คำถามติดแท็ก cr.crypto-security

บ่อยครั้งที่มีการกล่าวว่าเมื่อใช้อัลกอริทึม MD5 ในการลงนามข้อมูลโดยพลการความลับที่ใช้ร่วมกันจะต้องมีในตอนท้าย ทำไม?

16 hash-function  cr.crypto-security 

เท่าที่ฉันสามารถบอกได้การใช้งานQKDเกือบทั้งหมดใช้อัลกอริทึม CASCADE ของ Brassard และ Salvailสำหรับการแก้ไขข้อผิดพลาด นี่เป็นวิธีที่ดีที่สุดที่รู้จักกันดีในการแก้ไขข้อผิดพลาดในลำดับที่แชร์ของ qubits แบบสุ่มหรือมีข้อเสนอที่ดีกว่าที่การใช้งาน QKD ควรใช้แทนหรือไม่

14 cr.crypto-security  quantum-computing  quantum-information 

ฉันกำลังแก้ไขรูปแบบการเข้ารหัสบางอย่าง เพื่อแสดงความไม่เพียงพอฉันได้วางแผนโปรโตคอลที่ออกแบบมาโดยอาศัยกราฟมอร์ฟิซึ่มส์ มันเป็น "ธรรมดา" (ยังเป็นที่ถกเถียงกันอยู่!) ที่จะสมมติว่าการดำรงอยู่ของอัลกอริธึม BPP สามารถสร้าง "กรณียากของปัญหากราฟ Isomorphism" (พร้อมกับพยานมอร์ฟิซึ่มส์) ในโปรโตคอลที่วางแผนไว้ของฉันฉันจะสมมติว่ามีอัลกอริทึม BPP ดังกล่าวซึ่งตรงตามข้อกำหนดเพิ่มเติมหนึ่งข้อ: ให้กราฟที่สร้างขึ้นจะและG_2มีเพียงพยานคนหนึ่ง (เปลี่ยนแปลง) ที่แมปเป็นเพื่อG_2G1G1G_1G2G2G_2G1G1G_1G2G2G_2 นี่ก็หมายความว่ามีเพียงautomorphisms จิ๊บจ๊อย ในคำอื่น ๆ ฉันสมมติว่าการดำรงอยู่ของอัลกอริทึม BPP บางอย่างซึ่งทำงานดังนี้:G1G1G_1 บนอินพุทให้สร้างกราฟ -vertexซึ่งมันจะมีออโตฟิวชั่นเพียงเล็กน้อยเท่านั้น1n1n1^nnnnG1G1G_1 เลือกการเปลี่ยนแปลงสุ่มกว่าและใช้มันในที่จะได้รับG_2ππ\pi[ n ] = { 1 , 2 , … , n }[n]={1,2,...,n}[n]=\{1,2,\ldots,n\}G1G1G_1G2G2G_2 เอาท์พุท ⟩⟨ กรัม1, ช2, π⟩⟨G1,G2,π⟩\langle G_1,G_2,\pi \rangle ฉันจะสมมติว่าในขั้นตอนที่ 1 สามารถสร้างได้ตามต้องการและ เป็นตัวอย่างที่ยากของปัญหากราฟมอร์ฟ …

14 graph-theory  cr.crypto-security  automorphism  graph-isomorphism  randomized-algorithms 

พิจารณารายการที่มีการเชื่อมโยงต่ำมากในการตั้งค่าการทำงานอย่างหมดจด การสรรเสริญของมันได้รับการร้องจากยอดเขาและจะยังคงสูง ที่นี่ฉันจะพูดถึงหนึ่งในจุดแข็งและคำถามว่ามันจะขยายไปสู่ระดับที่กว้างขึ้นของลำดับการทำงานที่บริสุทธิ์โดยใช้ต้นไม้ ปัญหามีดังต่อไปนี้: คุณต้องการทดสอบความเท่าเทียมกันของโครงสร้างเกือบทั้งหมดในเวลา O (1) โดยใช้วิธีการแปลงแป้นพิมพ์ที่เข้มงวด หากฟังก์ชันแฮชคือการเรียกซ้ำแบบโครงสร้างเช่น hash (x: xs) = ผสม x (hash xs) ดังนั้นคุณสามารถแคชค่าแฮชของรายการอย่างโปร่งใสและอัปเดตในเวลา O (1) เมื่อองค์ประกอบถูกพิจารณาลงในรายการที่มีอยู่ . อัลกอริทึมส่วนใหญ่สำหรับรายการที่แปลงแป้นพิมพ์มีการวนซ้ำแบบโครงสร้างดังนั้นวิธีนี้จึงใช้งานได้อย่างเด่นชัด แต่สมมติว่าแทนที่จะเป็นรายการที่เชื่อมโยงโดยลำพังคุณมีลำดับต้นไม้ที่สนับสนุนการเชื่อมโยงความยาว O (n) สองลำดับในเวลา O (log n) สำหรับการแคชแฮชให้ทำงานที่นี่ฟังก์ชันการผสมแฮชจะต้องเชื่อมโยงเพื่อเคารพองศาอิสระของต้นไม้ที่แสดงถึงลำดับเชิงเส้นเดียวกัน มิกเซอร์ควรใช้ค่าแฮชของทรีย่อยและคำนวณค่าแฮชของทรีทั้งหมด นี่คือที่ฉันเมื่อหกเดือนที่แล้วเมื่อฉันใช้เวลาหนึ่งวันครุ่นคิดและค้นคว้าปัญหานี้ ดูเหมือนว่าจะไม่ได้รับความสนใจในวรรณกรรมเกี่ยวกับโครงสร้างข้อมูล ฉันเจออัลกอริธึมการแปลงรหัส Tillich-Zemor จากการเข้ารหัส มันอาศัยการคูณเมทริกซ์ 2x2 (ซึ่งเชื่อมโยง) โดยที่บิต 0 และ 1 สอดคล้องกับเครื่องกำเนิดไฟฟ้าสอง subalgebra ที่มีรายการในฟิลด์ Galois คำถามของฉันคือฉันพลาดอะไรไป จะต้องมีเอกสารที่เกี่ยวข้องทั้งในวรรณคดีเกี่ยวกับการเข้ารหัสและโครงสร้างข้อมูลที่ฉันไม่พบในการค้นหาของฉัน …

14 ds.data-structures  cr.crypto-security  functional-programming  hash-function 

ระบบเข้ารหัสคีย์สาธารณะจำนวนมากมีความปลอดภัยที่พิสูจน์ได้ ตัวอย่างเช่นระบบการเข้ารหัสลับของ Rabinนั้นยากที่จะพิสูจน์ให้เห็น ฉันสงสัยว่าความปลอดภัยที่พิสูจน์ได้ดังกล่าวมีอยู่สำหรับระบบเข้ารหัสลับที่เป็นความลับเช่น AES หรือไม่ ถ้าไม่เป็นเช่นไรหลักฐานที่แสดงว่าการทำลาย cryptosystem นั้นยากหรือไม่ (นอกเหนือจากความต้านทานต่อการโจมตีแบบลองผิดลองถูก) หมายเหตุ:ฉันคุ้นเคยกับการทำงานของ AES (AddRoundKey, SubBytes, ShiftRows และ MixColumns) ดูเหมือนว่าความแข็งของ AES เกิดจากการดำเนินการ MixColumns ซึ่งจะต้องสืบทอดความยากลำบากจากปัญหาที่ยากกว่า Galois Fields (และพีชคณิต) ในความเป็นจริงฉันสามารถย้ำคำถามของฉันเป็น: " ปัญหาพีชคณิตยากซึ่งรับประกันความปลอดภัยของ AES?"

14 cr.crypto-security  algebra  algebraic-complexity 

การสังเกตที่เกี่ยวข้องกับการเข้ารหัสแบบอสมมาตรคือฟังก์ชั่นบางอย่างนั้น (เชื่อว่าเป็น) นั้นง่ายต่อการปฏิบัติในทิศทางเดียว แต่ยากที่จะกลับด้าน นอกจากนี้หากมีข้อมูล 'กับดัก' ที่อนุญาตให้ทำการคำนวณแบบผกผันได้อย่างรวดเร็วปัญหาจะกลายเป็นตัวเลือกสำหรับรูปแบบการเข้ารหัสคีย์สาธารณะ ปัญหากับดักฟังแบบคลาสสิคที่โด่งดังจาก RSA นั้นรวมถึงปัญหาการแยกตัวประกอบและปัญหาบันทึกแยก ในช่วงเวลาเดียวกับที่เผยแพร่ RSA นั้น Rabin ได้คิดค้นกุญแจสาธารณะของระบบเข้ารหัสที่มีพื้นฐานมาจากการค้นหารากที่สองที่แยกจากกัน ผู้สมัครคนอื่น ๆ ได้ลดทอนช่วงหลายปีที่ผ่านมา KNAPSACK (ไม่นานหลังจาก RSA), Elliptic Curve "Logarithms" พร้อมพารามิเตอร์เฉพาะและ Lattice Shortest Basis problems เป็นตัวอย่างของปัญหาที่มีปัญหากับดักที่ใช้ในแผนการเผยแพร่อื่น ๆ นอกจากนี้ยังง่ายที่จะเห็นว่าปัญหาดังกล่าวจะต้องอยู่ในที่ใดที่หนึ่งใน NP สิ่งนี้ทำให้ฉันหมดความรู้เรื่องฟังก์ชั่นประตูกล ดูเหมือนว่าจะหมดรายการในWikipediaเช่นกัน ฉันหวังว่าเราจะได้รับรายชื่อวิกิชุมชนของภาษาที่ยอมรับกับดักและวรรณกรรมที่เกี่ยวข้อง รายการจะมีประโยชน์ ความต้องการที่เปลี่ยนแปลงตลอดเวลาของการเข้ารหัสยังเปลี่ยนแปลงได้ว่าฟังก์ชันใดในการทำงานของประตูลับซึ่งเป็นพื้นฐานของระบบเข้ารหัส การระเบิดของที่เก็บข้อมูลบนคอมพิวเตอร์ทำให้โครงร่างมีขนาดใหญ่เป็นไปได้ ปีศาจที่ปรากฏตลอดกาลของ Quantum Computing ทำให้รูปแบบโมฆะซึ่งสามารถถูกทำลายได้ด้วย oracle เพื่อค้นหากลุ่มย่อยของชาว Abelian ที่ซ่อนอยู่ ระบบเข้ารหัส Cryptosystem เต็มรูปแบบของ …

13 cc.complexity-theory  cr.crypto-security  homomorphic-encryption 

ในกระดาษเรื่อง "On Deniability ในสตริงอ้างอิงทั่วไปและโมเดล Oracle แบบสุ่ม" Rafael Pass เขียน: เราทราบว่าเมื่อการพิสูจน์ความปลอดภัยตามนิยามศูนย์ความรู้มาตรฐานในรุ่น RO [Random Oracle] ตัวจำลองมีข้อดีสองประการเหนือตัวจำลองแบบธรรมดาคือ เครื่องจำลองสามารถดูได้ว่าฝ่ายใดสอบถามค่าพยากรณ์ใน เครื่องมือจำลองสามารถตอบแบบสอบถามเหล่านี้ในแบบที่มันเลือกตราบเท่าที่คำตอบ "ดู" ตกลง เทคนิคแรกคือความสามารถในการ "ติดตาม" การสืบค้น RO เป็นเรื่องธรรมดามากในเอกสารทั้งหมดที่อ้างถึงแนวคิดของศูนย์ความรู้ในแบบจำลอง RO ตอนนี้ให้พิจารณานิยามของzero-knowledge -black-box ( PPTหมายถึงความน่าจะเป็น, เครื่องทัวริงพหุนาม - เวลา ): a PPT simulator S , เช่นนั้น ∀ (อาจจะโกง) PPT verifier V ∗ , ∀อินพุตทั่วไป x ∈ L , …

13 cc.complexity-theory  cr.crypto-security  oracles  black-box 

ในบทที่ 10 ของ HAC (10.4.2)เราจะเห็นโปรโตคอลการระบุตัวตน Feige-Fiat-Shamir ที่รู้จักกันดีบนพื้นฐานของการพิสูจน์ความรู้แบบ zero-knowledge โดยใช้ความยากลำบาก (สันนิษฐาน) ในการแยกรูตรากโมดูโลคอมโพสิตที่ยากต่อการแยก ฉันจะให้รูปแบบในคำพูดของฉันเอง (และหวังว่าจะทำให้ถูกต้อง) มาเริ่มด้วยโครงร่างที่ง่ายกว่ากันเถอะ, ให้เป็นจำนวนเต็ม Blum (ดังนั้นและและแต่ละอันคือ 3 mod 4) ที่มีขนาดใหญ่พอสมควร เนื่องจากเป็นจำนวนเต็ม Blum ครึ่งหนึ่งขององค์ประกอบของมีสัญลักษณ์ Jacobi +1 และอีกครึ่งหนึ่งมี -1 สำหรับองค์ประกอบ +1 ครึ่งหนึ่งของเหล่านั้นมีรากที่สองและแต่ละองค์ประกอบที่มีรากที่สองมีสี่ของพวกเขาหนึ่งองค์ประกอบเป็นสี่เหลี่ยมnnnn=pqn=pqn=pqpppqqqnnnZ∗nZn∗Z_n^* ตอนนี้เพ็กกี้เลือกองค์ประกอบสุ่มจากและชุด 2 จากนั้นเธอก็ส่งไปยังวิกเตอร์ ถัดไปเป็นโปรโตคอล: Victor ความประสงค์ที่จะตรวจสอบว่าเพ็กกี้รู้รากที่สองของและเพ็กกี้มีความประสงค์ที่จะพิสูจน์ให้เขาโดยไม่ต้องบอกอะไรเกี่ยวกับเกินความจริงที่เธอรู้เช่นssssZ∗nZn∗Z_n^*v=s2v=s2v=s^2vvvvvvssssss เพ็กกี้เลือกสุ่มในและส่งไปยัง VictorrrrZ∗nZn∗Z_n^*r2r2r^2 Victor equiprobably ส่งหรือกลับไปที่ Peggyb=0b=0b=0b=1b=1b=1 Peggy ส่งถึง Victorrsbrsbrs^b วิกเตอร์สามารถยืนยันได้ว่าเพ็กกี้ได้ส่งคำตอบที่ถูกต้องโดยการยกกำลังสองสิ่งที่เขาได้รับและเปรียบเทียบกับผลลัพธ์ที่ถูกต้อง แน่นอนว่าเราทำซ้ำการโต้ตอบนี้เพื่อลดโอกาสที่เพ็กกี้เป็นเพียงผู้เดาที่โชคดี โปรโตคอลนี้อ้างว่าเป็น ZK …

12 cr.crypto-security  proofs  zero-knowledge 

ในอัลกอริทึมการเข้ารหัสเล็ก : ค่าคงที่เวทย์มนตร์ที่แตกต่างกันถูกนำมาใช้เพื่อป้องกันการโจมตีแบบง่าย ๆ โดยพิจารณาจากความสมมาตรของรอบ ค่าคงที่เวทย์มนตร์ 2654435769 หรือ 9E3779B9 16ถูกเลือกเป็นโดยที่ ϕ คืออัตราส่วนทองคำ232/ϕ232/ϕ2^{32}/ \phi ซึ่งคุณสมบัติไม่มีที่ทำให้มันมีประโยชน์ในบริบทนี้?232/ϕ232/ϕ2^{32}/ \phi

12 cr.crypto-security 

ข้อมูลจะไม่สูญหายเมื่อทำการแมปค่า 6 บิตกับค่า 4 บิตใน S-Boxes ของ DES หรือไม่ ถ้าเป็นเช่นนั้นเราจะย้อนกลับได้อย่างไรเพื่อให้ผลลัพธ์ที่ถูกต้องปรากฏขึ้น

12 cr.crypto-security 

แนวคิดของรูปแบบการแบ่งปันความลับมักเกิดจากชามิร์ (ก. ซามีร์, วิธีแบ่งปันความลับ , พล.อ. ACM, 22 (1979), หน้า 612-613) และ Blakey (GR Blakey, การปกป้องคีย์เข้ารหัสใน Proc. NCC, vol. 48, 1979, pp. 313-317.) ความคิดโดยรวมเป็นที่บางความลับจะถูกซ่อนจากผู้เข้าร่วมที่แทนที่จะได้รับในแต่ละส่วนแบ่งของฉัน หากผู้เข้าร่วมทุกคนตัดสินใจที่จะให้ความร่วมมือพวกเขาแต่ละคนส่งหุ้นของพวกเขาไปยัง combiner ที่ reconstructs S จากหุ้นนั้นฉัน เอกสารเกี่ยวกับแผนการแบ่งปันความลับมักจะอ้างถึงการใช้งานจริง (เช่นตู้นิรภัยของธนาคาร) แต่ฉันสงสัยว่านี่เป็นแอปพลิเคชั่น "โลกแห่งความจริง" สมมุติ (เช่นชั้นถัดลงไปในหอคอยงาช้าง) และสงสัยอย่างมากว่าพวกเขาสามารถตั้งชื่อธนาคาร (หรือ บริษัท อื่น ๆ ) ที่ใช้รูปแบบการแบ่งปันความลับ คำถาม: อะไรคือตัวอย่างจริงในโลกแห่งความเป็นจริง? เป็นการดีที่ฉันต้องการคำตอบที่: ใน บริษัท X พวกเขาใช้แผนการแบ่งปันความลับ …

12 cr.crypto-security  application-of-theory 

ฉันพยายามที่จะเข้าใจโปรโตคอล bitcoin ในบริบทของความปลอดภัยการเข้ารหัสคอมพิวเตอร์ คำถามคือคำร้องขออ้างอิงถึงรากฐานของบทความการเข้ารหัสใน bitcoin คำถามแรกของฉันคือสิ่งที่ bitcoin โปรโตคอลการเข้ารหัสนามธรรมพยายามนำไปใช้? เรามีคำจำกัดความของเงินอิเล็กทรอนิกส์ / สกุลเงินดิจิทัลในการเข้ารหัสที่รวบรวมบิตคอยน์หรือไม่? ข้อกำหนดด้านความปลอดภัยสำหรับเงินอิเล็กทรอนิกส์ที่ปลอดภัยมีอะไรบ้าง หากคำตอบคือใช่ บริษัท เช่น eBay จะให้บริการโอนเงินทางอิเล็กทรอนิกส์แบบรวมศูนย์ การพิจารณาเงินอิเล็กทรอนิกส์ที่กระจายอำนาจเปลี่ยนคำจำกัดความของโปรโตคอลการเข้ารหัสนามธรรมสำหรับเงินอิเล็กทรอนิกส์หรือไม่? หรือเป็นเพียงแนวคิดเดียวกัน แต่ในรูปแบบที่ไม่มีบุคคลที่สามที่เชื่อถือได้? ฝ่ายตรงข้ามสามารถทำลายโปรโตคอลได้หรือไม่หากมันมีพลังการคำนวณมากกว่าพลังการคำนวณแบบรวมของฝ่ายอื่น ๆ (ซื่อสัตย์)? สมมติว่าเรามีปาร์ตี้สำหรับบวกกับฝ่ายตรงข้ามเครือข่ายและฝ่ายตรงข้ามต้องการทำลายโปรโตคอล bitcoin เพื่อความง่ายสมมติว่ากราฟเครือข่ายคือและฝ่ายตรงข้ามไม่ได้ควบคุมเครือข่ายและเป็นเพียงฝ่ายที่เหมือนกับคนอื่น ๆ อะไรคือข้อเรียกร้องทางคณิตศาสตร์ที่แน่นอนเกี่ยวกับความปลอดภัยของโปรโตคอลในกรณีง่าย ๆ นี้?nnnPผมPผมP_i1 ≤ฉัน≤ n1≤ผม≤n1 \leq i \leq nAAAKn + 1Kn+1K_{n+1}

11 reference-request  cr.crypto-security 

ฉันมีคำถามสองสามข้อเกี่ยวกับการหลอกวงจรความลึกคงที่ เป็นที่รู้จักกันว่าความเป็นอิสระ -wise เป็นสิ่งจำเป็นที่จะหลอกC 0วงจรของความลึกdที่nคือขนาดของการป้อนข้อมูล เราจะพิสูจน์สิ่งนี้ได้อย่างไรเข้าสู่ระบบO ( d)( n )logO(d)⁡(n)\log^{O(d)}(n)C0AC0AC^0dddnnn ตั้งแต่ข้างต้นเป็นความจริงกำเนิด pseudorandom ใด ๆ ที่คนโง่C 0วงจรของความลึกdจำเป็นต้องมีความยาวเมล็ดL = Ω ( บันทึกd ( n ) )ซึ่งก็จะหมายความว่าไม่สามารถคาดหวังที่จะพิสูจน์R C 0 = C 0ผ่าน PRG ฉันเชื่อว่าR A C 0 หรือไม่ = A C 0ยังคงเป็นคำถามเปิดดังนั้นหมายความว่าเราต้องใช้เทคนิคอื่นนอกเหนือจาก PRGs เพื่อพิสูจน์R A CC0AC0AC^0dddl = Ω ( บันทึกd( n ) )l=Ω(logd⁡(n))l …

11 cc.complexity-theory  cr.crypto-security  circuit-complexity  derandomization  pseudorandom-generators 

พื้นหลังบางส่วน: ฉันสนใจที่จะหาขอบเขตที่ต่ำกว่า "ที่รู้จักน้อยกว่า" (หรือผลลัพธ์ความแข็ง) สำหรับปัญหาการเรียนรู้ที่มีข้อผิดพลาด (LWE) และการวางหลักเกณฑ์ทั่วไปเช่นการเรียนรู้ที่มีข้อผิดพลาดเกี่ยวกับวงแหวน สำหรับคำจำกัดความเฉพาะเป็นต้นนี่คือแบบสำรวจที่ดีโดย Regev: http://www.cims.nyu.edu/~regev/papers/lwesurvey.pdf ประเภทมาตรฐานของ (R) LWE-style สมมติฐานคือการลดลง (อาจจะเป็นควอนตัม) เพื่อลดปัญหาเวกเตอร์ที่สั้นที่สุดบน (อาจเป็นอุดมคติ) โปรย สูตรปกติของ SVP นั้นเป็นที่รู้จักกันดีว่า NP-hard และเชื่อกันว่าเป็นเรื่องยากที่จะประมาณค่าปัจจัยพหุนามขนาดเล็ก (ที่เกี่ยวข้อง: เป็นการยากที่จะประมาณ CVP ให้อยู่ใน / เกือบเป็นพหุนาม / ปัจจัย: http://dl.acm.org/citation.cfm?id=1005180.1005182 ) ฉันเคยได้ยินมาแล้วว่า (ในแง่ของอัลกอริธึมควอนตัม) การประมาณปัญหาขัดแตะบางอย่าง (เช่น SVP) กับพหุนามขนาดเล็กประมาณนั้นเกี่ยวข้องกับปัญหาของกลุ่มย่อยที่ไม่ Abelian ที่ซ่อนอยู่ (ซึ่งเชื่อว่ายากสำหรับเหตุผลของตัวเอง) แม้ว่าฉันจะไม่เคยเห็นแหล่งที่ชัดเจนและเป็นทางการสำหรับเรื่องนี้ อย่างไรก็ตามฉันสนใจมากขึ้นในผลความแข็ง (ทุกประเภท) ที่มาจากปัญหา Noisy Parity จาก Learning …

11 cc.complexity-theory  reference-request  cr.crypto-security  machine-learning  lg.learning 

ในปี 1975 มิลเลอร์ได้แสดงวิธีลดการแยกตัวประกอบของจำนวนเต็มเพื่อหาระยะเวลาของฟังก์ชันเช่นนั้นf (x + r) = f (x)กับบางสุ่มได้รับการแต่งตั้งค่า &lt;N เป็นที่ทราบกันดีว่าอัลกอริทึมของชอร์สามารถค้นหาr ได้อย่างมีประสิทธิภาพบนคอมพิวเตอร์ควอนตัมในขณะที่เชื่อกันว่าคอมพิวเตอร์แบบคลาสสิกสามารถค้นพบrได้NNNrrrf(x)=axmodNf(x)=axmodNf(x)=a^x\;\bmod\;Nf(x+r)=f(x)f(x+r)=f(x)f(x+r)=f(x)a&lt;Na&lt;Na<Nrrrrrr คำถามของฉันตอนนี้คือจะมีผู้ใดที่รู้จักกันในขอบเขตที่ลดลงในrrrสำหรับสุ่มNNN ? มีขอบเขตใด ๆ ในrrrกำหนดN=pqN=pqN=pqถูกเลือกเหมือนใน RSA หรือไม่? เห็นได้ชัดว่าrrrต้องเป็นΩ(log(N))Ω(log⁡(N))\Omega(\log(N))เป็นอย่างอื่นที่สามารถประเมินf(x)f(x)f(x)บนO(log(N))O(log⁡(N))O(\log(N))คะแนนต่อเนื่องเพื่อหาrrrแบบคลาสสิก มันจะพอเพียงที่จะทำลาย RSA ถ้ามีอัลกอริธึมแฟคตอริ่งระหว่างคลาสสิกซึ่งทำงานภายใต้สมมติฐานบางอย่างเกี่ยวกับการกระจายของrrr , เช่นr∈Θ(N/log(N))r∈Θ(N/log⁡(N))r \in \Theta(N/\log(N))หรือr∈Θ(N−−√)r∈Θ(N)r \in \Theta(\sqrt{N}) ? งานนำเสนอของ Carl Pomerance ใน " The multiplicative order mod nnnโดยเฉลี่ย " อ้างถึงหลักฐานที่rrrคือO(N/log(N))O(N/log⁡(N))O(N/\log(N))โดยเฉลี่ยเหนือNทั้งหมดNNNแต่ฉันไม่แน่ใจว่าอัลกอริทึมแบบดั้งเดิมที่สามารถแยกปัจจัยNNNภายใต้สมมติฐานของr∈O(N/log(N))r∈O(N/log⁡(N))r \in O(N/\log(N))จะทำลาย RSA ได้อย่างแน่นอน NสามารถNNNถูกเลือกให้มีr∈O(N))r∈O(N))r \in O(N))หรือr∈O(N−−√)r∈O(N)r \in …

11 cc.complexity-theory  cr.crypto-security  factoring