Ridurre i prodotti prime di factoring a prodotti interi di factoring (in media)

La mia domanda riguarda l'equivalenza della sicurezza di varie funzioni unidirezionali candidate che possono essere costruite sulla base della durezza del factoring.

Supponendo il problema di

FATTORE: [Dato per numeri primi casuali , trova , ] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

non può essere risolto in tempo polinomiale con probabilità non trascurabile, la funzione

PRIME-MULT: [Dato la stringa di bit come input, usa come seme per generare due numeri primi casuali e (dove le lunghezze di , sono solo polinomialmente inferiori alla lunghezza di ); quindi emettere ] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

può essere mostrato come a senso unico.

Un'altra candidatura a senso unico è

INTEGER-MULT: [Dati interi casuali come input, output ] $A, B < 2^n$ $A B$

INTEGER-MULT ha il vantaggio di essere più facile da definire rispetto a PRIME-MULT. (Notare in particolare che in PRIME-MULT, c'è una possibilità (sebbene fortunatamente trascurabile) che il seme non riesca a generare che sono primi. $x$ $P, Q$

Almeno in due luoghi diversi (Arora-Barak, Computational Complexity, pagina 177, footnote 2) e ( Note di lezione di Vadhan's Introduzione alla crittografia ) si menziona che INTEGER-MULT è a senso unico assumendo una durezza media del factoring. Tuttavia, nessuno di questi due fornisce la ragione o un riferimento per questo fatto.

Quindi la domanda è:

Come possiamo ridurre il factoring nel tempo polinomiale di con probabilità non trascurabile per invertire INTEGER-MULT con probabilità non trascurabile? $N = PQ$

Ecco un possibile approccio (che come vedremo NON funziona!): Dato , moltiplica per un intero casuale polinomiale) molto più lungo per ottenere . L'idea è che è così grande che ha un sacco di fattori primi di dimensioni pari a circa , in modo che non "spiccano" tra i fattori primi di . Quindi ha approssimativamente la distribuzione di un intero uniformemente casuale in un dato intervallo (diciamo $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ). Quindi scegliere l'intero modo casuale dallo stesso intervallo . $[0,2^n-1]$ $B$ $[0,2^n-1]$

Ora se un inverter per INTEGER-MULT può, dato , con una certa probabilità trovare tale che , la speranza è che uno di o contenga come un fattore e l'altra contiene . Se questo era il caso, possiamo trovare o prendendo GCD di con . $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

Il problema è che l'inverter può scegliere di separare i fattori primi, ad esempio, mettendo i piccoli fattori di in e quelli grandi in , in modo che e finiscano entrambi in o entrambi in . $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

C'è un altro approccio che funziona?

— Omid Etesami
fonte

possiamo ridurre la probabilità di fallimento per INT-FACT di essere esponenzialmente piccola e quindi usare la densità dei numeri primi per dire che non fallirà sulla maggior parte dei prodotti di due numeri primi?

— Kaveh,

Se potessimo invertire INTEGER-MULT per tutte le istanze tranne una frazione esponenzialmente piccola delle istanze, in effetti i prodotti FACTORING dei numeri primi sarebbero facili. Ma non conosco un modo per ottenere un inverter potente da un inverter debole.

— Omid Etesami,

L'inverso (in qualche modo) di questo problema è già stato discusso qui .

— MS Dousti,

mathoverflow.net/questions/71604/…

— Tsuyoshi Ito

Questa non è davvero una risposta, tuttavia fa luce sulla difficoltà di dimostrare tali riduzioni.

$\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ $n$ $\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $PQ$

— MS Dousti
fonte