Conseguenze del factoring in P?

Il factoring non è noto per essere NP-completo. Questa domanda ha chiesto conseguenze sul fatto che il factoring fosse NP-completo. Curiosamente, nessuno ha chiesto le conseguenze del fatto che Factoring fosse in P (forse perché una domanda del genere è banale).

Quindi le mie domande sono:

Quali sarebbero le conseguenze teoriche del fatto che il factoring sia in P? In che modo il quadro generale delle classi di complessità sarebbe influenzato da un fatto del genere?
Quali sarebbero le conseguenze pratiche di Factoring in P? Per favore, non dite che le transazioni bancarie potrebbero essere in pericolo, conosco già questa banale conseguenza.

— Giorgio Camerani
fonte

Ho fatto una domanda simile qualche giorno fa: "Qual è la potenza di P con un oracolo di fattorizzazione intero?" cstheory.stackexchange.com/questions/4765/…

— Marzio De Biasi

Anche correlato: quali sono le conseguenze del fatto che il factoring sia NP-completo?

— Kaveh,

@Kaveh, la domanda si collega già a quella.

— Peter Taylor,

Risposte:

Non ci sono praticamente conseguenze teoriche sulla complessità del fatto che il factoring sia in P. Questo significa che non ci sono buone giustificazioni per il factoring che è difficile, a parte il fatto che nessuno è stato in grado di risolverlo finora.

Il factoring al tempo polinomiale consentirebbe di mettere radici quadrate su (e anche su una classe molto più generale di anelli), e darebbe algoritmi al tempo polinomiale per una serie di altri problemi teorici numerici per i quali il collo di bottiglia nel l'algoritmo è attualmente factoring. $Z_n$

Per quanto riguarda le conseguenze pratiche, le transazioni bancarie probabilmente non rappresentano un grosso problema - non appena si sapesse che il factoring era in P, le banche passerebbero a qualche altro sistema, probabilmente causando solo un breve periodo di ritardi mentre implementato. La decodifica delle transazioni bancarie passate probabilmente non causerebbe seri problemi alle banche. Un problema molto più grave è che tutte le comunicazioni precedentemente protette da RSA rischiano ora di essere lette.

— Peter Shor
fonte

Un po 'fuori tema, ma as soon as it was known that factoring was in P, the banks would switch to some other systemè in gran parte un pio desiderio. Ho scoperto a dicembre che un'azienda che non fa altro che elaborare i dettagli della carta di credito stava usando una variante di Vigenère con una chiave più corta di alcune serie di note in chiaro. Peggio ancora, il direttore tecnico della compagnia non mi avrebbe creduto insicuro finché non gli avessi inviato un codice di attacco. L'MD5, nonostante sia ampiamente considerato rotto, è ancora ampiamente utilizzato nel settore bancario.

— Peter Taylor,

@PeterTaylor, non appena si sapesse che il factoring era in P, le banche passerebbero a qualche altro sistema è in gran parte un pio desiderio ". Con l'attuale prezzo economico della memoria Flash, è completamente possibile creare una soluzione One Time Pad per bancario, gli utenti passano di tanto in tanto a un bancomat per scaricare byte casuali extra. RSA è solo più economico e più semplice

— Flávio Botelho

La presenza di cifre simmetriche forti non sostituisce le cifre asimmetriche, sebbene sia sufficiente per determinati compiti specifici. Ti imbatti nel problema di non poter usare le firme digitali, ecc.

— Joe Fitzsimons,

In realtà puoi avere firme digitali con cifre simmetriche! È solo molto più ingombrante e hai bisogno di una fiducia molto maggiore nella terza parte fidata. Consulta i capitoli 11.6 e 11.7 del Manuale di crittografia applicata.

— Flávio Botelho,

@Flavio: Ma il non ripudio non funziona allo stesso modo, vero?

— Joe Fitzsimons,

RSA è uno dei più importanti schemi di crittografia / firma che si interrompe se FACTORING è in P. Tuttavia, ce ne sono molti altri. Diversi (ma non tutti) si basano sul presupposto che distinguere quadrati e non quadrati da un numero composto sia difficile :

E molti altri schemi. Tuttavia, si noti che gli schemi basati sulla durezza del registro discreto (ad esempio, il protocollo Diffie-Helmann o lo schema di crittografia / firma Elgamal ) continueranno ad essere sicuri.

— MS Dousti
fonte

Mi sembra molto probabile che se il factoring è in P, lo è anche il problema del log discreto. Certamente è vero il contrario.

— Joe Fitzsimons,

@Joe: ho gli stessi sentimenti, ma ci sono prove o prove matematiche?

— MS Dousti,

C'è una prova semplice del contrario, poiché . Prendi . Quindi, se e , allora , e , e hai il tuo fattori. Non credo che ci sia una prova nota del contrario, ma potrei sbagliarmi. Ad ogni modo, entrambi sono esempi del problema del sottogruppo nascosto abeliano e sono collegati tramite il teorema di Eulero, quindi ci sono somiglianze.

a^{p q} \equiv a^{p + q - 1} (mod p q)

$a^{pq} \equiv a^{p+q-1}~(\mbox{mod } pq)$

c_{a} = \log_{N} (a^{N} mod N)

$c_a = \log_N(a^N \mbox{mod }N)$

p = x + y

$p = x + y$

q = x - y

$q = x - y$

x = \frac{c_{a} + 1}{2}

$x = \frac{c_a + 1}{2}$

y = \sqrt{x^{2} - N}

$y = \sqrt{x^2 - N}$

— Joe Fitzsimons,

@Joe: molto interessante! Il tuo commento mi ha motivato a scavare di più in questo, e ha trovato un risultato di Eric Bach che afferma che " risolvere il problema del logaritmo discreto per un modulo composito è esattamente duro quanto il factoring e risolverlo modulo primes " .

— MS Dousti,

Tuttavia, la crittografia basata su reticolo dovrebbe rimanere sicura.

— Antimonio,

Una delle principali conseguenze del fatto che il factoring sia in è che la moltiplicazione (di due numeri interi di uguale dimensione) non è una funzione a senso unico. Questo sarebbe un risultato molto sorprendente poiché si ritiene che la moltiplicazione sia il candidato più forte per la funzione a senso unico. Tuttavia, ciò potrebbe non cambiare il quadro delle classi di complessità. $P$

— Mohammad Al-Turkistany
fonte