Có phải vấn đề nhân tử số nguyên khó hơn so với hệ số RSA: ?

Đây là một bài đăng chéo từ math.stackexchange.

Hãy FACT biểu thị vấn đề nguyên bao thanh toán: cho tìm số nguyên tố và số nguyên mà $n \in \mathbb{N},$ $p_i \in \mathbb{N},$ $e_i \in \mathbb{N},$ $n = \prod_{i=0}^{k} p_{i}^{e_i}.$

Gọi RSA là trường hợp đặc biệt của vấn đề bao thanh toán trong đó và là số nguyên tố. Đó là, cho tìm các số nguyên tố hoặc KHÔNG nếu không có yếu tố này. $n = pq$ $p,q$ $n$ $p,q$

Rõ ràng, RSA là một ví dụ của SỰ THẬT. SỰ THẬT có khó hơn RSA không? Đưa ra một lời tiên tri giải quyết RSA trong thời gian đa thức, nó có thể được sử dụng để giải quyết SỰ THẬT trong thời gian đa thức không?

(Một con trỏ đến văn học được nhiều đánh giá cao.)

Chỉnh sửa 1: Đã thêm hạn chế về sức mạnh tính toán thành thời gian đa thức.

Chỉnh sửa 2: Như Dan Brumleve đã chỉ ra trong câu trả lời rằng có những bài viết tranh luận và chống lại RSA khó hơn (hoặc dễ hơn) SỰ THẬT. Tôi tìm thấy các giấy tờ sau đây cho đến nay:

D. Boneh và R. Venkatesan. Phá vỡ RSA có thể dễ dàng hơn bao thanh toán. EUROCRYPT 1998. http://crypto.stanford.edu/~dabo/ con / no_rsa_red.pdf

D. Brown: Phá vỡ RSA có thể khó như bao thanh toán. Lưu trữ tiền điện tử ePrint, Báo cáo 205/380 (2006) http://eprint.iacr.org/2005/380.pdf

G. Leander và A. Rupp. Về sự tương đương của RSA và bao thanh toán liên quan đến thuật toán vòng chung. ASIACRYPT 2006. http://www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

D. Aggarwal và U. Maurer. Phá vỡ RSA về cơ bản là tương đương với bao thanh toán. EUROCRYPT 2009. http://eprint.iacr.org/2008/260.pdf

Tôi phải đi qua chúng và tìm ra kết luận. Có ai biết những kết quả này có thể cung cấp một bản tóm tắt?

— cộng đồng
nguồn

nếu tôi nhớ chính xác, thì tính toán hoặc tìm ra d tương đương với bao thanh toán nhưng như vậy có thể có một số cách mà RSA yếu hơn bao thanh toán. Trong giải quyết ngắn gọn RSA có thể không ngụ ý giải quyết vấn đề bao thanh toán. Không có bằng chứng chính thức nào được biết là tương đương nhau (theo như tôi biết)

ϕ (n)

$\phi(n)$

— singhsumit

Mohammad, tại sao SỰ THẬT không thể giảm đối với RSA?

— Dan Brumleve

Có lẽ tôi đang hiểu nhầm một cái gì đó cơ bản. Làm thế nào để chỉ ra rằng sự tồn tại của một thuật toán để tạo ra một bán kết trong thời gian đa thức không ngụ ý sự tồn tại của một thuật toán để nhân một số có ba thừa số nguyên tố trong thời gian đa thức?

— Dan Brumleve

Làm thế nào để bạn biết đó là những gì nó lên đến?

— Dan Brumleve

Nếu không có giảm đa thời gian giữa hai vấn đề đã nêu, thì thật khó để thể hiện điều này, phải không? Để chứng minh không thể giảm đa thời gian, chúng tôi phải chứng minh .

P \neq N P

$P\neq NP$

— Fixee

Câu trả lời:

Tôi tìm thấy bài báo này có tên Phá vỡ RSA có thể dễ dàng hơn bao thanh toán . Họ cho rằng máy tính thứ rễ modulo có thể dễ dàng hơn bao thanh toán . $e$ $n=pq$ $n=pq$

Tuy nhiên, họ không giải quyết câu hỏi mà bạn đã hỏi: họ không xem xét việc có bao thanh toán các số nguyên có dạng có thể dễ dàng hơn so với bao thanh toán các số nguyên tùy ý hay không. Kết quả là, câu trả lời này không liên quan nhiều đến câu hỏi cụ thể của bạn. $n=pq$

— Dan Brumleve
nguồn

Cảm ơn! Tôi tìm thấy một số giấy tờ khác với tiêu đề liên quan, tài liệu tham khảo chéo. Tôi sẽ gửi liên kết dưới đây. (Chỉnh sửa: các liên kết bên dưới rất xấu. Tôi không thể nhận được định dạng phù hợp trong các nhận xét.)

D. Boneh và R. Venkatesan. Phá vỡ RSA có thể dễ dàng hơn bao thanh toán. EUROCRYPT 1998. crypto.stanford.edu/~dabo/ con / no_rsa_red.pdf D. Brown: Phá vỡ RSA có thể khó như bao thanh toán. Lưu trữ tiền điện tử ePrint, Báo cáo 205/380 (2006) eprint.iacr.org/2005/380.pdf D. Aggarwal và U. Maurer. Phá vỡ RSA về cơ bản là tương đương với bao thanh toán. EUROCRYPT 2009. eprint.iacr.org/2008/260.pdf G. Leander và A. Rupp. Về sự tương đương của RSA và bao thanh toán liên quan đến thuật toán vòng chung. ASIACRYPT 2006. iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

Tôi đã đọc các tóm tắt, và bài báo Aggarwal và Maurer dường như là về một vấn đề hơi khác biệt (bao gồm một bán chính so với tính toán hàm phi?) Những người khác nói rõ ràng rằng vấn đề đang mở. Tôi cho rằng nó vẫn còn trừ khi có kết quả gần đây hơn năm 2006?

— Dan Brumleve

Có lẽ đáng nói đến là bài báo Boneh và Venkatesan nói về độ cứng của bao thanh toán bán kết so với độ cứng của việc phá vỡ RSA. Điều mà câu hỏi gọi là "RSA" trên thực tế là vấn đề bao thanh toán bán kết, có thể khó hơn phá vỡ RSA (đó là điều mà bài báo của Boneh-Venkatesan gợi ý)

— Sasho Nikolov

Câu trả lời này không đúng. Bạn đã hiểu nhầm những gì các giấy tờ đang chứng minh. Bằng cách "RSA vấn đề", họ có nghĩa là các vấn đề của máy tính một mô-đun gốc thứ (mod ), và liên quan đến những khó khăn trong việc thanh toán . Trong cả hai trường hợp là số RSA, nghĩa là . Vì vậy, các giấy tờ bạn trích dẫn không thực sự giải quyết câu hỏi bạn đã hỏi về. Sự nhầm lẫn ở đây xuất hiện bởi vì "vấn đề RSA" của câu hỏi không giống với những gì các bài báo đó gọi là "vấn đề RSA".

e

$e$

n

$n$

n

$n$

n

$n$

n = p q

$n=pq$

— DW

Theo như tôi có thể thấy, một thuật toán hiệu quả để bao thanh toán bán kết (RSA) không tự động chuyển thành một thuật toán hiệu quả để bao thanh toán các số nguyên chung (FACT). Tuy nhiên, trong thực tế, semiprimes là số nguyên khó nhất cho yếu tố. Một lý do cho điều này là kích thước tối đa của số nguyên tố nhỏ nhất phụ thuộc vào số lượng các yếu tố. Đối với một số nguyên có các thừa số nguyên tố , kích thước tối đa của thừa số nguyên tố nhỏ nhất là , và do đó (thông qua định lý số nguyên tố ) có khoảng khả năng này. Do đó tăng $N$ $f$ $\lfloor N^\frac{1}{f} \rfloor$ $\frac{f N^\frac{1}{f}}{\log(N)}$ $f$ giảm số lượng khả năng cho yếu tố nguyên tố nhỏ nhất. Bất kỳ thuật toán nào hoạt động liên tục giảm không gian xác suất này sẽ hoạt động tốt nhất cho lớn và xấu nhất cho . Điều này được sinh ra trong thực tế, vì nhiều thuật toán bao thanh toán cổ điển nhanh hơn nhiều khi số lượng được bao gồm có nhiều hơn 2 yếu tố chính. $f$ $f=2$

Hơn nữa , Sàng trường số chung , thuật toán bao thanh toán cổ điển được biết đến nhanh nhất và thuật toán của Shor, thuật toán bao thanh toán lượng tử thời gian đa thức, hoạt động tốt như nhau đối với các trường bán không. Nhìn chung, có vẻ quan trọng hơn nhiều là các yếu tố theo nguyên tắc cộng gộp hơn là chúng là số nguyên tố.

Tôi nghĩ một phần lý do cho điều này là phiên bản quyết định của các đồng nguyên bao thanh toán được mô tả một cách tự nhiên nhất là một vấn đề hứa hẹn , và bất kỳ cách nào để loại bỏ lời hứa của đầu vào là bán chính là

giới thiệu một chỉ mục trên semiprimes (mà bản thân tôi nghi ngờ là khó như bao thanh toán chúng), hoặc
bằng cách khái quát hóa vấn đề để bao gồm cả phi bán kết.

Có vẻ như trong trường hợp sau, thuật toán hiệu quả nhất sẽ giải quyết FACT cũng như RSA, mặc dù tôi không có bằng chứng nào về điều này. Tuy nhiên, một bằng chứng là rất ít để yêu cầu, vì đã đưa ra một lời tiên tri cho RSA chứng minh rằng điều này không thể giải quyết hiệu quả số tiền FACT để chứng minh rằng . $P\neq NP$

Cuối cùng, điều đáng nói là RSA (hệ thống mật mã, không phải là vấn đề bao thanh toán mà bạn đã xác định ở trên) khái quát hóa một cách tầm thường ngoài bán nguyên tố.

— Joe Fitzsimons
nguồn

Joe, tôi nghĩ sẽ hợp lý khi cho rằng bao thanh toán không nằm trong (và do đó ) cho câu hỏi này (và sau đó câu trả lời sẽ không bao hàm kết quả phức tạp đột phá như bạn đã nêu trong đoạn cuối).

P

$P$

P \neq N P

$P \neq NP$

— Kaveh

@Kaveh: Tôi không nghĩ thế là đủ. Chúng tôi muốn hiển thị có hay không . Câu hỏi này có câu trả lời khác nhau tùy thuộc vào các giả định bạn đưa ra. Hãy tưởng tượng rằng trong thực tế P = NP (thực ra chúng ta chỉ cần FACT trong P, nhưng tôi muốn nhấn mạnh kết nối với P v NP), nhưng chúng tôi đưa ra giả định rằng FACT không ở P. Sau đó có thể chứng minh rằng bằng cách hiển thị thuật toán thời gian đa thức để giảm hoặc để chứng minh rằng bằng cách hiển thị thuật toán thời gian đa thức cho RSA và sử dụng giả định về độ phức tạp thực tế.

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} \neq P^{F A C T}

$P^{RSA} \neq P^{FACT}$

— Joe Fitzsimons

Tôi đã giải thích câu hỏi là " ". Sau đó, nếu thì câu trả lời là có. Vì vậy, chúng ta có thể giả sử rằng và nếu chúng ta đang đưa ra một giả định sai, thì tất nhiên chúng ta có thể rút ra bất cứ điều gì. :)

F A C T \in P^{R S A} ?

$FACT \in P^{RSA}?$

F A C T \in P

$FACT \in P$

F A C T \notin P

$FACT \notin P$

— Kaveh

@Kaveh: Tôi tin rằng hai tuyên bố của vấn đề là tương đương trong trường hợp này. Quan điểm của tôi là chỉ có khả năng chứng minh rằng mà không quyết định trước P vs NP, và không phải là điều ngược lại.

F A C T \in P^{R S A}

$FACT \in P^{RSA}$

— Joe Fitzsimons

Không hoàn toàn là một câu trả lời, nhưng dường như là một cải tiến:

Các tài liệu nghiên cứu được trích dẫn ở trên so sánh vấn đề tính toán eth root mod N, tức là thực hiện thao tác khóa riêng trong hệ thống mật mã RSA, với vấn đề bao thanh toán, tức là tìm khóa riêng, trong cả hai trường hợp, chỉ sử dụng khóa chung. Trong trường hợp này, vấn đề bao thanh toán không phải là trường hợp chung, mà là trường hợp bán kết. Nói cách khác, họ đang xem xét một câu hỏi khác.

Tôi tin rằng người ta đã biết, xem AoCP của Knuth, hầu hết các số N đều có các thừa số nguyên tố có độ dài bit so với độ dài bit so với N, trung bình khoảng 1/2, 1/4, 1/8, ..., hoặc thậm chí có thể giảm mạnh hơn, như trong 2/3, 2/9, 2/27, ... nhưng có thể bị bong ra. Vì vậy, đối với N ngẫu nhiên chung có kích thước đủ nhỏ để các yếu tố nhỏ hơn có thể được tìm thấy nhanh chóng bằng cách phân chia thử nghiệm hoặc ECM của Lenstra, thì những gì còn lại có thể là một bán kết, mặc dù không cân bằng. Đây là một loại giảm, nhưng nó phụ thuộc rất nhiều vào việc phân phối các yếu tố và nó là một mức giảm chậm, trong đó nó gọi các thuật toán nhân tố hóa khác.

Ngoài ra, không có bài kiểm tra nào được xác định để xác định xem một số có phải là bán chính xác hay không. Điều này chỉ có nghĩa là nếu người ta chỉ áp dụng thuật toán nhân tố bán kết cho một số chung và nó luôn thất bại, thì người ta đã giải quyết được một vấn đề chưa biết.

— người dùng18217
nguồn

Tuy nhiên, thuật toán nhân tố sẽ phải chạy trong thời gian đa thức. Vì vậy, thực sự bạn đang nói "nếu bạn có một thuật toán nhân tố đa thời gian, bạn đã giải quyết được một vấn đề chưa biết". Bởi vì người ta có thể sử dụng thuật toán nhân tố ngây thơ để tìm hiểu xem một số có phải là bán chính xác hay không.

— Elliot Gorokhovsky