生成器 G 要求是 Diffie Hellman 算法中模 p 的原根

Question

经过搜索，我发现自己对 Diffie Hellman 算法中 P 和 G 的使用感到困惑。要求 P 是素数，G 是 P 的原根。

我知道安全性是基于对两个非常大的素数的结果进行因式分解的难度，所以我对此没有任何问题。然而，关于 G 成为 P 的原根的目的似乎很少有可用的信息。任何人都可以回答为什么存在这个要求（如果可能的话提供参考文献）？它只是增加安全性吗？鉴于显然可以使用 p 和 g 的任何组合（甚至不是质数的组合）来创建共享密钥，我觉得这很有趣。肯定只是为了安全吧？如果是这样，它是如何增加的？

预先感谢

丹尼尔

Answer 1

如果g不是p的原根，则g只会生成GF_p。这会对系统的安全属性产生影响：系统的安全性只会与 GF_p 中的 g 阶数成正比与 GF_p 的全阶成正比。

举一个小例子：选择p=13 和g=3。

GF_13 中 3 的阶数为 3（3^1=3、3^2=9、3^3=1）。

按照 Diffie-Hellman 的常规步骤，Alice 和 Bob 应该分别选择 1 和 p-1 之间的整数 a、b 并计算 resp。 A = g^a 和 B = g^b >。为了暴力破解，攻击者应该尝试尝试 1 到 p-1 之间的所有可能的 a（或 b）值，直到找到产生A（或B）的值。但由于g不是模p的原根，他只需要尝试值1、2和3就可以找到解决方案a'A = g^a'。秘密是s = g^ab = (g^a)^b =(g^a')^b = g^a'b< /strong> = (g^b)^a' = B^a',攻击者现在可以计算出。

Answer 2

不要求用于 Diffie-Hellman 的生成器 g 是原根，这甚至不是常见的选择。更流行的是选择 g 使其生成素数阶子群。即g的阶是一个素数q，它是p-1的一个大素因数。

例如，为 IKE 提议的 Diffie-Hellman 组已被选择，使得 p 是安全的prime 和 g 生成 (p-1)/2 阶子群。

选择 g 作为大素数阶子群的生成器的一个动机是，这允许使
决策性 Diffie-Hellman 假设。如果 g 是原根，则该假设不成立，这使得对所实现的协议的分析变得更加困难。

Answer 3

Diffie-Hellman 的安全性并非基于分解的难度。它基于计算一般离散对数的（假设）难度。

g 必须是 p 的原根，算法才正确且可用。它确保对于每个数字 0 <= x < p，有一个独特的值 g^x mod p。也就是说，它确保g可以“生成”有限域中的每个值。