คำถามของฉันเกี่ยวกับความเท่าเทียมกันของความปลอดภัยของฟังก์ชั่นทางเดียวที่ผู้สมัครสามารถสร้างได้ขึ้นอยู่กับความแข็งของแฟคตอริ่ง
สมมติว่าปัญหาของ
ปัจจัย: [ให้สำหรับช่วงเวลาสุ่มP , Q < 2 n , หาP , Q ]
ไม่สามารถแก้ไขได้ในเวลาพหุนามด้วยความน่าจะเป็นที่ไม่มีสิทธิ์ฟังก์ชัน
PRIME-MULT: [ ป.ร. ให้ไว้สตริงบิตเป็น input ใช้xเป็นเมล็ดพันธุ์ที่จะสร้างทั้งสองช่วงเวลาสุ่มPและQ (ที่ความยาวของP , Qเป็นเพียง polynomially ขนาดเล็กกว่าความยาวของx ); จากนั้นเอาต์พุตP Q ]
สามารถแสดงเป็นทางเดียว
ฟังก์ชันทางเดียวของผู้สมัครอื่นคือ
INTEGER-MULT: [รับจำนวนเต็มสุ่มเป็นอินพุตเอาต์พุตA B ]
INTEGER-MULT มีข้อได้เปรียบที่ง่ายต่อการกำหนดเมื่อเปรียบเทียบกับ PRIME-MULT (โปรดสังเกตโดยเฉพาะอย่างยิ่งว่าใน PRIME-MULT มีโอกาส (แต่โชคไม่สำคัญเล็กน้อย) ที่เมล็ดล้มเหลวในการสร้างP , Qที่ดีที่สุด)
อย่างน้อยในสองสถานที่ที่แตกต่างกัน (Arora-Barak, Computational Complexity, หน้า 177, เชิงอรรถ 2) และ ( Vadhan's Introduction to Cryptography บรรยายการบรรยาย ) กล่าวกันว่า INTEGER-MULT เป็นทางเดียวที่สมมติว่ามีความแข็งเฉลี่ยของแฟคตอริ่ง อย่างไรก็ตามทั้งสองไม่ได้ให้เหตุผลหรือการอ้างอิงสำหรับข้อเท็จจริงนี้
ดังนั้นคำถามคือ:
เราจะลดสัดส่วนเวลาของพหุนามในด้วยความน่าจะเป็นที่ไม่มีสิทธิ์ในการแปลง INTEGER-MULT ด้วยความน่าจะเป็นที่ไม่มีสิทธิ์ได้อย่างไร
นี่คือวิธีการที่เป็นไปได้ (ว่าเราจะได้เห็นไม่ทำงาน!): ให้คูณNโดยมาก (แม้ว่า polynomially) สุ่มนานจำนวนเต็ม'ที่จะได้รับ= N ' แนวคิดก็คือว่า'มีขนาดใหญ่เพื่อให้มีจำนวนมากปัจจัยสำคัญที่มีขนาดเท่ากับP , Qเพื่อให้P , Qไม่ได้ "โดดเด่น" ในหมู่ปัจจัยสำคัญของ จากนั้นAมีการกระจายตัวของจำนวนเต็มแบบสุ่มที่สม่ำเสมอในช่วงที่กำหนด (พูดว่า[ 0 ) ถัดไปเลือกจำนวนเต็ม Bสุ่มจากช่วงเดียวกัน [ 0 , 2 n - 1 ]
ตอนนี้ถ้าอินเวอร์เตอร์สำหรับ INTEGER-MULT สามารถรับโดยมีความน่าจะเป็นที่จะหาA ′ , B ′ < 2 nเช่นนั้นA ′ B ′ = A Bความหวังคือหนึ่งในA ′หรือB ′มีPเป็น ปัจจัยและอื่น ๆ ที่มีQ ถ้าเป็นกรณีที่เราสามารถหาPหรือQโดยการ GCD ของ'กับN = P Q
ปัญหาคือว่าอินเวอร์เตอร์อาจเลือกที่จะแยกปัจจัยสำคัญตัวอย่างเช่นการวางปัจจัยเล็ก ๆ ของBใน'และคนที่มีขนาดใหญ่ในB 'เพื่อให้PและQจบลงทั้งใน'หรือทั้งสองอย่างในB '
มีวิธีอื่นที่ใช้งานได้หรือไม่