Esta es una publicación cruzada de math.stackexchange.
Deje que FACT denote el problema de factorización de enteros: dado encuentre los primos y los enteros modo quep i ∈ N , e i ∈ N , n = ∏ k i = 0 p e i i .
Supongamos que RSA denota el caso especial de problema de factorización donde y son números primos. Es decir, dado encontrar primos o NINGUNO si no existe tal factorización.p , q n p , q
Claramente, RSA es una instancia de FACT. ¿Es FACT más difícil que RSA? Dado un oráculo que resuelve RSA en tiempo polinómico, ¿podría usarse para resolver FACT en tiempo polinómico?
(Un puntero a la literatura es muy apreciado).
Edición 1: se agregó la restricción en el poder computacional para que sea tiempo polinómico.
Edición 2: Como se señala en la respuesta de Dan Brumleve, hay documentos que argumentan a favor y en contra de RSA más difícil (o más fácil que) HECHO. Encontré los siguientes documentos hasta ahora:
D. Boneh y R. Venkatesan. Romper RSA puede ser más fácil que factorizar. EUROCRYPT 1998. http://crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf
D. Brown: Romper RSA puede ser tan difícil como factorizar. Criptología ePrint Archive, Informe 205/380 (2006) http://eprint.iacr.org/2005/380.pdf
G. Leander y A. Rupp. Sobre la equivalencia de RSA y factoring con respecto a algoritmos de anillo genérico. ASIACRYPT 2006. http://www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf
D. Aggarwal y U. Maurer. Romper RSA genéricamente es equivalente a factorizar. EUROCRYPT 2009. http://eprint.iacr.org/2008/260.pdf
Tengo que revisarlos y encontrar una conclusión. ¿Alguien conoce estos resultados y puede proporcionar un resumen?
Respuestas:
Encontré este documento titulado Romper RSA puede ser más fácil que factorizar . Argumentan que calcular el módulo de raíces podría ser más fácil que factorizar .n = p q n = p qe n=pq n=pq
Sin embargo, no abordan la pregunta que usted hizo: no consideran si factorizar enteros de la forma podría ser más fácil que factorizar enteros arbitrarios. Como resultado, esta respuesta es prácticamente irrelevante para su pregunta particular.n=pq
fuente
Además, el Tamiz de campo de número general , el algoritmo de factorización clásico más rápido conocido, y el algoritmo de Shor , el algoritmo de factorización cuántica de tiempo polinómico, funcionan igualmente bien para no semiprimes. En general, parece mucho más importante que los factores coprimos sean primos.
Creo que parte de la razón de esto es que la versión de decisión de factorizar co-primos se describe más naturalmente como un problema prometedor , y cualquier forma de eliminar la promesa de que la entrada es semiprime es
Por último, vale la pena señalar que RSA (el criptosistema, no el problema de factorización que definió anteriormente) generaliza trivialmente más allá de los semi-primos.
fuente
No es una respuesta completa, pero parece ser una mejora:
Los trabajos de investigación citados anteriormente comparan el problema de calcular las raíces éticas mod N, es decir, realizar la operación de clave privada en el criptosistema RSA, con el problema de factorizar, es decir, encontrar la clave privada, en ambos casos, utilizando solo la clave pública. En este caso, el problema de factorización no es el caso general, sino el caso de semiprime. En otras palabras, están considerando una pregunta diferente.
Creo que se sabe, vea el AoCP de Knuth, que la mayoría de los números N tienen factorizaciones primas cuyas longitudes de bits se comparan en longitud de bits con la de N, en promedio algo así como 1/2, 1/4, 1/8, ..., o tal vez incluso cayendo más bruscamente, como en 2/3, 2/9, 2/27, ... pero tal vez aplanándose. Entonces, para un N aleatorio general de tamaño lo suficientemente pequeño como para que los factores más pequeños se puedan encontrar rápidamente por la división de prueba o el ECM de Lenstra, entonces lo que queda puede ser un semiprime, aunque no equilibrado. Este es un tipo de reducción, pero depende en gran medida de la distribución de factores, y es una reducción lenta, ya que invoca otros algoritmos de factorización.
Además, no existe una prueba conocida para determinar si un número es semiprime o no. Esto solo significa que si uno acaba de aplicar un algoritmo de factorización de semiprime a un número general, y siempre falla, entonces uno ha resuelto un problema desconocido.
fuente