Giảm bao thanh toán các sản phẩm chính sang bao thanh toán các sản phẩm số nguyên (trong trường hợp trung bình)

Câu hỏi của tôi là về sự tương đương của bảo mật của các chức năng một chiều ứng cử viên khác nhau có thể được xây dựng dựa trên độ cứng của bao thanh toán.

Giả sử vấn đề của

YẾU TỐ: [Cho cho các số nguyên tố ngẫu nhiên , tìm , ] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

không thể được giải trong thời gian đa thức với xác suất không đủ điều kiện, hàm

PRIME-MULT: [Cho chuỗi bit làm đầu vào, sử dụng làm hạt giống để tạo hai số nguyên tố ngẫu nhiên và (trong đó độ dài của , chỉ nhỏ hơn đa thức so với độ dài của ); sau đó đầu ra ] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

có thể được hiển thị là một chiều.

Một chức năng một chiều khác của ứng viên là

INTEGER-MULT: [Cho các số nguyên ngẫu nhiên làm đầu vào, đầu ra ] $A, B < 2^n$ $A B$

INTEGER-MULT có ưu điểm là dễ xác định hơn so với PRIME-MULT. (Đặc biệt lưu ý rằng trong PRIME-MULT, có một cơ hội (mặc dù may mắn không đáng kể) rằng hạt giống không tạo được là số nguyên tố.) $x$ $P, Q$

Ít nhất là ở hai nơi khác nhau (Arora-Barak, Độ phức tạp tính toán, trang 177, chú thích 2) và ( Giới thiệu bài giảng về mật mã học của Vadhan ), người ta đã đề cập rằng INTEGER-MULT là một chiều giả định độ cứng trung bình của bao thanh toán. Tuy nhiên, cả hai không đưa ra lý do hoặc tài liệu tham khảo cho thực tế này.

Vì vậy, câu hỏi là:

Làm thế nào chúng ta có thể giảm trong bao thanh toán thời gian đa thức của với xác suất không đủ điều kiện để đảo ngược INTEGER-MULT với xác suất không đủ điều kiện? $N = PQ$

Đây là một cách tiếp cận có thể (mà như chúng ta sẽ thấy không hoạt động!): Với , nhân bằng một nhiều (mặc dù đa thức) số nguyên còn ngẫu nhiên để có được . Ý tưởng là là rất lớn mà nó có rất nhiều yếu tố quan trọng của kích thước tương đương với , do đó không "nổi bật" trong những yếu tố chính của . Khi đó có phân phối xấp xỉ một số nguyên ngẫu nhiên đồng đều ở một phạm vi nhất định (giả sử $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ). Tiếp theo chọn số nguyên ngẫu nhiên từ cùng một phạm vi . $[0,2^n-1]$ $B$ $[0,2^n-1]$

Bây giờ nếu một biến tần cho INTEGER-mult thể, được đưa ra , với một số khả năng tìm thấy như vậy , với hy vọng là một trong hoặc chứa như một yếu tố và bên kia chứa . Nếu đó là trường hợp, chúng ta có thể tìm thấy hay bằng cách lấy UCLN của với . $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

Vấn đề là các biến tần có thể chọn để tách các thừa số nguyên tố, ví dụ, đưa yếu tố nhỏ trong và những người lớn trong , do đó và kết thúc cả hai trong hoặc cả hai trong . $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

Có cách tiếp cận nào khác hiệu quả không?

— Omid Etesami
nguồn

chúng ta có thể giảm xác suất thất bại cho INT-FACT nhỏ theo cấp số nhân và sau đó sử dụng mật độ của các số nguyên tố để nói rằng nó sẽ không thất bại trên hầu hết các sản phẩm của hai số nguyên tố không?

— Kaveh

Nếu chúng ta có thể đảo ngược INTEGER-MULT cho tất cả các trường hợp ngoại trừ phần nhỏ theo cấp số nhân của các thể hiện, thì thực sự các sản phẩm của các số nguyên tố sẽ dễ dàng. Nhưng tôi không biết cách lấy biến tần mạnh từ biến tần yếu.

— Omid Etesami

Sự nghịch đảo (bằng cách nào đó) của vấn đề này đã được thảo luận ở đây .

— MS Dousti

mathoverflow.net/questions/71604/ trộm

— Tsuyoshi Ito

Đây thực sự không phải là một câu trả lời, nhưng nó làm sáng tỏ sự khó khăn trong việc chứng minh các mức giảm như vậy.

$\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ $n$ $\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $PQ$

— MS Dousti
nguồn