Чи є проблема цілочисельної факторизації складнішою за факторизацію RSA:

Це перехресний пост від math.stackexchange.

Нехай FACT позначає цілочисельну задачу факторингу: заданий знаходить праймери та цілі числа такі що $n \in \mathbb{N},$ $p_i \in \mathbb{N},$ $e_i \in \mathbb{N},$ $n = \prod_{i=0}^{k} p_{i}^{e_i}.$

Нехай RSA позначає особливий випадок задачі факторингу, де і - прості. Тобто, якщо знайдено простих чисел або NONE, якщо такої факторизації немає. $n = pq$ $p,q$ $n$ $p,q$

Зрозуміло, що RSA є примірником FACT. Чи FACT важче, ніж RSA? Враховуючи оракул, який розв'язує RSA в поліноміальний час, чи можна його використовувати для розв’язання FACT у поліноміальний час?

(Вказівник на літературу дуже цінується.)

Редагувати 1: Додано обмеження на обчислювальну потужність, щоб було багаточленним часом.

Редагування 2: Як вказував у відповіді Дена Брамлеве, що існують документи, які сперечаються за та проти RSA, важче (або простіше, ніж) ФАКТ. Досі я знайшов такі документи:

Д. Боне і Р. Венкатесан. Порушити RSA може бути простіше, ніж факторинг. EUROCRYPT 1998. http://crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf

Д. Браун: Порушити RSA може бути настільки ж складно, як і факторинг. Архів ePrint криптології, звіт 205/380 (2006) http://eprint.iacr.org/2005/380.pdf

Г. Леандер та А. Рупп. Про еквівалентність RSA та факторинг щодо загальних кільцевих алгоритмів. ASIACRYPT 2006. http://www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

Д. Агарваль і У. Маурер. Порушення загальної RSA рівнозначно факторингу. EUROCRYPT 2009. http://eprint.iacr.org/2008/260.pdf

Я маю пройти через них і знайти висновок. Хтось, хто знає про ці результати, може дати резюме?

— Громада
джерело

якщо я правильно пам’ятаю, то обчислення

або знаходження d є еквівалентом факторингу, але як такий, можливо, RSA слабший, ніж факторинг. Коротше кажучи, рішення RSA може не означати вирішення проблеми факторингу. Жодних офіційних доказів для них невідомого (як я знаю)

ϕ (n)

$\phi(n)$

— singhsumit

Мохаммеде, чому ФАКТ не зводиться до RSA?

— Дан Брумлев

Можливо, я нерозумію щось базове. Як показати, що існування алгоритму для розподілу напівпроміру в поліномічний час не означає існування алгоритму для множення числа з трьома простими факторами в поліноміальний час?

— Дан Брумлеве

Звідки ви знаєте, що це те, що воно становить?

— Дан Брамлеве

Якщо між двома заявленими проблемами немає скорочення часу, тоді це буде важко показати, правда? Для того, щоб довести , НЕ полі-час відновлення може існувати не вимагає , щоб ми довести

P \neq N P

$P\neq NP$

— Fixee

Відповіді:

Я знайшов цей документ під назвою " Розбити RSA може бути легше, ніж факторинг" . Вони стверджують , що обчислювальні й коріння по модулю може бути простіше , ніж факторинг . $e$ $n=pq$ $n=pq$

Однак вони не звертаються до питання, про яке ви задали питання: вони не розглядають, чи може факторизувати цілі числа форми простіше, ніж факторизувати довільні цілі числа. Як результат, ця відповідь в значній мірі не має значення для вашого конкретного питання. $n=pq$

— Ден Брумлев
джерело

Спасибі! Я знайшов кілька інших робіт із пов’язаними назвами, перехресними посиланнями. Я розміщую посилання нижче. (Редагувати: посилання нижче - некрасиві. Я не можу отримати належне форматування в коментарях.)

Д. Боне і Р. Венкатесан. Порушити RSA може бути простіше, ніж факторинг. EUROCRYPT 1998. crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf D. Браун: Порушити RSA може бути так само важко, як і факторинг. Криптологічний архів ePrint, Доповідь 205/380 (2006) eprint.iacr.org/2005/380.pdf Д. Агарваль та У. Маурер. Порушення загальної RSA рівнозначно факторингу. EUROCRYPT 2009. eprint.iacr.org/2008/260.pdf Г. Леандр та А. Рупп. Про еквівалентність RSA та факторинг щодо загальних кільцевих алгоритмів. ASIACRYPT 2006. iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

Я читаю тези, і папір Агарвальва та Маурера, здається, стосується дещо різної проблеми (розбиття напівпринципу та обчислення функції фі?) Інші прямо говорять, що проблема відкрита. Я припускаю, що це все ще є, якщо не буде результату останніх, ніж 2006 рік?

— Ден Брумлев,

Напевно, варто згадати, що в роботі Boneh і Venkatesan йдеться про твердість напівпримірів факторингу порівняно з твердістю порушення RSA. Те, що питання називає "RSA", насправді є проблемою розбиття напівперіодів, що може бути складніше, ніж порушити RSA (про що пропонує документ Boneh-Venkatesan)

— Сашо Ніколов

Ця відповідь не правильна. Ви неправильно зрозуміли, що це документи. Під "проблемою RSA" вони мають на увазі проблему обчислення модульного

-кореня (mod

) і пов'язану це з труднощами факторингу

. В обох випадках

- номер RSA, тобто

. Тож документи, які ви цитуєте, насправді не стосуються питання, про яке ви задали питання. Плутанина тут виникає через те, що "проблема RSA" питання не те саме, що ці документи називають "проблемою RSA".

e

$e$

n

$n$

n

$n$

n

$n$

n = p q

$n=pq$

— DW

Наскільки я бачу, ефективний алгоритм факторингу напівпримірів (RSA) не автоматично перетворюється на ефективний алгоритм для факторингу загальних цілих чисел (FACT). Однак на практиці напівперіоди є найважчими цілими числами. Однією з причин цього є те, що максимальний розмір найменшого простору залежить від кількості факторів. Для цілого числа з простими множниками максимальний розмір найменшого основного коефіцієнта дорівнює $N$ $f$ , і так (черезтеорему просте число) існує приблизно $\lfloor N^\frac{1}{f} \rfloor$ можливості для цього. Таким чином, збільшеннязменшує кількість можливостей для найменшого основного фактора. Будь-який алгоритм, який працює послідовно, скорочуючи цей простір ймовірностей, тоді буде найкращим для великихта найгірших для. Це підтверджується на практиці, оскільки багато класичних алгоритмів факторингу набагато швидше, коли число, що фактурується, має більше двох основних факторів. $\frac{f N^\frac{1}{f}}{\log(N)}$ $f$ $f$ $f=2$

Крім того, ситове поле загального числа , найшвидший відомий класичний алгоритм факторингу та алгоритм Шора, алгоритм квантового коефіцієнта багаточленного часу, багато однаково добре працюють для не напівпримірів. Взагалі, здається, набагато важливіше, що фактори за копріменом, ніж те, що вони є первинними.

Я думаю, що частиною причини цього є те, що версія рішення коефіцієнтів факторингу найбільш природно описується як проблема обіцянки , і будь-який спосіб зняття обіцянки з введення напівпринципу - це будь-який

запровадити індексацію напівперіодів (що, як я підозрюю, настільки ж важко, як і їх факторинг), або
шляхом узагальнення проблеми щодо включення непервізорів.

$P\neq NP$

Нарешті, варто зазначити, що RSA (криптосистема, а не факторингова проблема, яку ви визначили вище) тривіально узагальнюється за межами напівпримірів.

— Джо Фіцсімонс
джерело

P

$P$

P \neq N P

$P \neq NP$

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} \neq P^{F A C T}

$P^{RSA} \neq P^{FACT}$

F A C T \in P^{R S A} ?

$FACT \in P^{RSA}?$

F A C T \in P

$FACT \in P$

F A C T \notin P

$FACT \notin P$

F A C T \in P^{R S A}

$FACT \in P^{RSA}$

Не зовсім повна відповідь, але здається, що це покращення:

Цитовані вище дослідницькі документи порівнюють проблему обчислення етнічних коренів mod N, тобто виконання операції з закритим ключем в криптосистемі RSA, з проблемою факторингу, тобто знаходженням приватного ключа в обох випадках, використовуючи лише відкритий ключ. У цьому випадку проблема факторингу - це не загальний випадок, а випадок напівпринципу. Іншими словами, вони розглядають інше питання.

Я вважаю, що відомо, див. AoCP Кнута, що більшість чисел N мають прості множники, довжина бітів яких по довжині біт порівнюється з довжиною N, в середньому щось на зразок 1/2, 1/4, 1/8, ..., або, можливо, навіть відвалюються більш різко, як у 2/3, 2/9, 2/27, ... але, можливо, вирівнювання. Отже, для загального випадкового N розміру, достатнього для того, щоб менші чинники можна було швидко знайти шляхом пробного поділу або ЕКМ Ленстра, то те, що залишається, може бути напівприміром, хоча і неврівноваженим. Це своєрідне зменшення, але воно сильно залежить від розподілу факторів, і це повільне зменшення, оскільки воно посилається на інші алгоритми факторизації.

Також не існує відомого тесту для визначення того, чи є число напівпримітним чи ні. Це означає лише, що якщо просто застосувати алгоритм факторизації напівпростої частоти до загального числа, і він завжди невдалий, то вирішили невідому проблему.

— користувач18217
джерело

Однак алгоритм факторизації повинен запускатися в поліноміальний час. Тож справді ви говорите: "якби у вас був алгоритм багаторазової факторизації, ви вирішили б невідому проблему". Тому що можна використовувати алгоритм наївної факторизації, щоб з’ясувати, чи є число напівприміром чи ні.

— Елліот Гороховський