Reducción de productos primos de factorización a productos enteros de factoring (en el caso promedio)

10

Mi pregunta es acerca de la equivalencia de la seguridad de varias funciones unidireccionales candidatas que pueden construirse en función de la dureza del factoring.

Asumiendo el problema de

FACTORIZACIÓN: [Dado para primos aleatorios P , Q < 2 n , encuentre P , Q. ]N=PQP,Q<2nPQ

no se puede resolver en tiempo polinómico con probabilidad no despreciable, la función

PRIME-MULT: [Dada la cadena de bits como entrada, use x como semilla para generar dos primos aleatorios P y Q (donde las longitudes de P , Q son solo polinomialmente más pequeñas que la longitud de x ); entonces salida P Q ]xxPQPQxPQ

se puede demostrar que es unidireccional.

Otra función unidireccional candidata es

INTEGER-MULT: [Dados enteros aleatorios como entrada, salida A B. ]A,B<2nAB

INTEGER-MULT tiene la ventaja de que es más fácil de definir en comparación con PRIME-MULT. (Observe en particular que en PRIME-MULT, existe la posibilidad (aunque afortunadamente insignificante) de que la semilla no genere P , Q que son primos).xP,Q

Al menos en dos lugares diferentes (Arora-Barak, Computational Complexity, página 177, nota 2) y ( Notas de lectura de Introducción a la Criptografía de Vadhan ) se menciona que INTEGER-MULT es unidireccional suponiendo una dureza promedio de factorización. Sin embargo, ninguno de estos dos da la razón o una referencia para este hecho.

Entonces la pregunta es:

¿Cómo podemos reducir la factorización de tiempo polinomial de con probabilidad no insignificante a invertir INTEGER-MULT con probabilidad no insignificante?N=PQ

Aquí hay un posible enfoque (que como veremos NO funciona): dado , multiplique N por un entero aleatorio mucho más largo (aunque polinomialmente) A ' para obtener A = N A ' . La idea es que A ' es tan grande que tiene un montón de factores primos de tamaño aproximadamente igual a P , Q , de manera que P , Q no "se destacan" entre los factores primos de A . Entonces A tiene aproximadamente la distribución de un número entero aleatorio uniforme en un rango dado (digamos [ 0N=PQNAA=NAAP,QP,QAA ). Luego elija el entero B al azar del mismo rango [ 0 , 2 n - 1 ] .[0,2n1]B[0,2n1]

Ahora, si un inversor para INTEGER-MULT puede, dado , con alguna probabilidad encontrar A , B < 2 n tal que A B = A B , la esperanza es que uno de A o B contenga P como un factor y el otro contiene Q . Si ese fuera el caso, podemos encontrar P o Q tomando mcd de A ' con N = P Q .ABA,B<2nAB=ABABPQPQAN=PQ

El problema es que el inversor puede elegir separar los factores primos, por ejemplo, colocando los factores pequeños de en A ' y los grandes en B ' , de modo que P y Q terminen en A ' o ambos en B .ABABPQAB

¿Hay otro enfoque que funcione?

Omid Etesami
fuente
¿podemos reducir la probabilidad de falla para que INT-FACT sea exponencialmente pequeño y luego usar la densidad de primos para decir que no fallará en la mayoría de los productos de dos primos?
Kaveh
2
Si pudiéramos invertir INTEGER-MULT para todas las instancias, excepto una fracción exponencialmente pequeña de las instancias, de hecho, los productos FACTORING de primos serían fáciles. Pero no conozco una forma de obtener un inversor fuerte de un inversor débil.
Omid Etesami
1
La inversa (de alguna manera) de este problema ya se ha discutido aquí .
MS Dousti

Respuestas:

4

Esto no es realmente una respuesta, pero arroja algo de luz sobre la dificultad de demostrar tales reducciones.


AnccNnAAnnddN

AN N=PQRPQn/4Rn/2NPQRAnA

k

2k/ln(2k)2k1/ln(2k1)=Θ(2k/k)

n

Θ(2n/4/(n/4))2Θ(2n/2/(n/2))2n1=Θ(n3)

n

AAnnddN

APQ

MS Dousti
fuente