क्या पूर्णांक गुणनखंडन समस्या RSA कारक से अधिक कठिन है: ?


39

यह math.stackexchange से एक क्रॉस-पोस्ट है


FACT पूर्णांक फैक्टरिंग समस्या को बताए: दिए गए primes और पूर्णांक जैसे किnN,piN,eiN,n=i=0kpiei.

बता दें कि RSA फैक्टरिंग समस्या के विशेष मामले को निरूपित करता है जहां और प्राइम हैं। यदि ऐसा कोई कारक नहीं है, तो को primes या NONE दिया जाता है।n=pqp,qnp,q

स्पष्ट रूप से, RSA FACT का एक उदाहरण है। क्या RSA की तुलना में FACT कठिन है? बहुपद समय में RSA को हल करने वाले एक ओरेकल को देखते हुए, क्या इसका उपयोग बहुपद समय में FACT को हल करने के लिए किया जा सकता है?

(साहित्य के लिए एक सूचक बहुत सराहना की है।)


संपादित करें 1: बहुपद समय होने के लिए कम्प्यूटेशनल शक्ति पर प्रतिबंध जोड़ा गया।


संपादित करें 2: जैसा कि डैन ब्रुमलेव द्वारा उत्तर में बताया गया है कि आरएसए के खिलाफ और (या उससे भी आसान) आरएसीए के खिलाफ बहस करने वाले कागजात हैं। मुझे अब तक निम्नलिखित कागजात मिले हैं:

डी। बोन और आर। वेंकटेशन। RSA को तोड़ना फैक्टरिंग की तुलना में आसान हो सकता है। EUROCRYPT 1998. http://crypto.stanford.edu/~dabo/papers/no_rsa_n.df

डी। ब्राउन: RSA को तोड़ना फैक्टरिंग जितना कठिन हो सकता है। क्रिप्टोकरेंसी ePrint आर्काइव, रिपोर्ट 205/380 (2006) http://eprint.iacr.org/2005/3/30.df

जी। लिएंडर और ए। रुप्प। आरएसए की समानता और जेनेरिक रिंग एल्गोरिदम के बारे में फैक्टरिंग। ASIACRYPT 2006. http://www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

डी। अग्रवाल और यू। मौरर। RSA को तोड़ना सामान्य रूप से फैक्टरिंग के बराबर है। EUROCRYPT 2009. http://eprint.iacr.org/2008/260.pdf

मुझे उनके माध्यम से जाना है और एक निष्कर्ष निकालना है। क्या किसी को इन परिणामों के बारे में पता है जो एक सारांश प्रदान कर सकता है?


1
अगर मुझे सही से याद है, तो कंप्यूटिंग या पता लगाना d फैक्टरिंग के बराबर है, लेकिन जैसे ही कुछ तरीका हो सकता है कि आरएसए फैक्टरिंग से कमजोर है। कम सुलझाने में RSA फैक्टरिंग की समस्या को हल नहीं कर सकता है। उनके समतुल्य होने के लिए ज्ञात कोई औपचारिक प्रमाण नहीं। (जहाँ तक मुझे पता है)ϕ(n)
सिंहसुमित

1
मोहम्मद, आरएसए के लिए FACT रिड्यूसबल क्यों नहीं है?
डैन ब्रुमलेव

1
शायद मैं कुछ बुनियादी गलत समझ रहा हूं। यह कैसे दिखाया जाए कि बहुपद समय में एक अर्धवृत्ताकार कारक के लिए एक एल्गोरिथ्म का अस्तित्व बहुपद समय में तीन प्रमुख कारकों के साथ एक संख्या कारक के लिए एक एल्गोरिथ्म के अस्तित्व का अर्थ नहीं है?
डैन ब्रुमलेव

6
आप कैसे जानते हैं कि यह किसके लिए है?
डैन ब्रुमलेव

7
यदि दो वर्णित समस्याओं के बीच कोई पॉली-टाइम कमी नहीं है, तो यह दिखाने के लिए कठिन है, है ना? यह साबित करने के लिए कि पॉली-टाइम कमी मौजूद नहीं हो सकती है, इसके लिए हमें साबित करना होगा । PNP
Fixee

जवाबों:


13

मैंने पाया कि इस पेपर को ब्रेकिंग RSA मे बी फियर थियर फैक्टरिंग । वे तर्क देते हैं कि कंप्यूटिंग वें रूट्स modulo फैक्टरिंग से अधिक आसान हो सकती है ।en=pqn=pq

हालाँकि, वे आपके द्वारा पूछे गए प्रश्न को संबोधित नहीं करते हैं: वे इस बात पर विचार नहीं करते हैं कि प्रपत्र पूर्णांक को फैक्टरिंग कर रहा है या नहीं, मनमाने ढंग से पूर्णांक को फैक्टर करने की तुलना में आसान हो सकता है। परिणामस्वरूप, यह उत्तर आपके विशेष प्रश्न के लिए बहुत अधिक अप्रासंगिक है।n=pq


धन्यवाद! मुझे संबंधित शीर्षक, क्रॉस-रेफरेंस के साथ कई अन्य पेपर मिले। मैं नीचे दिए गए लिंक पोस्ट करेंगे। (संपादित करें: नीचे दिए गए लिंक बदसूरत हैं। मुझे टिप्पणियों में उचित प्रारूपण नहीं मिल सकता है।)

1
डी। बोन और आर। वेंकटेशन। RSA को तोड़ना फैक्टरिंग की तुलना में आसान हो सकता है। EUROCRYPT 1998. crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf डी। ब्राउन: RSA को तोड़ना फैक्टरिंग जितना मुश्किल हो सकता है। क्रिप्टोलॉजी ईप्रिंट आर्काइव, रिपोर्ट 205/380 (2006) eprint.iacr.org/2005/2005/380.pdf डी। अग्रवाल और यू मौरर। RSA को तोड़ना सामान्य रूप से फैक्टरिंग के बराबर है। EUROCRYPT 2009. eprint.iacr.org/2008/260.pdf जी। लिएंडर और ए । रूप्प । आरएसए की समानता और जेनेरिक रिंग एल्गोरिदम के बारे में फैक्टरिंग। ASIACRYPT 2006. iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

1
मैं अमूर्त पढ़ता हूं, और अग्रवाल और मौरर पेपर थोड़ी भिन्न समस्या के बारे में प्रतीत होता है (फिफ़ फ़ंक्शन की गणना करने के लिए एक सेमीप्राइम बनाम कंप्यूटिंग?) अन्य लोग स्पष्ट रूप से कहते हैं कि समस्या खुली है। मुझे लगता है कि यह अभी भी है जब तक कि 2006 से अधिक हाल ही में एक परिणाम नहीं है?
डैन ब्रुमलेव

1
यह शायद गौर करने वाली बात है कि बोन और वेंकटेशन पेपर अर्धवृत्ताकार तथ्य की कठोरता बनाम आरएसए को तोड़ने की कठोरता के बारे में है। क्या सवाल कॉल "आरएसए" फैक्टरिंग semiprimes की समस्या, आरएसए (जो Boneh-वेंकटेशन कागज क्या पता चलता है) को तोड़ने की तुलना में कठिन हो सकता है जो वास्तव में है
Sasho निकोलोव

4
यह उत्तर सही नहीं है। आपने गलत समझा है कि वे कागजात क्या साबित कर रहे हैं। "आरएसए समस्या" से, उनका मतलब है एक मॉड्यूलर वें रूट (मॉड ) की गणना की समस्या , और इससे संबंधित फैक्टरिंग की कठिनाई । दोनों मामलों में एक RSA संख्या है, अर्थात, । इसलिए आपके द्वारा उद्धृत किए गए कागजात वास्तव में आपके द्वारा पूछे गए प्रश्न को संबोधित नहीं कर रहे हैं। यहां भ्रम की स्थिति इसलिए है क्योंकि प्रश्न की "आरएसए समस्या" वही नहीं है जो उन पत्रों को "आरएसए समस्या" के रूप में संदर्भित करती है। ennnn=pq
डीडब्ल्यू

19

जहाँ तक मैं देख सकता हूँ, फैक्टरिंग सेमिप्रिम्स (आरएसए) के लिए एक कुशल एल्गोरिथ्म स्वचालित रूप से सामान्य पूर्णांक (FACT) फैक्टरिंग के लिए एक कुशल एल्गोरिथ्म में अनुवाद नहीं करता है। हालांकि, व्यवहार में, अर्धवृत्त कारक के लिए सबसे कठिन पूर्णांक हैं। इसका एक कारण यह है कि सबसे छोटे प्राइम का अधिकतम आकार कारकों की संख्या पर निर्भर है। प्रधान कारकों के साथ पूर्णांक के लिए, सबसे छोटे अभाज्य गुणक का अधिकतम आकार , और इसलिए ( अभाज्य संख्या प्रमेय के माध्यम से ) लगभग संभावनाएं। इस प्रकार बढ़ रहाNfN1ffN1flog(N)fसबसे छोटे प्रमुख कारक के लिए संभावनाओं की संख्या कम हो जाती है। कोई भी एल्गोरिदम जो संभावनाओं के इस स्थान को क्रमिक रूप से कम करने का काम करता है, फिर बड़े लिए सबसे अच्छा और लिए सबसे बुरा काम करेगा । यह व्यवहार में पैदा होता है, क्योंकि कई शास्त्रीय फैक्टरिंग एल्गोरिदम बहुत तेजी से होते हैं जब फैक्टर होने की संख्या 2 से अधिक प्रमुख कारक होती है।ff=2

इसके अलावा जनरल नंबर फील्ड छलनी , सबसे तेजी से ज्ञात शास्त्रीय फैक्टरिंग एल्गोरिथ्म, और शोर का एल्गोरिथ्म , बहुपद समय क्वांटम फैक्टरिंग एल्गोरिदम, गैर-सेमीप्राइम के लिए समान रूप से अच्छी तरह से काम करते हैं। सामान्य तौर पर, यह बहुत अधिक महत्वपूर्ण लगता है कि कोप्राइम के कारक इसके बजाय कि वे प्रधान हैं।

मुझे लगता है कि इसका एक कारण यह है कि सह-अपराधों के फ़ैसले का निर्णय संस्करण को स्वाभाविक रूप से एक वादा समस्या के रूप में वर्णित किया गया है , और इनपुट के वादे को हटाने का कोई तरीका अर्धविराम या तो है

  1. सेमीप्राइम्स पर एक अनुक्रमण पेश करें (जो अपने आप में मुझे संदेह है कि उन्हें फैक्टर करना उतना ही कठिन है), या
  2. समस्या को सामान्य करके गैर-अर्धविराम शामिल करना।

ऐसा लगता है कि बाद के मामले में सबसे कुशल एल्गोरिथ्म एफएसीटी के साथ-साथ आरएसए को हल करेगा, हालांकि मेरे पास इसका कोई सबूत नहीं है। हालाँकि, एक प्रमाण के लिए पूछने के लिए थोड़ा सा है, क्योंकि आरएसए के लिए एक दिया गया है जो यह साबित करता है कि यह कुशलतापूर्वक उस को साबित करने के लिए मात्रा को हल नहीं कर सकता है ।PNP

अंत में यह इंगित करने योग्य है कि आरएसए (क्रिप्टो सिस्टम, ऊपर बताई गई फैक्टरिंग समस्या नहीं) तुच्छ रूप से सेमी-प्राइम्स से परे सामान्यीकृत करता है।


3
जो, मुझे लगता है कि यह मानना ​​उचित होगा कि इस प्रश्न के लिए फैक्टरिंग (और इसलिए ) में नहीं है (और फिर इसका उत्तर ब्रेक-थ्रू जटिलता परिणाम नहीं होगा जैसा कि आपने पिछले पैराग्राफ में बताया था)। PPNP
केवह

1
@Kaveh: मुझे नहीं लगता कि यह पर्याप्त है। हम यह दिखाना चाहते हैं कि या नहीं । आपके द्वारा किए गए विस्फोटों के आधार पर इस प्रश्न के अलग-अलग उत्तर हैं। कल्पना कीजिए कि वास्तव में P = NP (वास्तव में हमें केवल P में PACT की आवश्यकता है, लेकिन मैं P v NP से संबंध पर जोर देना चाहता था), लेकिन हम यह धारणा बनाते हैं कि FACT P में नहीं है। तब यह साबित करना संभव है कि कमी के लिए एक बहुपद समय एल्गोरिथ्म का प्रदर्शन करके, या यह साबित करने के लिए कि RSA के लिए एक बहुपद समय एल्गोरिथ्म का प्रदर्शन करके और जटिलता के बारे में धारणा का उपयोग करके। तथ्य का। PRSA=PFACTPRSA=PFACTPRSAPFACT
जो फिट्जसिमों

1
मैंने प्रश्न की व्याख्या " " के रूप में की। फिर यदि तो उत्तर तुच्छ रूप से हां है। तो हम यह मान सकते हैं कि , और यदि हम एक गलत धारणा बना रहे हैं, तो निश्चित रूप से हम कुछ भी प्राप्त कर सकते हैं। :)FACTPRSA?FACTPFACTP
केवह

@ केव: मेरा मानना ​​है कि समस्या के दो बयान इस मामले में बराबर हैं। मेरा कहना है कि यह केवल संभावित रूप से यह साबित करने के लिए संभव है कि में पहले P बनाम NP तय किए बिना, और न ही रूपांतरण। FACTPRSA
जो फिट्जिमंस

2

काफी हद तक पूर्ण उत्तर नहीं है, लेकिन एक सुधार प्रतीत होता है:

ऊपर दिए गए शोध पत्रों में एथिकल रूट्स मॉड एन की गणना की समस्या की तुलना की गई है, अर्थात आरएसए क्रिप्टोसिस्टम में निजी कुंजी संचालन, फैक्टरिंग की समस्या को, अर्थात निजी कुंजी को ढूंढना, दोनों मामलों में, केवल सार्वजनिक कुंजी का उपयोग करना। इस मामले में, फैक्टरिंग की समस्या सामान्य मामला नहीं है, लेकिन सेमीप्राइम केस है। दूसरे शब्दों में, वे एक अलग प्रश्न पर विचार कर रहे हैं।

मेरा मानना ​​है कि यह ज्ञात है, नूथ का एओसीपी देखें, कि अधिकांश संख्याओं में एन प्रमुख कारक हैं जिनकी बिट लंबाई एन की तुलना में थोड़ी लंबाई की है, औसतन 1/2, 1/4, 1/8, ... जैसे कुछ। या शायद और भी तेजी से गिर रहा है, जैसा कि 2/3, 2/9, 2/27, में ... लेकिन शायद बाहर समतल हो रहा है। तो, छोटे आकार के सामान्य यादृच्छिक एन के लिए कि छोटे कारकों को परीक्षण विभाग या लेनस्ट्रा के ईसीएम द्वारा जल्दी से पाए जाने की उम्मीद की जा सकती है, फिर जो शेष रहता है वह एक अर्धविराम हो सकता है, हालांकि एक असंतुलित। यह एक प्रकार की कटौती है, लेकिन यह कारकों के वितरण पर भारी निर्भर करता है, और यह एक धीमी कमी है, जिसमें यह अन्य कारक एल्गोरिदम को आमंत्रित करता है।

इसके अलावा, यह निर्धारित करने के लिए कोई ज्ञात परीक्षण नहीं है कि कोई संख्या अर्धवृत्ताकार है या नहीं। इसका मतलब केवल यह है कि अगर किसी ने एक सामान्य संख्या के लिए एक सेमीप्राइम फैक्टराइजेशन एल्गोरिदम लागू किया है, और यह हमेशा विफल रहा है, तो किसी ने अज्ञात समस्या को हल किया है।


फैक्टराइजेशन एल्गोरिदम को बहुपद समय में चलना होगा, हालाँकि। तो वास्तव में आप कह रहे हैं "यदि आपके पास एक पॉली-टाइम फैक्टराइजेशन एल्गोरिदम था, तो आप एक अज्ञात समस्या हल कर लेंगे"। चूँकि एक संख्या एक अर्धवृत्ताकार है या नहीं यह पता लगाने के लिए भोले कारक के एल्गोरिथ्म का उपयोग किया जा सकता है।
इलियट गोरोखोव्स्की 19
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.