Нижні межі періоду в цілочисельній факторизації?

У 1975 році Міллер показав, як зменшити факторизацію цілого числа до знаходження періоду функції такий, що f (x + r) = f (x) з деяким випадковим чином обраним a <N . Добре відомо, що алгоритм Шора може ефективно знайти r на квантовому комп'ютері, тоді як вважається, що класичний комп'ютер не може бути вирішеним для пошуку r .$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

Моє запитання зараз: Чи є відомі нижчі межі на для випадкових ? Чи є межі на заданий , обраний як в RSA? Зрозуміло, що r повинен бути \ Omega (\ log (N)) , інакше можна просто оцінити f (x) на послідовних точках O (\ log (N)), щоб визначити r класично. Було б достатньо розбити RSA, якби існував класичний алгоритм факторингу, який працює лише за певним припущенням щодо розподілу r , наприклад r \ in \ Theta (N / \ log (N)) або r \ in \ Theta (\ sqrt { N}) ?$r$$N$$r$$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

Презентація Померанс на « The мультиплікативного порядку мод $n$ в середньому » наводить докази того, що $r$ є $O(N/\log(N))$ в середньому по всім $N$ , але я не впевнений , є чи класичний алгоритм , який може фактор $N$ за гіпотезою $r \in O(N/\log(N))$ остаточно порушить RSA. Чи може бути $N$ несприятливо обраним, щоб мати $r \in O(N))$ або $r \in O(\sqrt{N})$ ?

(Примітка. Існує пов'язане питання щодо загального факторингу та RSA-факторингу)

Якщо , період завжди буде дільником . Якщо ви виберете і для prime, тоді, якщо вам не буде неймовірно пощастило, у нас буде . Я також вважаю, що ми можемо ефективно знаходити праймери з , вибираючи кандидатів випадковим чином і тестуючи їх (це справедливо, якщо події, які і$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$є простими - незалежно приблизно; Я не знаю, чи це було доведено). Таким чином, ретельно вибираючи свої праймери, RSA все одно буде захищений від атак навіть з додатковою гіпотезою про легкий факторинг.

Я підозрюю, що випадкові числа або випадкові навряд чи мають , але я не маю доказів цього безвідмовного. Гіпотеза надзвичайно сильна, і я не здивуюся, якби для цього випадку вже був відомий ефективний алгоритм факторингу.$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$