ลดขอบเขตในช่วงเวลาในการแยกตัวประกอบจำนวนเต็ม

ในปี 1975 มิลเลอร์ได้แสดงวิธีลดการแยกตัวประกอบของจำนวนเต็มเพื่อหาระยะเวลาของฟังก์ชันเช่นนั้นf (x + r) = f (x)กับบางสุ่มได้รับการแต่งตั้งค่า <N เป็นที่ทราบกันดีว่าอัลกอริทึมของชอร์สามารถค้นหาr ได้อย่างมีประสิทธิภาพบนคอมพิวเตอร์ควอนตัมในขณะที่เชื่อกันว่าคอมพิวเตอร์แบบคลาสสิกสามารถค้นพบrได้$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

คำถามของฉันตอนนี้คือจะมีผู้ใดที่รู้จักกันในขอบเขตที่ลดลงใน$r$สำหรับสุ่ม$N$ ? มีขอบเขตใด ๆ ใน$r$กำหนด$N=pq$ถูกเลือกเหมือนใน RSA หรือไม่? เห็นได้ชัดว่า$r$ต้องเป็น$\Omega(\log(N))$เป็นอย่างอื่นที่สามารถประเมิน$f(x)$บน$O(\log(N))$คะแนนต่อเนื่องเพื่อหา$r$แบบคลาสสิก มันจะพอเพียงที่จะทำลาย RSA ถ้ามีอัลกอริธึมแฟคตอริ่งระหว่างคลาสสิกซึ่งทำงานภายใต้สมมติฐานบางอย่างเกี่ยวกับการกระจายของ$r$ , เช่น$r \in \Theta(N/\log(N))$หรือ$r \in \Theta(\sqrt{N})$ ?

งานนำเสนอของ Carl Pomerance ใน " The multiplicative order mod $n$โดยเฉลี่ย " อ้างถึงหลักฐานที่$r$คือ$O(N/\log(N))$โดยเฉลี่ยเหนือNทั้งหมด$N$แต่ฉันไม่แน่ใจว่าอัลกอริทึมแบบดั้งเดิมที่สามารถแยกปัจจัย$N$ภายใต้สมมติฐานของ$r \in O(N/\log(N))$จะทำลาย RSA ได้อย่างแน่นอน Nสามารถ$N$ถูกเลือกให้มี$r \in O(N))$หรือ$r \in O(\sqrt{N})$หรือไม่?

(หมายเหตุ: มีคำถามที่เกี่ยวข้องกับแฟคตอริ่งทั่วไปกับ RSA แฟคตอริ่ง)

ถ้าคาบจะเป็นตัวหารของเสมอ หากคุณเลือกที่และสำหรับนายกแล้วนอกจากคุณจะโชคดีอย่างไม่น่าเชื่อว่าเราจะมี 4 ฉันยังเชื่อว่าเราได้อย่างมีประสิทธิภาพสามารถหาช่วงเวลาที่กับโดยการเลือกผู้สมัครแบบสุ่มและการทดสอบพวกเขา (นี้เป็นจริงถ้าเหตุการณ์ที่และ$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$เป็นนายกมีอิสระอย่างเกรี้ยวกราด; ฉันไม่รู้ว่าสิ่งนี้ได้รับการพิสูจน์แล้วหรือยัง) ดังนั้นโดยการเลือกช่วงเวลาของคุณอย่างระมัดระวัง RSA จะยังคงปลอดภัยต่อการโจมตีแม้ว่าจะมีสมมติฐานเพิ่มเติมเกี่ยวกับการแยกตัวประกอบอย่างง่าย

ฉันสงสัยว่าตัวเลขสุ่มหรือสุ่มนั้นมีโอกาสน้อยมากที่จะมีแต่ฉันไม่มีหลักฐานของการกระทำผิดนี้ สมมติฐานนั้นแข็งแกร่งมากและฉันจะไม่แปลกใจถ้าอัลกอริทึมแฟคตอริ่งที่มีประสิทธิภาพเป็นที่รู้จักกันดีในกรณีนี้$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$