क्या पूर्णांक गुणनखंडन समस्या RSA कारक से अधिक कठिन है: ?

यह math.stackexchange से एक क्रॉस-पोस्ट है ।

FACT पूर्णांक फैक्टरिंग समस्या को बताए: दिए गए primes और पूर्णांक जैसे कि $n \in \mathbb{N},$ $p_i \in \mathbb{N},$ $e_i \in \mathbb{N},$ $n = \prod_{i=0}^{k} p_{i}^{e_i}.$

बता दें कि RSA फैक्टरिंग समस्या के विशेष मामले को निरूपित करता है जहां और प्राइम हैं। यदि ऐसा कोई कारक नहीं है, तो को primes या NONE दिया जाता है। $n = pq$ $p,q$ $n$ $p,q$

स्पष्ट रूप से, RSA FACT का एक उदाहरण है। क्या RSA की तुलना में FACT कठिन है? बहुपद समय में RSA को हल करने वाले एक ओरेकल को देखते हुए, क्या इसका उपयोग बहुपद समय में FACT को हल करने के लिए किया जा सकता है?

(साहित्य के लिए एक सूचक बहुत सराहना की है।)

संपादित करें 1: बहुपद समय होने के लिए कम्प्यूटेशनल शक्ति पर प्रतिबंध जोड़ा गया।

संपादित करें 2: जैसा कि डैन ब्रुमलेव द्वारा उत्तर में बताया गया है कि आरएसए के खिलाफ और (या उससे भी आसान) आरएसीए के खिलाफ बहस करने वाले कागजात हैं। मुझे अब तक निम्नलिखित कागजात मिले हैं:

डी। बोन और आर। वेंकटेशन। RSA को तोड़ना फैक्टरिंग की तुलना में आसान हो सकता है। EUROCRYPT 1998. http://crypto.stanford.edu/~dabo/papers/no_rsa_n.df

डी। ब्राउन: RSA को तोड़ना फैक्टरिंग जितना कठिन हो सकता है। क्रिप्टोकरेंसी ePrint आर्काइव, रिपोर्ट 205/380 (2006) http://eprint.iacr.org/2005/3/30.df

जी। लिएंडर और ए। रुप्प। आरएसए की समानता और जेनेरिक रिंग एल्गोरिदम के बारे में फैक्टरिंग। ASIACRYPT 2006. http://www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

डी। अग्रवाल और यू। मौरर। RSA को तोड़ना सामान्य रूप से फैक्टरिंग के बराबर है। EUROCRYPT 2009. http://eprint.iacr.org/2008/260.pdf

मुझे उनके माध्यम से जाना है और एक निष्कर्ष निकालना है। क्या किसी को इन परिणामों के बारे में पता है जो एक सारांश प्रदान कर सकता है?

— समुदाय
स्रोत

अगर मुझे सही से याद है, तो कंप्यूटिंग या पता लगाना d फैक्टरिंग के बराबर है, लेकिन जैसे ही कुछ तरीका हो सकता है कि आरएसए फैक्टरिंग से कमजोर है। कम सुलझाने में RSA फैक्टरिंग की समस्या को हल नहीं कर सकता है। उनके समतुल्य होने के लिए ज्ञात कोई औपचारिक प्रमाण नहीं। (जहाँ तक मुझे पता है)

ϕ (n)

$\phi(n)$

— सिंहसुमित

मोहम्मद, आरएसए के लिए FACT रिड्यूसबल क्यों नहीं है?

— डैन ब्रुमलेव

शायद मैं कुछ बुनियादी गलत समझ रहा हूं। यह कैसे दिखाया जाए कि बहुपद समय में एक अर्धवृत्ताकार कारक के लिए एक एल्गोरिथ्म का अस्तित्व बहुपद समय में तीन प्रमुख कारकों के साथ एक संख्या कारक के लिए एक एल्गोरिथ्म के अस्तित्व का अर्थ नहीं है?

— डैन ब्रुमलेव

आप कैसे जानते हैं कि यह किसके लिए है?

— डैन ब्रुमलेव

यदि दो वर्णित समस्याओं के बीच कोई पॉली-टाइम कमी नहीं है, तो यह दिखाने के लिए कठिन है, है ना? यह साबित करने के लिए कि पॉली-टाइम कमी मौजूद नहीं हो सकती है, इसके लिए हमें साबित करना होगा ।

P \neq N P

$P\neq NP$

— Fixee

जवाबों:

मैंने पाया कि इस पेपर को ब्रेकिंग RSA मे बी फियर थियर फैक्टरिंग । वे तर्क देते हैं कि कंप्यूटिंग वें रूट्स modulo फैक्टरिंग से अधिक आसान हो सकती है । $e$ $n=pq$ $n=pq$

हालाँकि, वे आपके द्वारा पूछे गए प्रश्न को संबोधित नहीं करते हैं: वे इस बात पर विचार नहीं करते हैं कि प्रपत्र पूर्णांक को फैक्टरिंग कर रहा है या नहीं, मनमाने ढंग से पूर्णांक को फैक्टर करने की तुलना में आसान हो सकता है। परिणामस्वरूप, यह उत्तर आपके विशेष प्रश्न के लिए बहुत अधिक अप्रासंगिक है। $n=pq$

— डैन ब्रुमलेव
स्रोत

धन्यवाद! मुझे संबंधित शीर्षक, क्रॉस-रेफरेंस के साथ कई अन्य पेपर मिले। मैं नीचे दिए गए लिंक पोस्ट करेंगे। (संपादित करें: नीचे दिए गए लिंक बदसूरत हैं। मुझे टिप्पणियों में उचित प्रारूपण नहीं मिल सकता है।)

डी। बोन और आर। वेंकटेशन। RSA को तोड़ना फैक्टरिंग की तुलना में आसान हो सकता है। EUROCRYPT 1998. crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf डी। ब्राउन: RSA को तोड़ना फैक्टरिंग जितना मुश्किल हो सकता है। क्रिप्टोलॉजी ईप्रिंट आर्काइव, रिपोर्ट 205/380 (2006) eprint.iacr.org/2005/2005/380.pdf डी। अग्रवाल और यू मौरर। RSA को तोड़ना सामान्य रूप से फैक्टरिंग के बराबर है। EUROCRYPT 2009. eprint.iacr.org/2008/260.pdf जी। लिएंडर और ए । रूप्प । आरएसए की समानता और जेनेरिक रिंग एल्गोरिदम के बारे में फैक्टरिंग। ASIACRYPT 2006. iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

मैं अमूर्त पढ़ता हूं, और अग्रवाल और मौरर पेपर थोड़ी भिन्न समस्या के बारे में प्रतीत होता है (फिफ़ फ़ंक्शन की गणना करने के लिए एक सेमीप्राइम बनाम कंप्यूटिंग?) अन्य लोग स्पष्ट रूप से कहते हैं कि समस्या खुली है। मुझे लगता है कि यह अभी भी है जब तक कि 2006 से अधिक हाल ही में एक परिणाम नहीं है?

— डैन ब्रुमलेव

यह शायद गौर करने वाली बात है कि बोन और वेंकटेशन पेपर अर्धवृत्ताकार तथ्य की कठोरता बनाम आरएसए को तोड़ने की कठोरता के बारे में है। क्या सवाल कॉल "आरएसए" फैक्टरिंग semiprimes की समस्या, आरएसए (जो Boneh-वेंकटेशन कागज क्या पता चलता है) को तोड़ने की तुलना में कठिन हो सकता है जो वास्तव में है

— Sasho निकोलोव

यह उत्तर सही नहीं है। आपने गलत समझा है कि वे कागजात क्या साबित कर रहे हैं। "आरएसए समस्या" से, उनका मतलब है एक मॉड्यूलर वें रूट (मॉड ) की गणना की समस्या , और इससे संबंधित फैक्टरिंग की कठिनाई । दोनों मामलों में एक RSA संख्या है, अर्थात, । इसलिए आपके द्वारा उद्धृत किए गए कागजात वास्तव में आपके द्वारा पूछे गए प्रश्न को संबोधित नहीं कर रहे हैं। यहां भ्रम की स्थिति इसलिए है क्योंकि प्रश्न की "आरएसए समस्या" वही नहीं है जो उन पत्रों को "आरएसए समस्या" के रूप में संदर्भित करती है।

e

$e$

n

$n$

n

$n$

n

$n$

n = p q

$n=pq$

— डीडब्ल्यू

जहाँ तक मैं देख सकता हूँ, फैक्टरिंग सेमिप्रिम्स (आरएसए) के लिए एक कुशल एल्गोरिथ्म स्वचालित रूप से सामान्य पूर्णांक (FACT) फैक्टरिंग के लिए एक कुशल एल्गोरिथ्म में अनुवाद नहीं करता है। हालांकि, व्यवहार में, अर्धवृत्त कारक के लिए सबसे कठिन पूर्णांक हैं। इसका एक कारण यह है कि सबसे छोटे प्राइम का अधिकतम आकार कारकों की संख्या पर निर्भर है। प्रधान कारकों के साथ पूर्णांक के लिए, सबसे छोटे अभाज्य गुणक का अधिकतम आकार , और इसलिए ( अभाज्य संख्या प्रमेय के माध्यम से ) लगभग संभावनाएं। इस प्रकार बढ़ रहा $N$ $f$ $\lfloor N^\frac{1}{f} \rfloor$ $\frac{f N^\frac{1}{f}}{\log(N)}$ $f$ सबसे छोटे प्रमुख कारक के लिए संभावनाओं की संख्या कम हो जाती है। कोई भी एल्गोरिदम जो संभावनाओं के इस स्थान को क्रमिक रूप से कम करने का काम करता है, फिर बड़े लिए सबसे अच्छा और लिए सबसे बुरा काम करेगा । यह व्यवहार में पैदा होता है, क्योंकि कई शास्त्रीय फैक्टरिंग एल्गोरिदम बहुत तेजी से होते हैं जब फैक्टर होने की संख्या 2 से अधिक प्रमुख कारक होती है। $f$ $f=2$

इसके अलावा जनरल नंबर फील्ड छलनी , सबसे तेजी से ज्ञात शास्त्रीय फैक्टरिंग एल्गोरिथ्म, और शोर का एल्गोरिथ्म , बहुपद समय क्वांटम फैक्टरिंग एल्गोरिदम, गैर-सेमीप्राइम के लिए समान रूप से अच्छी तरह से काम करते हैं। सामान्य तौर पर, यह बहुत अधिक महत्वपूर्ण लगता है कि कोप्राइम के कारक इसके बजाय कि वे प्रधान हैं।

मुझे लगता है कि इसका एक कारण यह है कि सह-अपराधों के फ़ैसले का निर्णय संस्करण को स्वाभाविक रूप से एक वादा समस्या के रूप में वर्णित किया गया है , और इनपुट के वादे को हटाने का कोई तरीका अर्धविराम या तो है

सेमीप्राइम्स पर एक अनुक्रमण पेश करें (जो अपने आप में मुझे संदेह है कि उन्हें फैक्टर करना उतना ही कठिन है), या
समस्या को सामान्य करके गैर-अर्धविराम शामिल करना।

ऐसा लगता है कि बाद के मामले में सबसे कुशल एल्गोरिथ्म एफएसीटी के साथ-साथ आरएसए को हल करेगा, हालांकि मेरे पास इसका कोई सबूत नहीं है। हालाँकि, एक प्रमाण के लिए पूछने के लिए थोड़ा सा है, क्योंकि आरएसए के लिए एक दिया गया है जो यह साबित करता है कि यह कुशलतापूर्वक उस को साबित करने के लिए मात्रा को हल नहीं कर सकता है । $P\neq NP$

अंत में यह इंगित करने योग्य है कि आरएसए (क्रिप्टो सिस्टम, ऊपर बताई गई फैक्टरिंग समस्या नहीं) तुच्छ रूप से सेमी-प्राइम्स से परे सामान्यीकृत करता है।

— जो फिट्जिमोंस
स्रोत

जो, मुझे लगता है कि यह मानना उचित होगा कि इस प्रश्न के लिए फैक्टरिंग (और इसलिए ) में नहीं है (और फिर इसका उत्तर ब्रेक-थ्रू जटिलता परिणाम नहीं होगा जैसा कि आपने पिछले पैराग्राफ में बताया था)।

P

$P$

P \neq N P

$P \neq NP$

— केवह

@Kaveh: मुझे नहीं लगता कि यह पर्याप्त है। हम यह दिखाना चाहते हैं कि या नहीं । आपके द्वारा किए गए विस्फोटों के आधार पर इस प्रश्न के अलग-अलग उत्तर हैं। कल्पना कीजिए कि वास्तव में P = NP (वास्तव में हमें केवल P में PACT की आवश्यकता है, लेकिन मैं P v NP से संबंध पर जोर देना चाहता था), लेकिन हम यह धारणा बनाते हैं कि FACT P में नहीं है। तब यह साबित करना संभव है कि कमी के लिए एक बहुपद समय एल्गोरिथ्म का प्रदर्शन करके, या यह साबित करने के लिए कि RSA के लिए एक बहुपद समय एल्गोरिथ्म का प्रदर्शन करके और जटिलता के बारे में धारणा का उपयोग करके। तथ्य का।

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} \neq P^{F A C T}

$P^{RSA} \neq P^{FACT}$

— जो फिट्जसिमों

मैंने प्रश्न की व्याख्या " " के रूप में की। फिर यदि तो उत्तर तुच्छ रूप से हां है। तो हम यह मान सकते हैं कि , और यदि हम एक गलत धारणा बना रहे हैं, तो निश्चित रूप से हम कुछ भी प्राप्त कर सकते हैं। :)

F A C T \in P^{R S A} ?

$FACT \in P^{RSA}?$

F A C T \in P

$FACT \in P$

F A C T \notin P

$FACT \notin P$

— केवह

@ केव: मेरा मानना है कि समस्या के दो बयान इस मामले में बराबर हैं। मेरा कहना है कि यह केवल संभावित रूप से यह साबित करने के लिए संभव है कि में पहले P बनाम NP तय किए बिना, और न ही रूपांतरण।

F A C T \in P^{R S A}

$FACT \in P^{RSA}$

— जो फिट्जिमंस

काफी हद तक पूर्ण उत्तर नहीं है, लेकिन एक सुधार प्रतीत होता है:

ऊपर दिए गए शोध पत्रों में एथिकल रूट्स मॉड एन की गणना की समस्या की तुलना की गई है, अर्थात आरएसए क्रिप्टोसिस्टम में निजी कुंजी संचालन, फैक्टरिंग की समस्या को, अर्थात निजी कुंजी को ढूंढना, दोनों मामलों में, केवल सार्वजनिक कुंजी का उपयोग करना। इस मामले में, फैक्टरिंग की समस्या सामान्य मामला नहीं है, लेकिन सेमीप्राइम केस है। दूसरे शब्दों में, वे एक अलग प्रश्न पर विचार कर रहे हैं।

मेरा मानना है कि यह ज्ञात है, नूथ का एओसीपी देखें, कि अधिकांश संख्याओं में एन प्रमुख कारक हैं जिनकी बिट लंबाई एन की तुलना में थोड़ी लंबाई की है, औसतन 1/2, 1/4, 1/8, ... जैसे कुछ। या शायद और भी तेजी से गिर रहा है, जैसा कि 2/3, 2/9, 2/27, में ... लेकिन शायद बाहर समतल हो रहा है। तो, छोटे आकार के सामान्य यादृच्छिक एन के लिए कि छोटे कारकों को परीक्षण विभाग या लेनस्ट्रा के ईसीएम द्वारा जल्दी से पाए जाने की उम्मीद की जा सकती है, फिर जो शेष रहता है वह एक अर्धविराम हो सकता है, हालांकि एक असंतुलित। यह एक प्रकार की कटौती है, लेकिन यह कारकों के वितरण पर भारी निर्भर करता है, और यह एक धीमी कमी है, जिसमें यह अन्य कारक एल्गोरिदम को आमंत्रित करता है।

इसके अलावा, यह निर्धारित करने के लिए कोई ज्ञात परीक्षण नहीं है कि कोई संख्या अर्धवृत्ताकार है या नहीं। इसका मतलब केवल यह है कि अगर किसी ने एक सामान्य संख्या के लिए एक सेमीप्राइम फैक्टराइजेशन एल्गोरिदम लागू किया है, और यह हमेशा विफल रहा है, तो किसी ने अज्ञात समस्या को हल किया है।

— user18217
स्रोत

फैक्टराइजेशन एल्गोरिदम को बहुपद समय में चलना होगा, हालाँकि। तो वास्तव में आप कह रहे हैं "यदि आपके पास एक पॉली-टाइम फैक्टराइजेशन एल्गोरिदम था, तो आप एक अज्ञात समस्या हल कर लेंगे"। चूँकि एक संख्या एक अर्धवृत्ताकार है या नहीं यह पता लगाने के लिए भोले कारक के एल्गोरिथ्म का उपयोग किया जा सकता है।

— इलियट गोरोखोव्स्की 19