का अर्थ: "'यदि बड़े पूर्णांक को बनाना कठिन है, तो आरएसए को तोड़ना कठिन है,' अप्रमाणित है"

30

मैं सीएलआरएस पढ़ रहा था और कहा जाता है:

यदि बड़े पूर्णांक को फैक्टर करना आसान है, तो आरएसए क्रिप्टोकरेंसी को तोड़ना आसान है।

जो मुझे समझ में आता है क्योंकि और के ज्ञान के साथ , गुप्त कुंजी बनाना आसान है जो सार्वजनिक कुंजी का ज्ञान है। हालांकि, यह उस स्पष्ट कथन की व्याख्या करता है, जिसे मैं बिल्कुल नहीं समझता: $p$ $q$

यह कथन, कि यदि बड़े पूर्णांक को बनाना कठिन है, तो RSA को तोड़ना कठिन है, अप्रमाणित है।

औपचारिक रूप से ऊपर दिए गए कथन का क्या अर्थ है? अगर हम मानते हैं कि फैक्टरिंग (कुछ औपचारिक तरीके से) कठिन है, तो इसका मतलब यह नहीं है कि आरएसए क्रिप्टो प्रणाली को तोड़ना कठिन है?

अब विचार करें कि अगर हमने मान लिया कि फैक्टरिंग कठिन है ... और हमने पाया कि इसका मतलब है कि आरएसए क्रिप्टोकरेंसी को तोड़ना मुश्किल है। औपचारिक रूप से इसका क्या अर्थ होगा?

cryptography

— चार्ली पार्कर
स्रोत

3

इसका अर्थ यह हो सकता है कि RSA को तोड़ना कठिन है, लेकिन यह साबित नहीं हुआ है ।

— टॉम वैन डेर ज़ंडेन

2

आरएसए तोड़ने के दिल में असतत लघुगणक समस्या जबकि "बहुत समान" फैक्टरिंग के बराबर साबित नहीं हुई है, इसका क्षेत्र का एक प्रमुख खुला प्रश्न (क्रिप्टोग्राफी और टीसीएस दोनों)

— vzn

1

क्या दूसरे को अल्पविराम के बजाय पानी का छींटा नहीं देना चाहिए? आश्रित उपवाक्य के अंदर अल्पविराम होने पर क्या डैश का उपयोग नहीं किया जाता है? The converse statement -- that if factoring large integers is hard, then breaking RSA is hard -- is unproven.

— Czipperz

@ruakh: हुप्स, हाँ ... मैंने भी इसे डबल-चेक करना सुनिश्चित किया था लेकिन मुझे अभी भी यह गलत लगा। मैं भूल रहा हूँ कि आप एक ऐसी समस्या को कम करने वाले हैं जिसे आप आसानी से जानते हैं, न कि एक समस्या जिसे आप कम से कम अपने वर्तमान के रूप में कठिन होना जानते हैं। :-) इसके लिए धन्यवाद, मैंने इसे हटा दिया।

— मेहरदाद

गणितीय तर्क: "यदि

, तो

" का अर्थ "यदि

नहीं है , तो

नहीं " है। आप "

नहीं तो

नहीं" के बारे में कुछ नहीं कह सकते ।

A

$A$

B

$B$

B

$B$

A

$A$

A

$A$

B

$B$

— drzbir

50

इसके बारे में सोचने का सबसे आसान तरीका गर्भनिरोधक के बारे में सोचना है।

बयान:

यदि बड़े पूर्णांक को बनाना कठिन है, तो RSA को तोड़ना कठिन है

निम्नलिखित के बराबर है:

यदि RSA को तोड़ना आसान है, तो बड़े पूर्णांक को फैक्टर करना आसान है

यह कथन सिद्ध नहीं हुआ है।

वे क्या कह रहे हैं, मान लें कि हमारे पास एक एल्गोरिथ्म है जो बहुपद समय में फैक्टरिंग को हल करता है। तब हम इसका उपयोग एक एल्गोरिथ्म का निर्माण करने के लिए कर सकते हैं जो बहुपद समय में आरएसए को हल करता है।

लेकिन, आरएसए को क्रैक करने का कोई और तरीका हो सकता है जिसमें फैक्टरिंग पूर्णांक शामिल नहीं है। यह संभव है कि हम पाएंगे कि हम RSA को एक प्रकार से क्रैक कर सकते हैं जो हमें बहुपद समय में कारक पूर्णांक नहीं देता है।

संक्षेप में, हम जानते हैं कि आरएसए कम से कम फैक्टरिंग जितना आसान है । दो संभावित परिणाम हैं: आरएसए और फैक्टरिंग समान कठिनाई के हैं, या आरएसए फैक्टरिंग की तुलना में कड़ाई से आसान समस्या है। हम नहीं जानते कि कौन सा मामला है।

— jmite
स्रोत

10

"कम से कम जितना आसान" - यह एक तरह से कटौती की व्याख्या है जिसे आसपास के अन्य तरीके के साथ अधिक स्पष्ट रूप से सिखाया जाना चाहिए।

— जी। बाक

आप इसे किसी भी तरह से कर सकते हैं, अगर X कम से कम Y जितना कठिन है, Y कम से कम X जितना आसान है।

— jmite

2

यही मेरा मतलब है - लगभग सभी ने शायद सुना है "X कम से कम Y जितना कठिन है", लेकिन "Y कम से कम X जितना आसान है" बहुत कम ही समझाया गया है - हालाँकि यह उतना ही उपयोगी है।

— जी। बाक

1

मुझे अस्पष्ट रूप से याद है कि डोनाल्ड नुथ ने एक एल्गोरिथ्म का उल्लेख किया है जो एक मशीन देता है जो जादुई रूप से आरएसए एन्क्रिप्टेड संदेशों को क्रैक कर सकता है जो दो बड़े अपराधों के कारक उत्पादों में सक्षम होंगे। मेरे पास यह गलत हो सकता है :-(

— gnasher729

31

एक कठिन रास्ते का अस्तित्व का मतलब यह नहीं है कि कोई आसान तरीका नहीं है।

आरएसए को तोड़ने के कई तरीके हो सकते हैं और हमें उनमें से केवल एक को खोजने की जरूरत है।

इन तरीकों में से एक बड़े पूर्णांक को फैक्टर कर रहा है, इसलिए यदि यह आसान है तो हम इसे इस तरह से कर सकते हैं और आरएसए टूट गया है। यह भी एकमात्र तरीका है जिसे हम अभी तक जानते हैं। यदि ऐसा करना अक्षम्य है, तो हम अभी भी n से p और q को स्पष्ट रूप से गणना करने की आवश्यकता के बिना अपने कार्य को करने के लिए एक और, कम्प्यूटेशनल रूप से कम मांग वाला तरीका पा सकते हैं ।

RSA टूट गया है, यह साबित करने के लिए, हमें यह साबित करने की जरूरत है कि ऐसा करने का एक तरीका आसान है।

RSA सुरक्षित होने के लिए, हमें यह साबित करने की आवश्यकता है कि इसे करने के सभी तरीके कठिन हैं।

अंत में, आपका कथन अप्रमाणित है क्योंकि यह अप्रमाणित है कि कोई अन्य, आसान तरीका मौजूद नहीं है जो किसी साइबर समूह से जानकारी निकालता है।

— रेनर पी।
स्रोत

1

हम यह साबित कर सकते हैं कि आरएसए और फैक्टरिंग समान रूप से कठिन हैं यदि हम एक एल्गोरिथ्म का निर्माण कर सकते हैं जो कुछ विशेष आरएसए एन्क्रिप्टेड संदेशों को उत्पन्न करके, उन्हें क्रैक करके और फिर कुछ और गणनाएं करके दो बड़े अपराधों के कारक हो सकते हैं। इसका मतलब है कि आरएसए फैक्टरिंग से आसान नहीं है। इसका मतलब यह नहीं है कि या तो आसान या कठिन है।

— gnasher729

@ gnasher729 क्या यह पर्याप्त होगा? यदि एल्गोरिथ्म दो बड़े अपराधों के कारक उत्पाद हो सकता है, लेकिन 2 से अधिक primes, या छोटे अपराधों से युक्त उत्पाद शामिल नहीं हैं?

— ओटाक्यूकोड 3

@ मुझे लगता है कि आरएसए केवल प्रतिरूप होने वाले कारकों पर निर्भर करता है। तो कई कारकों के उत्पादों को प्राप्त करना सीधे आगे होगा।

— तैमूर

10

इसे देखने का एक अतिरिक्त तरीका यह है कि आरएसए को तोड़ने के लिए केवल फैक्टरिंग के एक विशेष मामले की आवश्यकता होती है, जो फैक्टरिंग के सामान्य प्रश्न की परवाह किए बिना आसान हो सकता है या नहीं।

एक सरल उदाहरण के रूप में, इस मामले पर विचार करें कि फैक्टरिंग वास्तव में मुश्किल है, लेकिन केवल अलग-अलग कारकों के साथ संख्याओं के लिए । केवल दो अलग-अलग कारकों (आरएसए में उपयोग किए गए) के साथ मिश्रित संख्याओं को फैक्टर करना अब भी आसान हो सकता है। $3$

— रान जी।
स्रोत

7

इसका अर्थ है कि आरएसए समस्या (इस समय) फैक्टरिंग की तुलना में अधिक विशिष्ट प्रतीत होती है।

तो आरएसए समस्या यह है: एक semiprime जानने और कुछ प्रतिपादक और एक मूल्य के खोजने के ऐसी है कि $pq$ $e,$ $v,$ $m$ $v \equiv m^e \mod pq$ । । (मैं वास्तव में मेरे मूल उत्तर में यह गलत पाया गया, ताकि RSA समस्या के बारे में मेरी फंतासी कुछ पीपी एल्गोरिथ्म तक फैक्टरिंग के बराबर थी। वूप्स! तो आप यहाँ विवरणों पर भ्रमित होने में अकेले नहीं हैं।)

$pq,$ $p$ $q$

$d$ $m \equiv v^d$

हालांकि, यह ज्ञात नहीं है कि इस उपरोक्त समस्या को मनमाने संदेशों के लिए हल करना $m$ मापांक या शामिल किए गए घातांक के कारकों के बारे में आपको कुछ भी बताएगा। यह हो सकता है या नहीं; हम नहीं जानते। कई स्मार्ट लोगों ने संभवतः समस्या को देखा है, लेकिन स्पष्ट रूप से उनमें से किसी पर भी कुछ भी नहीं निकला है। इसलिए यह ज्ञात नहीं है कि फैक्टरिंग समस्या को आरएसए समस्या (प्लस बहुपद प्रयास) के समाधान द्वारा हल किया जाता है, केवल यह कि आरएसए समस्या फैक्टरिंग समस्या (प्लस बहुपद प्रयास) के समाधान द्वारा हल की जाती है।

वास्तव में 1998 में बोन और वेंकटेशन ने एक प्रमाण प्रकाशित किया कि एल्गोरिदम का एक निश्चित सरल वर्ग (प्लस, समय, घातांक, कोई XOR / NAND प्रकार का सामान) एक आरएसए-समस्या समाधान को फैक्टरिंग एल्गोरिदम में बदलने के लिए उपयोग नहीं किया जा सकता है। तर्क में इसके लिए एक सरलता थी: गणितीय रूप से उन अंकगणितीय कार्यों में हेरफेर करके, हम यह पता लगा सकते हैं कि "कमी एल्गोरिथ्म" (सटीक के लिए: यह एल्गोरिथ्म है जो अर्धवृत्ताकार कारक के लिए अर्धवृत्त के लिए RSA "oracle" का उपयोग करता है) अपने आप में एक फैक्टरिंग एल्गोरिदम होना चाहिए, ताकि हम इसे एक ऐसे वेरिएंट में संशोधित कर सकें, जो इसके अलंकरण के लिए कोई कॉल नहीं करता है। इसलिए हमारे पास एक ट्राइकोटॉमी है: या तो (ए) ऐसी कोई कमी एल्गोरिथ्म नहीं है, या (बी) कमी एल्गोरिथ्म में एक अच्छी अंकगणितीय व्याख्या नहीं है या (सी) फैक्टरिंग बहुपद-समय है जैसे कि कमी एल्गोरिदम।

— सीआर ड्रॉस्ट
स्रोत

"यह ज्ञात नहीं है कि किसी भी ई के लिए इस व्युत्क्रम घातांक को खोजने से आपको मापांक के कारकों के बारे में कुछ भी पता चलेगा" क्या यह नहीं है? आप गणना कर सकते हैं

p

$p$ तथा

q

$q$ दिया हुआ

n

$n$ ,

e

$e$ तथा

d

$d$ । व्यक्त एल्गोरिथ्म स्पष्ट रूप से पीपी है, क्या यह पी में होना ज्ञात नहीं है?

— गिल्स एसओ- बुराई को रोकना '

@ गिल्स वास्तव में मुझे लगता है कि आप सही हैं, इसलिए मैंने अपना जवाब उसी के अनुसार तय किया है।

— सीआर ड्रॉस्ट

3

RSA depends on two abstract mathematical tasks that are believed to be hard: integer factoring, as you know, but also the discrete logarithm problem. You can break RSA if you can quickly factor a number that's the product of two large unknown primes; but you can also break RSA if you can quickly find $\log_e C$ in the finite group $\mathbb{Z}_{m}$ , where $e$ and $m$ are the public RSA exponent and modulus, and $C$ is the ciphertext.

These two mathematical tasks are related, but (if I remember correctly) it's believed that a solution to one would not imply a solution to the other. I don't know if they are the only two ways to break RSA mathematically.

— zwol
स्रोत

I think you might be misremembering things. Those aren't really two different problems: if you can find the discrete log modulo

m

$m$ , then you can factor

m

$m$ . In other words, a solution to the discrete log problem certainly does imply a solution to the factoring problem.

— D.W.