Зведення основних продуктів факторингу до факторингу цілих продуктів (у середньому випадку)

Моє запитання - про еквівалентність безпеки різних кандидатів односторонніх функцій, які можна побудувати на основі жорсткості факторингу.

Припустимо, що проблема о

ФАКТОРИНГ: [Дано для випадкових прайменів , знайдіть , ] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

не може бути розв’язана в поліноміальний час з незначною ймовірністю, функція

PRIME-MULT: [Враховуючи бітовий рядок як вхідний, використовуйте як початковий елемент для генерації двох випадкових прайменів і (де довжини , лише поліноміально менші за довжину ); потім виведіть ] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

може бути показано одностороннім.

Ще одна однобічна функція кандидата

INTEGER-MULT: [Дано випадкові цілі числа як вхід, вихід ] $A, B < 2^n$ $A B$

INTEGER-MULT має ту перевагу, що його простіше визначити порівняно з PRIME-MULT. (Зокрема, зауважте, що в PRIME-MULT існує ймовірність (хоча на щастя, незначна), що насіння не може генерувати первісні ) $x$ $P, Q$

Принаймні у двох різних місцях (Арора-Барак, Комп'ютерна складність, стор. 177, виноска 2) та ( Вступ Вадхана до криптовалютних лекцій ) згадується, що INTEGER-MULT є однобічним, припускаючи середню твердість факторингу. Однак жоден із цих двох не дає приводу та посилання на цей факт.

Отже, питання:

Як ми можемо зменшити в многочлен часовий коефіцієнт з незначною ймовірністю до інвертування INTEGER-MULT з несуттєвою ймовірністю? $N = PQ$

Ось можливий підхід (який, як ми побачимо, НЕ працює!): Дано , помножимо на набагато (хоча поліноміально) довше випадкове ціле число щоб отримати . Ідея полягає в тому , що настільки велика , що вона має безліч простих дільників розміром приблизно дорівнює , так що не" виділятися »серед головних чинників . Тоді має приблизно розподіл рівномірно випадкового цілого числа в заданому діапазоні (скажімо $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ). Далі виберіть ціле число випадковим чином із того ж діапазону . $[0,2^n-1]$ $B$ $[0,2^n-1]$

Тепер, якщо інвертор INTEGER-MULT може, задавши , з деякою ймовірністю знайде такий, що , сподіваємося, що один з або містить як фактор , а інший містить . Якби це було так, то ми можемо знайти або , взявши НСД з . $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

Проблема полягає в тому, що інвертор може вирішити розділити основні коефіцієнти, наприклад, поставивши малі множники в і великі в , так що і закінчуються як в і обидва в . $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

Чи є інший підхід, який працює?

— Омід Етесамі
джерело

чи можемо ми зменшити ймовірність відмови INT-FACT бути експоненціально малою, а потім використати щільність праймесів, щоб сказати, що він не вийде з ладу для більшості продуктів двох праймерів?

— Kaveh

Якби ми могли перевернути INTEGER-MULT для всіх примірників, за винятком експоненціально малої частини екземплярів, справді ФАКТОРНІ продукти з праймерів були б просто. Але я не знаю, як отримати сильний інвертор від слабкого інвертора.

— Омід Етесамі

(Як - то) , зворотна цієї проблеми вже обговорювалися тут .

— MS Dousti

mathoverflow.net/questions/71604/…

— Цуйосі Іто

Це насправді не відповідь, але він проливає трохи світла на труднощі демонстрації таких скорочень.

$\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ $n$ $\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $PQ$

— М. С. Дусті
джерело