पूर्णांक कारक में अवधि पर कम सीमा?

$N$ $r$ $f(x)=a^x\;\bmod\;N$ $f(x+r)=f(x)$ $a<N$ $r$ $r$

मेरा सवाल अब यह है: क्या यादृच्छिक लिए पर कोई ज्ञात निचली सीमा है ? वहाँ पर कोई सीमा नहीं कर रहे हैं दी आरएसए में के रूप में चुना जाता है? जाहिर है, होना चाहिए अन्यथा के रूप में एक बस का मूल्यांकन कर सकता है पर आंकड़ा लगातार अंक बाहर प्रतिष्ठित। क्या यह आरएसए को तोड़ने के लिए पर्याप्त होगा यदि एक शास्त्रीय फैक्टरिंग एल्गोरिथ्म था जो केवल के वितरण पर कुछ धारणा के तहत काम करता है , जैसे कि या द ? $r$ $N$ $r$ $N=pq$ $r$ $\Omega(\log(N))$ $f(x)$ $O(\log(N))$ $r$ $r$ $r \in \Theta(N/\log(N))$ $r \in \Theta(\sqrt{N})$

पर "कार्ल पोमेरान्स की एक प्रस्तुति गुणक आदेश आधुनिक औसतन $n$ " सबूत है कि हवाला देते है सब कुछ खत्म हो औसतन , फिर भी मुझे यकीन है कि नहीं कर रहा हूँ एक शास्त्रीय एल्गोरिथ्म कारक बन सकते हैं जो कि क्या की परिकल्पना के तहत निर्णायक रूप से RSA को तोड़ दिया जाएगा। क्या या _ होने के लिए चुना जा सकता है ? $r$ $O(N/\log(N))$ $N$ $N$ $r \in O(N/\log(N))$ $N$ $r \in O(N))$ $r \in O(\sqrt{N})$

(नोट: जेनेरिक फैक्टरिंग बनाम आरएसए फैक्टरिंग पर संबंधित प्रश्न है )

cc.complexity-theory cr.crypto-security factoring

— मार्टिन श्वार्ज
स्रोत

यदि , पीरियड हमेशा विभाजक होगा । यदि आप और को हैं, तो जब तक आप अविश्वसनीय रूप से भाग्यशाली नहीं होंगे, तब तक हमारे पास । मेरा यह भी मानना है कि हम कुशलतापूर्वक उम्मीदवारों के लिए साथ primes पता लगा सकते हैं और उनका परीक्षण कर सकते हैं (यदि यह सत्य है कि और $N=pq$ $r$ $\phi(N)=\mathrm{lcm}(p-1,q-1)$ $p-1=2p'$ $q-1=2q'$ $p',q'$ $r \geq p'q' \approx N/4$ $p$ $p=2p'+1$ $p$ $p'$ प्राइम लगभग स्वतंत्र हैं; मुझे नहीं पता कि यह साबित हुआ है)। इस प्रकार, ध्यान से अपने अपराधों को चुनकर, RSA अभी भी आसान फैक्टरिंग के बारे में अतिरिक्त परिकल्पना के साथ हमलों के खिलाफ सुरक्षित होगा।

मुझे लगता है कि रैंडम नंबर या रैंडम होने की संभावना नहीं है , लेकिन मेरे पास इस अपराध का कोई सबूत नहीं है। परिकल्पना बेहद मजबूत है, और मुझे आश्चर्य नहीं होगा अगर एक कुशल फैक्टरिंग एल्गोरिथ्म पहले से ही इस मामले के लिए जाना जाता था। $N$ $N=pq$ $r \in O(\sqrt{N})$ $r\in O(\sqrt{N})$

— पीटर शोर
स्रोत