Tamsayılı çarpanlara ayırma sürecindeki daha düşük sınırlar?

1975 yılında, Miller göstermiştir tamsayıdır ve çarpanlara azaltmak için nasıl süresi bulma bir fonksiyonu bu şekilde F (x + r) = f (x) bazı rastgele seçilmiş bir <N ile . Shor'un algoritmasının kuantum bilgisayarda r'yi etkili bir şekilde bulabildiği iyi bilinirken, klasik bir bilgisayarın r'yi bulması için inatçı olduğuna inanılmaktadır .$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

Sorum şu şekildedir: herhangi bilinen alt sınır var mıdır $r$ rastgele için $N$ ? RSA'da olduğu gibi r = N = pq seçildiğinde $r$verilen r üzerinde sınır var mı? Açıktır ki, R olmalıdır \ omega (\ log (K)) , bir sadece değerlendirilebilir aksi takdirde f (x) ile O (\ log (N)) üzerinden şekil ardışık noktaları r klasik. Klasik bir faktoring algoritması varsa r'nin dağılımında yalnızca r varsayımı altında çalışan RSA'yı kırmak yeterli olur , örneğin r \ in \ Theta (N / \ log (N)) veya r \ in \ Theta (\ sqrt { N}) ?$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

Carl Pomerance'ın " Ortalama olarak n çarpım sırası mod$n$ " üzerine bir sunumu, r'nin tüm N'ye göre ortalama $r$olarak O (N / \ log (N)) olduğuna dair kanıtlar içeriyor , ancak N'yi etkileyebilecek klasik bir algoritmanın olup olmadığından emin değilim O (N / \ log (N)) ' deki r \ hipotezi altında RSA'yı kesin olarak kıracaktır. Can N adverserially için seçilebilir r \ O (N)) ya da R \ O (\ sqrt {N-}) ?$O(N/\log(N))$$N$$N$$r \in O(N/\log(N))$$N$$r \in O(N))$$r \in O(\sqrt{N})$

(Not: Genel faktoring ile RSA faktoringi arasında ilgili bir soru vardır )

Eğer , dönem her bir bölen olacaktır . Seçerseniz ve için inanılmaz şanslı değilseniz asal, o zaman, biz sahip olacak . Ayrıca biz verimli asal bulabilirsiniz inanıyoruz ile rasgele adayları seçme ve bunları test ederek (bu olaylar eğer doğrudur ve$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$asal kabaca bağımsız; Bunun kanıtlanıp kanıtlanmadığını bilmiyorum). Böylece, primerlerinizi dikkatlice seçerek, kolay faktoring ile ilgili ek hipotezle bile RSA saldırılara karşı güvende olacaktır.

Rastgele sayıların veya rastgele olması son derece düşük olduğundan şüpheleniyorum , ancak bu hazırlıksız bir kanıtım yok. hipotezi son derece güçlüdür ve bu durum için zaten etkili bir faktoring algoritması biliniyorsa şaşırmam.N = p $N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$