Я предполагаю, что типичный Пайе установил, что $n=pq$ с $р$ и $q$ простые числа $(p-1)\не\!| д$ наоборот.
Восстановление дискретного логарифма $х$ общего элемента $а$ относительно генератора эквивалентно восстановлению трех значений:
$$x\equiv\cases{x_\lambda\pmod{\lambda(n)}\ x_p\pmod p\ x_q\pmod q}.$$
Если известны значения $р$ и $q$ тогда $x_p$ и $x_q$ легко восстановить с помощью коэффициентов Ферма или $р$-адическая версия логарифмического ряда Тейлора. Самые известные методы восстановления $x_\лямбда$ полагаться на сито числового поля и для криптографического размера * $р$ и $q$, это должно быть невыполнимо. Если выбрать генератор таким образом, что порядок генератора делит $n$, это означает, что $x_\лямбда$ можно игнорировать, а дискретные логарифмы относительно этого генератора может легко вычислить любой, кто знает $р$ и $q$.
В вашем первом случае, когда $n$ делит порядок $г$, это только говорит нам, что $x_p$ и $x_q$ нельзя игнорировать. Это не гарантирует, что $x_\лямбда$ можно игнорировать, и, следовательно, наша проблема может оставаться неразрешимой.
В вашем втором случае, когда $n$ не делит порядок $г$ это говорит нам, что либо $x_p$ можно игнорировать или $x_q$ могут быть проигнорированы (возможно, оба могут быть проигнорированы). Это не гарантирует, что $x_\лямбда$ можно игнорировать, и наша проблема может остаться неразрешимой.
В общем:
- если $р$ не делит порядок генератора, то $x_p$ можно игнорировать,
- если $q$ не делит порядок генератора, то $x_q$ можно игнорировать,
- если $\лямбда(п)$ не делит порядок генератора, то $x_\лямбда$ можно принять без внимания.
Также обратите внимание, что если мы знаем ограничение на размер $х$, то может не потребоваться восстановление всех трех компонентов. например если мы это знаем $x<pq$ затем восстановление $x_p$ и $x_q$ позволяет нам однозначно восстанавливать $х$ из китайской теоремы об остатках.
*- Обратите внимание, что $р$ и $q$ должны быть большими модулями, чем можно атаковать с помощью решета числового поля, а не просто $n$ модуль больше, чем можно атаковать с помощью решета числового поля.