Giới hạn dưới trong khoảng thời gian trong hệ số nguyên?

$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

Câu hỏi của tôi bây giờ là: Có bất kỳ giới hạn dưới nào được biết đến trên cho ngẫu nhiên không? Có giới hạn nào trên cho được chọn như trong RSA không? Rõ ràng, phải là vì nếu không, người ta chỉ có thể đánh giá trên các điểm liên tiếp để tìm ra cách cổ điển. Nó có đủ để phá vỡ RSA nếu có một thuật toán bao thanh toán cổ điển chỉ hoạt động theo một số giả định về phân phối , ví dụ hoặc ?$r$$N$$r$$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

Bài thuyết trình của Carl Pomerance về " Mod thứ tự nhân trung bình$n$ " trích dẫn bằng chứng rằng là trung bình trên tất cả , nhưng tôi không chắc liệu một thuật toán cổ điển có thể tạo ra yếu tố theo giả thuyết sẽ kết luận phá vỡ RSA. Có thể được adverserially chọn để có hoặc ?$r$$O(N/\log(N))$$N$$N$$r \in O(N/\log(N))$$N$$r \in O(N))$$r \in O(\sqrt{N})$

(Lưu ý: Có một câu hỏi liên quan về bao thanh toán chung so với bao thanh toán RSA)

Nếu , khoảng thời gian sẽ luôn là ước của . Nếu bạn chọn và cho Prime, trừ khi bạn cực kỳ may mắn, chúng tôi sẽ có . Tôi cũng tin rằng chúng ta có thể tìm thấy các số nguyên tố với cách hiệu quả bằng cách chọn ngẫu nhiên các ứng viên và kiểm tra chúng (điều này đúng nếu các sự kiện mà và$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$là số nguyên tố gần như độc lập; Tôi không biết liệu điều này đã được chứng minh hay chưa). Do đó, bằng cách chọn cẩn thận các số nguyên tố của bạn, RSA vẫn sẽ an toàn trước các cuộc tấn công ngay cả với giả thuyết bổ sung về bao thanh toán dễ dàng.

Tôi nghi ngờ số ngẫu nhiên hoặc ngẫu nhiên rất khó có , nhưng tôi không có bằng chứng về việc này. Giả thuyết cực kỳ mạnh mẽ và tôi sẽ không ngạc nhiên nếu một thuật toán bao thanh toán hiệu quả đã được biết đến trong trường hợp này.$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$