TLDR: ขนาดของกลุ่ม/เสียงเรียกเข้าถูกกำหนดโดยเร็วที่สุด เป็นที่รู้จักในปัจจุบัน การโจมตี (ตามที่อธิบายไว้ใน นี้ บทความวิกิพีเดีย).
รายละเอียด. สำหรับกรณีเข้าสู่ระบบแบบไม่ต่อเนื่อง $\mathbb{Z}_p^*$ และการแยกตัวประกอบ $\mathbb{Z}_N^*$อัลกอริทึมที่เร็วที่สุดในปัจจุบันคือ ตะแกรงฟิลด์ตัวเลขทั่วไป (ก.น.ฟ.). GNFS มีรันไทม์ (โดยประมาณ) $L_n(1/3,2)$, ที่ไหน $$L_n(\alpha,c):=e^{(c+o_n(1))n^\alpha\ln^{1-\alpha}(n)}$$
คือ $L$- สัญกรณ์ และ $n$ หมายถึงความยาวบิตของ (การแสดงมาตรฐานของ) $p$ หรือ $N$ (เช่น., $\lceil(\log(p)\rceil$ และ $\lceil(\log(N)\rceil$ตามลำดับ).$^*$ เนื่องจาก $ข$บิตความปลอดภัย สำหรับโครงร่างหมายความว่าควรใช้อัลกอริทึมใดๆ $2^b$ การดำเนินการเพื่อทำลายมันเพื่อคำนวณ $n$ สำหรับ $\mathbb{Z}_p^*$ และ $\mathbb{Z}_N^*$ ที่ประสบความสำเร็จ $128$ความปลอดภัย -bit หนึ่งต้องแก้ปัญหา $$2^{128}\ประมาณ e^{2n^{1/3}\ln^{2/3}(n)}\ซ้ายขวาลูกศร n\ln^2(n)\ประมาณ64^3.$$ สิ่งนี้จะให้ตัวเลขของ ball-park ว่าขนาดของโมดูลัสควรเป็นอย่างไร - ตามที่คำนวณ นี้ คำตอบนี้จะกลายเป็นประมาณ $3072$ บิต (หรือ $4096$ บิตที่จะอยู่ในด้านที่ปลอดภัยกว่า?) เนื่องจากเราไม่ทราบวิธีใดที่ดีกว่าในการแก้ปัญหา DDH/CDH (ปัญหาที่อยู่ภายใต้โครงร่างประเภท El-Gamal) มากกว่าการคำนวณบันทึกแยก El-Gamal ใน (อ้างอิง) $\mathbb{Z}_p^*$ ต้องปรับใช้กับจำนวนเฉพาะ $\ประมาณ3072/4096$ บิต
ในทำนองเดียวกันเนื่องจากเราไม่ทราบวิธีที่ดีกว่าในการแก้ปัญหา การตัดสินใจปัญหาเศษเหลือกำลังสอง ใน $\mathbb{Z}_{N^2}^*$ (ปัญหาที่อยู่ภายใต้ ระบบเข้ารหัสของ Paillier) กว่าจะแยกตัวประกอบ $N$ด้วยข้อโต้แย้งเดียวกันข้างต้น เราต้องทำงาน $N$ ขนาด $\ประมาณ 3072/4096$ บิต
สำหรับบันทึกไม่ต่อเนื่องในเส้นโค้งวงรี ฉันเชื่อว่าเราไม่รู้อะไรดีไปกว่าอัลกอริทึมบันทึกไม่ต่อเนื่องทั่วไป (เช่น โรของพอลลาร์ด) ซึ่งทำงานในไทม์สแควร์รูทขนาดของกลุ่ม ดังนั้นสำหรับ $128$- ความปลอดภัยของ EC-El-Gamal นั้นเพียงพอแล้วที่จะทำงานกับเส้นโค้งวงรีในฟิลด์ขนาด $2^{256}$. (นี่ก็หมายความว่า EC-El-Gamal มีประสิทธิภาพในการสื่อสารมากกว่า El-Gamal อย่างมากใน $\mathbb{Z}_p^*$.)
$^*$GNFS ดั้งเดิมเป็นแบบฮิวริสติก แต่ตามที่ @djao ชี้ให้เห็น (ดู นี้ ความคิดเห็น) มีตัวแปรที่พิสูจน์ได้ซึ่งทำงานใน $\ประมาณ L_n(1/3,3)$.