Schnorr grupp

En Schnorr-grupp , föreslagen av Claus P. Schnorr , är en stor prime-order undergrupp av ${\displaystyle \mathbb {Z} _{p}^{\times }}$ , den multiplikativa gruppen av heltal modulo ${\ displaystyle p}$ för vissa primtal ${\displaystyle p}$ . För att generera en sådan grupp, generera ${\displaystyle p}$ , ${\displaystyle q}$ , ${\displaystyle r}$ så att

${\displaystyle p=qr+1}$

med ${\displaystyle p}$ , ${\displaystyle q}$ primtal. Välj sedan valfri ${\displaystyle h}$ i intervallet ${\displaystyle 1<h<p}$ tills du hittar en sådan som

${\displaystyle h^{r}\not \equiv 1\;({\text{mod}}\;p)}$ .

Detta värde

${\displaystyle g=h^{r}{\text{ mod }}p}$

är en generator av en undergrupp av ${\displaystyle \mathbb {Z} _{p}^{\times }}$ av ordningen ${\displaystyle q}$ .

Schnorr-grupper är användbara i diskreta loggbaserade kryptosystem inklusive Schnorr -signaturer och DSA . I sådana applikationer väljs typiskt ${\displaystyle p} för att vara tillräckligt stor för att motstå$ indexkalkyl och relaterade metoder för att lösa problemet med diskret logg (kanske 1024 till 3072 bitar), medan ${\displaystyle q}$ är tillräckligt stor för att motstå födelsedagsattacken på diskreta loggproblem, som fungerar i vilken grupp som helst (kanske 160 till 256 bitar). Eftersom Schnorr-gruppen är av högsta ordning, har den inga icke-triviala riktiga undergrupper, vilket motverkar instängningsattacker på grund av små undergrupper. Implementering av protokoll som använder Schnorr-grupper måste vid behov verifiera att heltal som tillhandahålls av andra parter faktiskt är medlemmar i Schnorr-gruppen; ${\displaystyle x}$ är medlem i gruppen om ${\displaystyle 0<x<p}$ och ${\displaystyle x^{q}\equiv 1\;({ \text{mod }}p)}$ . Alla medlemmar i gruppen utom element ${\displaystyle 1}$ är också en generator av gruppen.