Réduction des produits principaux d'affacturage en produits entiers d'affacturage (dans le cas moyen)


10

Ma question porte sur l'équivalence de la sécurité des différentes fonctions unidirectionnelles candidates qui peuvent être construites en fonction de la dureté de l'affacturage.

En supposant que le problème de

FACTEUR: [Étant donné pour des nombres premiers aléatoires P , Q < 2 n , trouver P , Q. ]N=PQP,Q<2nPQ

ne peut pas être résolu en temps polynomial avec une probabilité non négligeable, la fonction

PRIME-MULT: [Étant donné la chaîne de bits comme entrée, utilisez x comme graine pour générer deux nombres premiers aléatoires P et Q (où les longueurs de P , Q ne sont polynomialement plus petites que la longueur de x ); puis sortez P Q. ]xxPQPQxPQ

peut être montré à sens unique.

Une autre fonction unidirectionnelle candidate est

INTEGER-MULT: [Étant donné des entiers aléatoires en entrée, sortie A B. ]A,B<2nAB

INTEGER-MULT a l'avantage d'être plus facile à définir par rapport à PRIME-MULT. (Notez en particulier que dans PRIME-MULT, il y a une chance (quoique heureusement négligeable) que la graine ne génère pas P , Q qui sont premiers.)xP,Q

Au moins à deux endroits différents (Arora-Barak, Computational Complexity, page 177, note de bas de page 2) et ( Vadhan's Introduction to Cryptography Lecture Notes ), il est mentionné que INTEGER-MULT est unidirectionnel en supposant une dureté moyenne de l'affacturage. Cependant, aucun de ces deux ne donne la raison ou une référence à ce fait.

La question est donc:

Comment réduire la factorisation polynomiale de avec une probabilité non négligeable en inversant INTEGER-MULT avec une probabilité non négligeable?N=PQ

Voici une approche possible (qui, comme nous le verrons, ne fonctionne PAS!): Étant donné , multipliez N par un entier aléatoire beaucoup plus long (mais polynomial) A pour obtenir A = N A . L'idée est que A ' est si grand qu'il a beaucoup de facteurs premiers de taille égale à peu près à P , Q , de sorte que P , Q ne pas « se démarquer » parmi les principaux facteurs de A . Alors A a approximativement la distribution d'un entier uniformément aléatoire à une plage donnée (disons [ 0N=PQNAA=NAAP,QP,QAA ). Choisissez ensuite l'entier B au hasard dans la même plage [ 0 , 2 n - 1 ] .[0,2n1]B[0,2n1]

Maintenant, si un inverseur pour INTEGER-MULT peut, étant donné , avec une certaine probabilité trouver A , B < 2 n tel que A B = A B , l'espoir est que l'un de A ou B contienne P comme un facteur et l'autre contient Q . Si tel était le cas, nous pouvons trouver P ou Q en prenant pgcd de A ' avec N = P Q .ABA,B<2nAB=ABABPQPQAN=PQ

ABABPQAB

Y a-t-il une autre approche qui fonctionne?


Pouvons-nous réduire la probabilité d'échec pour INT-FACT d'être exponentiellement petite, puis utiliser la densité de nombres premiers pour dire qu'elle n'échouera pas sur la plupart des produits de deux nombres premiers?
Kaveh

2
Si nous pouvions inverser INTEGER-MULT pour toutes les instances à l'exception d'une fraction exponentiellement petite des instances, en effet, la FACTORISATION des produits de nombres premiers serait facile. Mais je ne connais aucun moyen d'obtenir un onduleur puissant à partir d'un onduleur faible.
Omid Etesami

1
L'inverse (en quelque sorte) de ce problème a déjà été discuté ici .
MS Dousti

Réponses:


4

Ce n'est pas vraiment une réponse, mais cela met en lumière la difficulté de démontrer de telles réductions.


AnccNnAAnnddN

AN N=PQRPQn/4Rn/2NPQRAnA

k

2k/ln(2k)2k1/ln(2k1)=Θ(2k/k)

n

Θ(2n/4/(n/4))2Θ(2n/2/(n/2))2n1=Θ(n3)

n

AAnnddN

APQ

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.