Наслідки перебування факторингу в P?

Відомо, що факторинг не є NP-завершеним. Це питання задало наслідки того, що факторинг закінчився NP. Цікаво, що ніхто не запитував наслідки перебування Факторинга в Р (можливо, тому, що таке питання є тривіальним).

Тому мої запитання:

Які теоретичні наслідки перебування Факторинга в P? Як на загальну картину класів складності вплине такий факт?
Які практичні наслідки перебування Факторинга в P? Будь ласка, не кажіть, що банківські операції можуть опинитися під загрозою, я вже знаю це банальний наслідок.

— Джорджіо Камерані
джерело

Я задав подібне запитання кілька днів тому: "Яка сила P з цілим числом оракул факторизації?" cstheory.stackexchange.com/questions/4765/…

— Marzio De Biasi

Також пов'язано: Які наслідки завершення факторингу не є NP?

— Каве

@Kaveh, питання вже посилається на це.

— Пітер Тейлор

Відповіді:

Теоретичні наслідки складності теоретичних наслідків того, що Факторинг знаходиться в П., майже не має. Це означає, що немає хороших обґрунтувань того, що факторинг важкий, окрім того, що його ніхто досі не зміг зламати.

Поліноміально-часовий факторинг дозволив би взяти квадратні корені над (а також над набагато більш загальним класом кілець), а також дати алгоритми багаточленного часу для ряду інших теоретично для яких вузьке місце в алгоритм в даний час факторинг. $Z_n$

Що стосується практичних наслідків, банківські операції, мабуть, не є великою проблемою - як тільки стало відомо, що факторинг знаходиться в P, банки переключиться на якусь іншу систему, ймовірно, спричинивши лише короткий період затримок, поки це було здійснено. Розшифровка минулих банківських операцій, ймовірно, не спричинить серйозних проблем для банків. Набагато серйозніша проблема полягає в тому, що вся комунікація, яка раніше була захищена RSA, зараз загрожує читанням.

— Петро Шор
джерело

Трохи поза темою, але as soon as it was known that factoring was in P, the banks would switch to some other systemбагато в чому бажане мислення. У грудні я виявив, що компанія, яка не робить нічого, крім реквізитів кредитної картки, використовувала варіант Vigenère з ключем, коротшим, ніж кілька циклів відомого простого тексту. Гірше, технічний директор компанії не повірив би мені в небезпеку, поки я не надіслав йому код атаки. MD5, незважаючи на те, що він вважається зламаним, все ще активно використовується в банківській справі.

— Пітер Тейлор

@PeterTaylor, як тільки стало відомо, що факторинг знаходиться в P, банки перейдуть на якусь іншу систему, в основному бажають думати ". З нинішньою дешевою ціною Flash-пам’яті цілком можливо створити рішення One Time Pad для Банкінг, користувачі час від часу заходили в банкомат, щоб завантажити додаткові випадкові байти. RSA просто дешевше і простіше

— Flávio Botelho,

Наявність сильних симетричних шифрів не замінює асиметричних шифрів, хоча це достатньо для певних конкретних завдань. Ви стикаєтеся з тим, що не можете використовувати цифровий підпис тощо.

— Joe Fitzsimons

Насправді у вас може бути цифровий підпис із симетричними шифрами! Це просто набагато громіздкіше, і вам потрібно набагато більше впевненості у надійній третій стороні. Перегляньте підручник з прикладних криптографічних розділів 11.6 та 11.7.

— Flávio Botelho

@Flavio: Але неприйняття не працює так само, чи не так?

— Joe Fitzsimons

RSA - одна з найважливіших схем шифрування / підпису, яка руйнується, якщо FACTORING знаходиться в P. Однак існує ще багато інших. Кілька (але не всі) з них ґрунтуються на припущенні, що розрізнити квадрати та неквадрати за складеним числом важко :

І багато інших схем. Однак зауважте, що схеми, засновані на твердості дискретного журналу (скажімо, протокол Diffie- Helmann або схема шифрування / підпису Elgamal ), залишатимуться надійними.

— М. С. Дусті
джерело

Мені здається дуже ймовірним, що якщо факторинг знаходиться в P, то й проблема дискретного журналу. Безумовно, зворотна правда.

— Joe Fitzsimons

@Joe: У мене такі ж почуття, але чи є докази чи математичні докази?

— MS Dousti

Існує простий доказ зворотного, оскільки . Візьміть . Отже, якщо і , то , і , і у вас є ваші фактори. Я не думаю, що відомо доказ зворотного, але я можу помилятися. Так чи інакше, обидва є випадками абелевої проблеми прихованої підгрупи і пов'язані через теорему Ейлера, тому є подібності.

a^{p q} \equiv a^{p + q - 1} (mod p q)

$a^{pq} \equiv a^{p+q-1}~(\mbox{mod } pq)$

c_{a} = \log_{N} (a^{N} mod N)

$c_a = \log_N(a^N \mbox{mod }N)$

p = x + y

$p = x + y$

q = x - y

$q = x - y$

x = \frac{c_{a} + 1}{2}

$x = \frac{c_a + 1}{2}$

y = \sqrt{x^{2} - N}

$y = \sqrt{x^2 - N}$

— Joe Fitzsimons

@Joe: Дуже цікаво! Ваш коментар мотивував мене більше зайнятися цим питанням, і знайшов результат Ерік Бах, який стверджує, що " вирішити дискретну задачу логарифму для складеного модуля так само важко, як факторинг і вирішити його за

— модулями праймес

Сподіваємось, криптовалюта на ґратці повинна залишатися в безпеці.

— Сурма

Основним наслідком існування факторингу в є те, що множення (з двома цілими числами однакового розміру) не є односторонньою функцією. Це було б дуже дивовижним результатом, оскільки, як вважають, множення є найсильнішим кандидатом на односторонню функцію. Однак це може не змінити картину класів складності. $P$

— Мухаммед Аль-Туркстані
джерело