C.2 基于離散對數的機制

C.2.1　使用768-bit 的p，128-bit的 q和RIPEMD-128的例子

C.2.1.1　參數選擇

此例使用一個768比特的素數p，一個128比特的素數q (p-1的一個素因子)，并以RIPEMD-128作為散列函數。
768比特的素數p：
p = d716599e b22836ac fb221d0a f4c66b16 e3dceaee a73a17fb aaa33c07 6cf3571f 54d89d49 38d7c311 e24b98f1 e510599d b53f7387 0d2acf2f 8fbf8267 c1df4fe3 2e8a04e4 14125c5f d6d8efd7 8c5f1563 4288cd6a 0caaf4cd 3cf44434 d7ea8134.
128比特的素數 q, (p – 1)[ P被選擇以便 q的拷貝被嵌入到p內。在存儲空間和/或通信帶寬非常珍貴的情形下，這種選擇p的方法是有用的。]的一個素因子:

Zp中階為q的元素:

C.2.1.2　密鑰選擇

實體A的128比特私有密鑰：

zA = f1d4e85a eff74310 53adcac0 a9c155ce.

實體A的786比特的公開驗證密鑰():

C.2.1.3　鑒別交換

步驟（1）：
實體A選擇一個隨機數r。
r = 868b4b13 017364b7 e7dda29e cda55473.
W = gr mod p
= 6ae62a6 d172be24 85830f5c c1524f4c a23172a8 c8691011 759f63d7 86b1a7d7 a6809f43 512f42c6 a6a444d6 a437f62f 02881f99 6e3638b0 93f6da41 cd4860e2 fb856e58 8af85ad852 c5f90648 915498bc d47fe84a 621c7bf3.
步驟（2）：
h(W) = f084606b 90de79de7902 2bb16d2f 31996976.
實體 A 發送 h (W) 給實體B (TokenAB1 = h(W)).
步驟（3）：
實體B隨機選擇整數d。（此例使用一個16比特的d。）
d=d47c
步驟（4）：
實體B發送詢問d給實體A。
步驟（5）：
實體A計算響應D=r-dzA mod q
D=1edee4bc 1667f13a 7cbf9d28 c5a356ea
步驟（6）：
實體A發送TokenAB2=D給實體B
步驟（7）：

(yA)d mod p = 6e6f703d ace31e6f 335f556b 42b24a6d 21771d60 2fa448be b74ae11d 3d63ff2f cecf2452 1417d470 04839f4a b15e91fa 72bbebfb 9b9c4b41 8c0c6a2d ef4a40e1 9a4a629c 32e63a0e fb03ec80 d55efeb8 173c6b26 58d28216 3be0ca6a 2d90cae6.

gD mod p = 8e249ba6 f0e2f8a 156c0851 –bf23a2f 3408b9c0 7ec733cc dcfe78cf ca3bf160 7217be06 ccd9abc5 a392c7e7 482307c 2e7c310a b26523a7 af58361c a685c3bb 1cd38f91 15479db1 cf38f7c8 852a4644 14cdc936 797e6883 7106bcb6 d1bbeaf1.

W’ = 6ae62a6 d172be24 85830f5c c1524f4c a23172a8 c8691011 759f63d7 86b1a7d7 a6809f43 512f2c6 a6a444d6 a437f62f 02881f99 6e3638b0 93f6da41 cd4860e2 fb856e58 1a2cafed 8af85e6c 856ad852 c5f90648 915498bc d47fe84a 621c7bf3.

C.2.2　使用1024-bit的 p，160-bit 的q和SHA-1的例子

C.2.2.1　 參數選擇

此例使用一個1024比特的素數p，一個160比特的素數q（p-1的一個素因子），和GB/T 18238-3的第9章中所說明的專用散列函數3（也即SHA-1）作為散列函數。
1024比特的素數p:
p = ea9b8f92 26d7b2f6 729122ef 53ce81e2 687acf40 a7db660e ba5e4daf cb0ebc3a ccb15c36 896f67f0 703e7c69 afc4c24b 221a8968 5cdcfb3e 086d8f95 702cbfc5 8e4170a2 e10df7b5 2bf8f015 c5a689ca 48df291b e796c443 f5e7ad19 8c159f0a ba9d962e 60d34840 77b5993e 48bbc3ed fef5f54c accde46e 69a3f1f6 1ae08af9.
160比特的素數q, (p – 1)[ P被選擇以便q的拷貝被嵌入到p內。在存儲空間和/或通信帶寬非常珍貴的情形下，這種選擇p的方法是有用的。]的一個素因子:
q= cb0ebc3a ccb15c36 896f67f0 703e7c69 afc4c24b
ZP中階為q的元素：

C.2.2.2　密鑰選擇

實體A的160比特的私有密鑰
zA = 87146299 068b4b13 017364b7 e7dda29e cda5547e.

yA = 819b36e6 62ddc4af 146dcf3a f888d61b 560ea5ea 8bb368f7 0e822e95 ef5e45c6 68b98732 725d29dc 21bf1394 29d95de2 98a6d595 9a7188c3 ab4b5d6d 20ca1d9e d6bc4d7a d23a4e3b 48cbe4ac da28d927 922c85ff db7e1f59 71a17dd5 dc68725c 32cf50f0 be5d8a73 f93bf113 1c55bf51 35b314be 5067fd31 9867041d 4c96e5cf.

C.2.2.3　鑒別交換

步驟（1）：
實體A選擇一個隨機數r
r = 87146299 068b4b13 e7dda29e cda5547a.
W = gr mod p
= 397ad6f9 b435b01b 4c43a2d1 008ddade 1a086c2f 0ea25134 ff5a8653 a374dfbf 47f1a543 fbb58232 0357cce1 33aeb861 6aebd4b7 65dea271 0dff3a09 7c40602b 7e719499 0e9c7717 0ce73286 930e9e27 f8053b28 d2c80fd2 ec529839 27f34f46 bb9842b0 bd9c6405 1b2c58d8 c5cdcc50 69c4a430 d0f93cd0 6f2f75f3 298684f6.
步驟（2）：
h(W)= d3cf43cd 80f2525d 360bf266 d11590de
實體 A 發送 h (W)給實體B (TokenAB1 = h(W)).
步驟（3）：
實體B隨機選擇整數d。（此例使用一個40比特的d。）
d=a2 cda554a6
步驟（4）：
實體B發送詢問d給實體A。
步驟（5）：

D=354bf25c 5f0e8cca f2aea2b9 7716a2d5 cb8ceb7e
步驟（6）：
實體A發送TokenAB2=D給實體B
步驟（7）：
實體B 檢查 0 ＜ D＜ q , 并 計算 W’ = (yA)d gD mod p。

gD mod p = c40924be 47db63b6 c48734a5 dd2f8a01 dc6c08ed 6cbfeda2 81b64230 fbbde7f8 fbddbd3e e64d6887 014b5b0a 78c0d111 c6550c01 01f00536 304bc91d 7efe0c1e f9dede7b 004534e0 74347241 b430ba21 bd1c2f93 903860b7 d1a14716 cc541c51 ade947ef 827e6a27 78d67db6 2b4db4ba 918ef0f8 7ccca628 25988779.

W’ = 397ad6f9 b435b01b 4c43a2d1 008ddade 1a086c2f 0ea25134 ff5a8653 a374dfbf 47f1a543 fbb58232 0357cce1 33aeb861 6aebd4b7 65dea271 0dff3a09 7c40602b 7e719499 0e9c7717 0ce73286 930e9e27 f8053b28 d2c80fd2 ec529839 27f34f46 bb9842b0 bd9c6405 1b2c58d8 c5cdcc50 69c4a430 d0f93cd0 6f2f75f3 29864f6.