Faktörlü asal ürünleri faktoring tamsayı ürünlerini azaltmak (ortalama olarak)

Sorum, faktoringin sertliğine dayanarak inşa edilebilen çeşitli aday tek yönlü işlevlerin güvenliğinin denkliği hakkında.

Sorununu varsayarsak

FACTORİNGİ: [Verilen $N = PQ$ rastgele asal için bulmak , .] $P, Q < 2^n$ $P$ $Q$

Anlaşılmaz olasılık ile polinom zamanda çözülemez, fonksiyon

PRIME-MULT: [ Girdi olarak bit dizisi verildiğinde , iki rasgele ve primerini oluşturmak için bir tohum olarak kullanın (burada , uzunlukları yalnızca uzunluğundan polinom olarak küçüktür ); sonra çıktısını alın .] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

tek yönlü olduğu gösterilebilir.

Başka bir aday tek yönlü işlev

INTEGER-MULT: [ rasgele tamsayıları giriş .] $A, B < 2^n$ $A B$

INTEGER-MULT, PRIME-MULT'a kıyasla tanımlamanın daha kolay olması avantajına sahiptir. (Özellikle PRIME-MULT'da, tohum asal olan üretememe şansının (neyse ki ihmal edilebilir) bir şansı olduğuna dikkat edin .) $x$ $P, Q$

En az iki farklı yerde (Arora-Barak, Hesaplama Karmaşıklığı, sayfa 177, dipnot 2) ve ( Vadhan'ın Kriptografiye Giriş ders notları ) INTEGER-MULT'un ortalama faktoring sertliği varsayımlarından tek yönlü olduğu belirtilmektedir. Ancak, bu ikisinden hiçbiri bu gerçeğin nedenini veya referansını vermez.

Soru şu:

Anlaşılmaz olasılıkla INTEGER-MULT'u tersine çevirme olasılığı olan PQ'nun polinom zaman faktörünü nasıl azaltabiliriz ? $N = PQ$

İşte olası bir yaklaşım (göreceğimiz gibi işe yaramaz!): verildiğinde , elde etmek için (polinom olarak da olsa) daha uzun rastgele bir tamsayı çarpın . Fikir şu ki, o kadar büyüktür ki, kabaca eşit büyüklükte birçok ana faktöre sahiptir , böylece , ana faktörleri arasında "öne çıkmaz" . Daha sonra , belirli bir aralıkta yaklaşık olarak rastgele bir tamsayı dağılımına sahiptir (örneğin ). Daha sonra aynı aralıktan rastgele tamsayısını seçin . $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ $[0,2^n-1]$ $B$ $[0,2^n-1]$

Şimdi tamsayı MULT için bir invertör, verilen eğer bazı olasılık bulmak ile, şekilde , umut bu biridir ya da ihtiva a olarak faktör ve diğeri içerir . Eğer durum buysa, bulabilecegimizin veya bir gcd alarak ile . $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

Sorun inverter küçük faktörler koyarak, örneğin, ana faktörler ayırmak için seçme imkanına sahip olmasıdır içinde ve büyük olanlar , böylece ve her ikisi de sonunda ya da her ikisi de . $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

İşe yarayan başka bir yaklaşım var mı?

— Omid Etesami
kaynak

INT-FACT'ın üstel olarak küçük olma olasılığını azaltabilir ve daha sonra iki primer ürününün çoğunda başarısız olmayacağını söylemek için primer yoğunluğunu kullanabilir miyiz?

— Kaveh

INTEGER-MULT'u örneklerin üstel olarak küçük bir kısmı hariç tüm durumlar için tersine çevirebilseydik, gerçekten de primerlerin FACTORING ürünleri kolay olurdu. Ama zayıf bir invertörden güçlü bir invertör almanın bir yolunu bilmiyorum.

— Omid Etesami

Bu sorunun (bir şekilde) tersi burada zaten tartışılmıştır .

— MS Dousti

mathoverflow.net/questions/71604/…

— Tsuyoshi Ito

Bu gerçekten bir cevap değil, ancak bu tür indirimleri göstermenin zorluğuna biraz ışık tutuyor.

Sorun şu şekilde özetlenebilir: , INTEGER-MULT problemini ihmal edilemez bir olasılıkla çözen bir algoritma olsun . Bu olasılık en azından , bazı sabit (giriş boyutu ). Bir PPT (olasılıksal polinom-süresi) algoritması var olduğunu kanıtlamak , kullanan alt rutin olarak ve çözer büyüklüğü FAKTORĠNG sorun bir örneği , en azından bir olasılık ile bir sabit için, . $\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

Bir algoritma düşünün tamsayı MULT sorunu çözmeyi ve giriş sadece sahip özel , ve büyüklüğü asal olan ve boyutta bir asal ve aksi takdirde başarısız olur. Ayrıca, giriş bir tamsayıdır ilgili , yukarıda formunun, bu çıktılar ve . İlk önce $\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ INTEGER-MULT problemini çözme ihmal edilemez bir olasılığı vardır. Bu amaçla, bu kısmını bulmak için yeterli bu fraksiyon başarısı olasılığını sınırlayan olarak, özel formun -bit tamsayılar aşağıdan. $n$ $\mathcal{A}^*$

By asal sayı teoremi , boyutudur asal sayısı -bits geçerli: $k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

Bu nedenle, özel formun bit tamsayılarının oranı: $n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

ki burada göz ardı edilemeyecek olan . $n$

Bu nedenle, tek bir PPT algoritması varlığını kanıtlamak mümkün olmalıdır kullanır, alt rutin olarak ve çözer büyüklüğü FAKTORĠNG sorun bir örneği , en azından bir olasılık ile bir sabit için, . $\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

IMHO, bu yana, çok zor bir görev gibi görünüyor sadece (kısmen) özel formun tamsayılar parçalanır ve formun tamsayılar ayrıştırmak için kullanmak için bir yol olarak görünmüyor . $\mathcal{A}^*$ $PQ$

— MS Dousti
kaynak