Réduction des produits principaux d'affacturage en produits entiers d'affacturage (dans le cas moyen)

Ma question porte sur l'équivalence de la sécurité des différentes fonctions unidirectionnelles candidates qui peuvent être construites en fonction de la dureté de l'affacturage.

En supposant que le problème de

FACTEUR: [Étant donné pour des nombres premiers aléatoires , trouver , ] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

ne peut pas être résolu en temps polynomial avec une probabilité non négligeable, la fonction

PRIME-MULT: [Étant donné la chaîne de bits comme entrée, utilisez comme graine pour générer deux nombres premiers aléatoires et (où les longueurs de , ne sont polynomialement plus petites que la longueur de ); puis sortez ] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

peut être montré à sens unique.

Une autre fonction unidirectionnelle candidate est

INTEGER-MULT: [Étant donné des entiers aléatoires en entrée, sortie ] $A, B < 2^n$ $A B$

INTEGER-MULT a l'avantage d'être plus facile à définir par rapport à PRIME-MULT. (Notez en particulier que dans PRIME-MULT, il y a une chance (quoique heureusement négligeable) que la graine ne génère pas qui sont premiers.) $x$ $P, Q$

Au moins à deux endroits différents (Arora-Barak, Computational Complexity, page 177, note de bas de page 2) et ( Vadhan's Introduction to Cryptography Lecture Notes ), il est mentionné que INTEGER-MULT est unidirectionnel en supposant une dureté moyenne de l'affacturage. Cependant, aucun de ces deux ne donne la raison ou une référence à ce fait.

La question est donc:

Comment réduire la factorisation polynomiale de avec une probabilité non négligeable en inversant INTEGER-MULT avec une probabilité non négligeable? $N = PQ$

Voici une approche possible (qui, comme nous le verrons, ne fonctionne PAS!): Étant donné , multipliez par un entier aléatoire beaucoup plus long (mais polynomial) pour obtenir . L'idée est que est si grand qu'il a beaucoup de facteurs premiers de taille égale à peu près à , de sorte que ne pas « se démarquer » parmi les principaux facteurs de . Alors a approximativement la distribution d'un entier uniformément aléatoire à une plage donnée (disons $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ). Choisissez ensuite l'entier au hasard dans la même plage . $[0,2^n-1]$ $B$ $[0,2^n-1]$

Maintenant, si un inverseur pour INTEGER-MULT peut, étant donné , avec une certaine probabilité trouver tel que , l'espoir est que l'un de ou contienne comme un facteur et l'autre contient . Si tel était le cas, nous pouvons trouver ou en prenant pgcd de avec . $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

$AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

Y a-t-il une autre approche qui fonctionne?

— Omid Etesami
source

Pouvons-nous réduire la probabilité d'échec pour INT-FACT d'être exponentiellement petite, puis utiliser la densité de nombres premiers pour dire qu'elle n'échouera pas sur la plupart des produits de deux nombres premiers?

— Kaveh

Si nous pouvions inverser INTEGER-MULT pour toutes les instances à l'exception d'une fraction exponentiellement petite des instances, en effet, la FACTORISATION des produits de nombres premiers serait facile. Mais je ne connais aucun moyen d'obtenir un onduleur puissant à partir d'un onduleur faible.

— Omid Etesami

L'inverse (en quelque sorte) de ce problème a déjà été discuté ici .

— MS Dousti

mathoverflow.net/questions/71604/…

— Tsuyoshi Ito

Ce n'est pas vraiment une réponse, mais cela met en lumière la difficulté de démontrer de telles réductions.

$\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ $n$ $\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $PQ$

— MS Dousti
source