寻找 elgamal 的生成器

Question

如何找到 elgamal 签名方案的生成器？大多数程序使用的值是否是良好的生成器？或者有没有一种方法可以找到质数生成器？如果是这样，怎么办？说质数至少有 1 个生成元是真的吗？

Answer 1

使用 DSA 代替 ElGamal 签名方案。

实施 ElGamal 时可能会犯太多错误。这些错误之一就是 GregS 提出的建议：使用 IKE 参数。这些参数是为 ElGamal 加密生成的，而不是为签名方案生成的。这两个方案有不同的要求。特别是使用 g=2 作为生成器对于加密来说是一个不错的选择，但对于签名方案来说却是一个非常糟糕的选择。 （参见《应用密码学手册》http://www.cacr.math.uwaterloo .ca/hac/ 请参阅第 11 章中的 11.67 了解一些详细信息）。正确的是随机选择生成器。但再次强调，如果您只使用 DSA，那么您可以通过遵循标准来避免这些陷阱。

只是添加一点：OpenPGP https://www.rfc-editor.org/rfc/ rfc4880 曾经允许 ElGamal 签名，但不久前已弃用它们。这种弃用是相当合理的，因为 DSA 只有优点：它更高效、更安全和标准化。当然，您可以查看旧的 PGP 实现，但如果不先阅读文献，它不会告诉您这些实现是否为您提供了合理的选择。

Answer 2

如何找到 elgamal 签名方案的生成器？
大多数程序使用的值是否是良好的生成器？
或者有没有一种方法可以找到质数生成器？如果是这样，怎么办？

您可以使用应用密码学手册中的通用概率算法 4.86。不过，您仍然需要从此类算法的输出中清除已知对 Elgamal 签名不安全的值。至少可以整除 p-1 的任何值（例如 2）以及其倒数可以整除 p-1 的任何值。请注意，这些是我今天所了解的情况。可能需要对就此主题发表的论文进行一些深入研究。

就我个人而言，我不会信任现有程序中已使用的域参数。作者可能没有考虑上述所有条件，而且研究可能强调了自选择以来的新条件。

说质数至少有 1 个生成器是真的吗？

绝对正确：对于以 p 为模的整数（其中 p 是素数）的乘法群，总是至少有一个生成器。它实际上还有更多：phi(phi(p))，phi 是 totient 函数。但并非所有这些对于 Elgamal 签名方案都是安全的。

Answer 3

El Gamal 可以看作是 Diffie Hellman 算法的变体，后者的参数可以用于前者。例如，您可以使用 RFC 2409 中的 IKE 组 1 和 2，以及更大的 IKE组散布在其他 RFC 中。您还可以关注 FIPS 186 中的讨论生成 DSA 参数。另请参阅有关原根的讨论。

编辑：
正如 @abc 所指出的，这对于 el gamal 签名来说是错误的。请点击 DSA 链接 (FIPS 186)。