การลดแฟคตอริ่งระหว่างผลิตภัณฑ์หลักไปยังแฟคตอริ่งจำนวนเต็ม (โดยเฉลี่ย)

คำถามของฉันเกี่ยวกับความเท่าเทียมกันของความปลอดภัยของฟังก์ชั่นทางเดียวที่ผู้สมัครสามารถสร้างได้ขึ้นอยู่กับความแข็งของแฟคตอริ่ง

สมมติว่าปัญหาของ

ปัจจัย: [ให้สำหรับช่วงเวลาสุ่ม , หา , ] $N = PQ$ $P, Q < 2^n$ $P$ $Q$

ไม่สามารถแก้ไขได้ในเวลาพหุนามด้วยความน่าจะเป็นที่ไม่มีสิทธิ์ฟังก์ชัน

PRIME-MULT: [ ป.ร. ให้ไว้สตริงบิตเป็น input ใช้เป็นเมล็ดพันธุ์ที่จะสร้างทั้งสองช่วงเวลาสุ่มและ (ที่ความยาวของ , เป็นเพียง polynomially ขนาดเล็กกว่าความยาวของ ); จากนั้นเอาต์พุต ] $x$ $x$ $P$ $Q$ $P$ $Q$ $x$ $PQ$

สามารถแสดงเป็นทางเดียว

ฟังก์ชันทางเดียวของผู้สมัครอื่นคือ

INTEGER-MULT: [รับจำนวนเต็มสุ่มเป็นอินพุตเอาต์พุต ] $A, B < 2^n$ $A B$

INTEGER-MULT มีข้อได้เปรียบที่ง่ายต่อการกำหนดเมื่อเปรียบเทียบกับ PRIME-MULT (โปรดสังเกตโดยเฉพาะอย่างยิ่งว่าใน PRIME-MULT มีโอกาส (แต่โชคไม่สำคัญเล็กน้อย) ที่เมล็ดล้มเหลวในการสร้างที่ดีที่สุด) $x$ $P, Q$

อย่างน้อยในสองสถานที่ที่แตกต่างกัน (Arora-Barak, Computational Complexity, หน้า 177, เชิงอรรถ 2) และ ( Vadhan's Introduction to Cryptography บรรยายการบรรยาย ) กล่าวกันว่า INTEGER-MULT เป็นทางเดียวที่สมมติว่ามีความแข็งเฉลี่ยของแฟคตอริ่ง อย่างไรก็ตามทั้งสองไม่ได้ให้เหตุผลหรือการอ้างอิงสำหรับข้อเท็จจริงนี้

ดังนั้นคำถามคือ:

เราจะลดสัดส่วนเวลาของพหุนามในด้วยความน่าจะเป็นที่ไม่มีสิทธิ์ในการแปลง INTEGER-MULT ด้วยความน่าจะเป็นที่ไม่มีสิทธิ์ได้อย่างไร $N = PQ$

นี่คือวิธีการที่เป็นไปได้ (ว่าเราจะได้เห็นไม่ทำงาน!): ให้คูณโดยมาก (แม้ว่า polynomially) สุ่มนานจำนวนเต็มที่จะได้รับ 'แนวคิดก็คือว่ามีขนาดใหญ่เพื่อให้มีจำนวนมากปัจจัยสำคัญที่มีขนาดเท่ากับเพื่อให้ไม่ได้ "โดดเด่น" ในหมู่ปัจจัยสำคัญของ จากนั้นมีการกระจายตัวของจำนวนเต็มแบบสุ่มที่สม่ำเสมอในช่วงที่กำหนด (พูดว่า $N = PQ$ $N$ $A'$ $A = NA'$ $A'$ $P, Q$ $P, Q$ $A$ $A$ ) ถัดไปเลือกจำนวนเต็มสุ่มจากช่วงเดียวกัน ] $[0,2^n-1]$ $B$ $[0,2^n-1]$

ตอนนี้ถ้าอินเวอร์เตอร์สำหรับ INTEGER-MULT สามารถรับโดยมีความน่าจะเป็นที่จะหาเช่นนั้นความหวังคือหนึ่งในหรือมีเป็น ปัจจัยและอื่น ๆ ที่มีQถ้าเป็นกรณีที่เราสามารถหาหรือโดยการ GCD ของกับ Q $AB$ $A', B' < 2^n$ $A'B' = AB$ $A'$ $B'$ $P$ $Q$ $P$ $Q$ $A'$ $N = PQ$

ปัญหาคือว่าอินเวอร์เตอร์อาจเลือกที่จะแยกปัจจัยสำคัญตัวอย่างเช่นการวางปัจจัยเล็ก ๆ ของในและคนที่มีขนาดใหญ่ในเพื่อให้และจบลงทั้งในหรือทั้งสองอย่างใน ' $AB$ $A'$ $B'$ $P$ $Q$ $A'$ $B'$

มีวิธีอื่นที่ใช้งานได้หรือไม่

— Omid Etesami
แหล่งที่มา

เราสามารถลดความน่าจะเป็นที่จะเกิดความล้มเหลวสำหรับ INT-FACT ที่จะมีค่าน้อยมากแล้วใช้ความหนาแน่นของจำนวนเฉพาะเพื่อบอกว่ามันจะไม่ล้มเหลวในผลิตภัณฑ์ส่วนใหญ่ของสองช่วงเวลา

— Kaveh

ถ้าเราสามารถสลับอินทิกรัล -MULT สำหรับอินสแตนซ์ทั้งหมดยกเว้นอินสแตนซ์ที่น้อยนิดของอินสแตนซ์แน่นอนว่าผลิตภัณฑ์ที่เป็นปัจจัยแห่งความสมบูรณ์จะเป็นเรื่องง่าย แต่ฉันไม่รู้วิธีรับอินเวอร์เตอร์แรงสูงจากอินเวอร์เตอร์อ่อน

— Omid Etesami

(การอย่างใด) ผกผันของปัญหานี้ได้รับการกล่าวถึงที่นี่

— MS Dousti

mathoverflow.net/questions/71604/…

— Tsuyoshi Ito

นี่ไม่ใช่คำตอบที่แท้จริง แต่มันได้อธิบายถึงความยากลำบากในการแสดงให้เห็นถึงการลดลงดังกล่าว

$\mathcal{A}$ $n^{-c}$ $c \in \mathbb{N}$ $n$ $\mathcal{A}'$ $\mathcal{A}$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $N$ $N = PQR$ $P$ $Q$ $n/4$ $R$ $n/2$ $N$ $PQ$ $R$ $\mathcal{A}^*$ $n$ $\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$ $\mathcal{A}^*$ $n$ $n^{-d}$ $d \in \mathbb{N}$

$\mathcal{A}^*$ $PQ$

— MS Dousti
แหล่งที่มา