DSA：次贷是如何产生的？

Question

最近我对数字签名算法及其工作原理做了一些研究。我的问题对我来说没有实际意义，而是纯粹的兴趣。

然而，我很好奇如何在 DSA 中生成次质数：在生成算法参数的过程中，我们选择了 1024 位质数 p。下一步是找到 160 位素数 q，它是 p-1 的除数。这就是我被困住的地方。我不知道如何及时找到次级q，而不必永远等待。我还在互联网上找不到有关 DSA 特定部分的任何文档，并且我发现的所有示例实现都使用库函数来创建参数。

有谁对次贷一代有更多了解，或者可以带我到一个可以阅读相关内容的地方吗？

提前致谢。

Answer 1

正如 Zoredache 所建议的：为 DSA 创建素数对 p 和 q 的算法，可在 数字签名标准。

令L-1 = 160*n + b，其中b,n ∈ ℕ且0 ≤ b 160

1. 选择一个随机数种子> 2^⁶⁰。令g 为seed 的长度（以位为单位）。
2. U = sha(seed) XOR sha(seed+1 mod 2^g)（其中 sha 是安全哈希算法）
3. q = U OR 2¹⁵⁹ OR 1
4. 测试是否 < code>q 是质数，如果不是，则转到步骤 1。
5. counter = 0, offset = 2
6. For k = 0,...,n: V_k = sha((种子 + 偏移量 + k) mod 2^g)
7. W = V_0 + V_1 * 2^160 + ... + V_(n-1) * 2^((n-1) *160) + (V_n mod 2^b) * 2^(n*160)
8. X = W + 2^(L-1)
9. c = X mod 2*q
10. p = X - (c-1)
11. 如果 p 2^(L-1) 转到步骤 13。
12. 测试 p 是否为素数，如果是，则转到步骤 15。
13. counter = counter + 1, offset = offset + n + 1
14. 如果 counter >= 4096 则转到步骤 1，如果不是，则转到步骤 7。
15. 现在我们有 p 和 q > 这样q 是p-1 的除数。

我希望我没有弄错什么。我还没有完全理解所有内容，但主要技巧是从 q 中计算 p 而不是尝试相反的事情。

Answer 2

我个人对此了解不多，但我通过 OpenSSL 源 代码进行了快速 grep 并它提到联邦信息处理标准出版物 186 作为实施的文件基于。

Answer 3

说 q 除 p-1 与说 p ≡ 1 mod q 相同。

FIPS 方法本质上是移位并添加连续的散列输出以构建正确大小的伪随机块，然后减去余数，使得 p == 1 mod 2q ，最后测试素数。该过程中唯一“真实”的熵是随机种子。

另请注意，上面的旧FIPS-186是160位q的“硬编码”

如果你有足够的熵，你可以很容易地从一个好的源，将顶部和底部位设置为 1，减去 ((p mod q)-1) 然后测试其素数。

Answer 4

我认为这是不对的。如果你可以分解 p-1，那么你就可以轻松分解公钥，这真的很糟糕。

通常的密钥生成需要两个比特长度相等的大素数 p 和 q；他们的乘积 n=pq 成为密码系统的模数。 n 的总数计算为 phi(pq)=(p-1)(q-1)。然后选择两个密钥，加密密钥 e 和解密密钥 d，使得 de ≠ 1 (mod phi(pq)) 且 gcd(e, phi(pq)) = 1。E 必须是奇数，经常被选择为是质数以强制其与 totient 互质的条件，并且通常相当小； e=2^16+1=65537 是常见的。

我在我的博客中编写了 RSA 代码，包括密钥生成。