Limiti inferiori sul periodo nella fattorizzazione a numeri interi?

$N$$r$f ( x + r ) = f ( x ) a < N r $f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

La mia domanda ora è: ci sono limiti inferiori noti su $r$ per N casuale $N$? Ci sono limiti su $r$ dato che $N=pq$ è scelto come in RSA? Chiaramente, $r$ deve essere $\Omega(\log(N))$ poiché altrimenti si potrebbe semplicemente valutare $f(x)$ su $O(\log(N))$ punti successivi per capire $r$ classico. Basterebbe rompere RSA se esistesse un algoritmo di factoring classico che funziona solo in base ad una ipotesi sulla distribuzione di $r$ , ad esempio $r \in \Theta(N/\log(N))$ o $r \in \Theta(\sqrt{N})$ ?

Una presentazione di Carl Pomerance su " L'ordine moltiplicativo mod $n$ in media " cita l'evidenza che $r$ è $O(N/\log(N))$ in media su tutto $N$ , ma non sono sicuro se un algoritmo classico che può fattorizzare $N$ sotto l'ipotesi di $r \in O(N/\log(N))$ si romperebbe definitivamente RSA. N può $N$essere scelto negativamente per avere $r \in O(N))$ o $r \in O(\sqrt{N})$ ?

(Nota: esiste una domanda correlata sul factoring generico rispetto al factoring RSA)

Se , il periodo sarà sempre un divisore di . Se scegli e per prime, a meno che tu non sia incredibilmente fortunato, avremo . Credo anche che possiamo trovare in modo efficiente numeri primi con scegliendo i candidati in modo casuale e testandoli (questo è vero se gli eventi che er ϕ ( N ) = l c m ( p - 1 , q - 1 ) p - 1 = 2 p ′ q - 1 = 2 q ′ p ′ , q ′ r ≥ p ′ q ′ ≈ N / 4 p p = 2 p ′ + 1 p $N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$sono primi sono approssimativamente indipendenti; Non so se questo è stato dimostrato). Pertanto, scegliendo con cura i numeri primi, RSA sarà comunque sicuro dagli attacchi anche con l'ipotesi aggiuntiva sul factoring semplice.

Ho il sospetto che numeri casuali o casuali siano estremamente improbabili che abbiano , ma non ho una prova di questo a mano. L'ipotesi è estremamente forte e non sarei sorpreso se in questo caso fosse già noto un algoritmo di factoring efficiente.N = p q $N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$