Сокращение факторинга основных продуктов до факторизации целочисленных продуктов (в среднем случае)

Мой вопрос касается эквивалентности безопасности различных односторонних функций-кандидатов, которые могут быть построены на основе сложности факторинга.

Предполагая проблему

ФАКТОРИНГ: [Дано для случайных простых чисел , найти , ] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

невозможно решить за полиномиальное время с незначительной вероятностью, функция

PRIME-MULT: [Учитывая битовую строку качестве входных данных, используйте в качестве начального числа для генерации двух случайных простых чисел и (где длины , только полиномиально меньше длины ); затем выведите .] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

может быть показано, чтобы быть односторонним.

Еще одна кандидатная односторонняя функция

INTEGER-MULT: [Учитывая случайные целые числа качестве входных данных, выводить .] $A, B < 2^n$ $A B$

INTEGER-MULT имеет то преимущество, что его легче определить по сравнению с PRIME-MULT. (Обратите внимание, в частности, что в PRIME-MULT существует вероятность (хотя, к счастью, незначительная), что начальное число не может генерировать которые являются простыми.) $x$ $P, Q$

По крайней мере, в двух разных местах (Арора-Барак, Вычислительная сложность, с. 177, сноска 2) и ( Примечания к лекции Вадхана «Введение в криптографию» ) упоминается, что INTEGER-MULT является односторонним методом, предполагающим среднюю твердость факторинга. Тем не менее, ни один из этих двух не дает причину или ссылку на этот факт.

Итак, вопрос:

Как мы можем уменьшить в полиномиальном факторе времени с незначительной вероятностью до инвертирования INTEGER-MULT с незначительной вероятностью? $N = PQ$

Вот возможный подход (который, как мы увидим, НЕ работает!): Учитывая , умножьте на гораздо более длинное (хотя и полиномиально) случайное целое число чтобы получить . Идея заключается в том , что настолько велика , что она имеет множество простых делителей размером примерно равен , так что не«выделяться»среди главных факторов . Тогда имеет приблизительно распределение равномерно случайного целого числа в заданном диапазоне (скажем, $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ). Затемслучайным образомвыберите целое число из того же диапазона . $[0,2^n-1]$ $B$ $[0,2^n-1]$

Теперь, если инвертор для INTEGER-MULT может, учитывая , с некоторой вероятностью найти такой, что , есть надежда, что один из или содержит как фактор , а другой содержит . Если бы это было так, то мы можем найти или , взяв НОД с . $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

Проблема состоит в том, что инвертор может выбрать разделение основных факторов, например, помещая малые факторы в и большие в , так что и заканчиваются как в и в обоих в . $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

Есть ли другой подход, который работает?

— Омид Этесами
источник

Можем ли мы уменьшить вероятность ошибки экспоненциально малой INT-FACT, а затем использовать плотность простых чисел, чтобы сказать, что она не потерпит неудачу на большинстве произведений с двумя простыми числами?

— Каве

Если бы мы могли инвертировать INTEGER-MULT для всех экземпляров, кроме экспоненциально малой доли экземпляров, действительно, ФАКТОРНОЕ произведение простых чисел было бы легко. Но я не знаю, как получить сильный инвертор от слабого инвертора.

— Омид Этесами

(Как-то) обратная сторона этой проблемы уже обсуждалась здесь .

— MS Dousti

mathoverflow.net/questions/71604/…

— Цуёси Ито

Это не совсем ответ, но он проливает некоторый свет на трудность демонстрации таких сокращений.

Задача может быть обобщена следующим образом: Пусть - алгоритм, который решает задачу INTEGER-MULT с пренебрежимо малой вероятностью. Пусть эта вероятность будет по крайней мере для некоторой константы (когда размер ввода равен ). Докажите , что существует PPT (вероятностное полиномиальное время) алгоритм , который использует в качестве подпрограммы и решает экземпляр задачи FACTORING размера с вероятностью по крайней мере , для некоторой константы . $\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

Рассмотрим алгоритм который решает задачу INTEGER-MULT тогда и только тогда, когда вход имеет специальное значение из , где и - простые числа размера а - простое число размера и в противном случае не удается. Кроме того, на входе целое число указанного выше вида, он выводит и . Сначала покажем, что $\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ имеет ничтожную вероятность решения задачи INTEGER-MULT. Для этого достаточно найти долю битных целых чисел специального вида, так как эта доля ограничивает вероятность успеха снизу. $n$ $\mathcal{A}^*$

По теореме простых чисел число простых чисел, размер которых равен -битам: $k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

Следовательно, доля битных целых чисел специальной формы составляет: $n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

что немаловажно в . $n$

Таким образом, следует иметь возможность доказать существование РРТ алгоритм , который использует в качестве подпрограммы и решает экземпляр задачи FACTORING размера с вероятностью по крайней мере , для некоторой константы . $\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

ИМХО, это кажется очень трудной задачей, так как только (частично) разлагается целые специальной формы, и не кажется , что должен быть способ , чтобы использовать его для разложения чисел вида . $\mathcal{A}^*$ $PQ$

— М.С. Дусти
источник