ 在從∗ñ $ \mathbb{Z}N^* $ (從∗ñ2 $ \mathbb{Z}{N^2}^* $ 分別）用於驗證私鑰共享。對於私鑰共享s一世 $ s_i $ 公共驗證密鑰在一世 $ v_i $ 那麼是在一世=在s一世 $ v_i = v^{s_i} $ ， 在哪裡在 $ v $ 是平方循環子群中的一個元素從∗ñ $ \mathbb{Z}_N^* $ .

我的問題是，為什麼在 $ v $ 必須是正方形？

這是為了確保在 $ v $ 在循環子群中G $ G $ 的從∗ñ $ Z_N^* $ 有足夠大的訂單米=p′⋅q′ $ m=p’\cdot q’ $ . 而且，大機率在 $ v $ 是一個生成器G $ G $ ， 以便在一世=在s一世 $ v_i=v^{s_i} $ 是來自的一對一映射s一世 $ s_i $ 至在一世 $ v_i $ ，這在證明股份的正確性時很重要。

引用自：https://crypto.stackexchange.com/questions/60571