Доказательства в

является теорией ограниченной арифметики, то есть слабой аксиоматической теорией, полученной строгим ограничением схемы индукцииарифметики Пеано. Это одна из теорий, определенных Сэмом Буссом в егодиссертации, другие общие ссылки включают в себя главу V «МетаматематикиХайека» и «Пудлака» арифметикипервого порядка, «Ограниченную арифметику, логику высказываний и теорию сложности» Крайчека, глава II Бусса «Руководства». теории доказательствилогические основы сложности доказательствКука и Нгуена. $S^1_2$

Вы можете думать о как о теории арифметики, которая имеет индукцию только для предикатов за полиномиальное время. В частности, теория не доказывает, что возведение в степень является полной функцией, теория может доказать, что существуют только объекты полиномиального размера (грубо говоря). $S^1_2$

Во всех известных доказательствах теоремы Ферма Литтла используются либо объекты экспоненциального размера, либо они основаны на точном подсчете размеров ограниченных множеств (что, вероятно, не определяется ограниченной формулой, т. Е. В полиномиальной иерархии, из-за теоремы Тоды).

Результат по FLT, и факторингу проистекает из работы Краичека и Пудлака. Некоторые следствия криптографических гипотез для и EF , и, на мой взгляд, они вводят в заблуждение. Крайчек и Пудлак доказывают, что если факторинг (фактически, IIRC они указывают это для RSA вместо факторинга, но известно, что аналогичный аргумент работает и для факторинга) трудно для рандомизированного полиномиального времени, то не может доказать утверждение, что каждое число взаимно простой с простым числом имеет конечный показатель степень по модулю , то есть, существует такого , что $S^1_2$ $S^1_2$ $S^1_2$ $a$ $p$ $p$ $k$ $a^k\equiv1\pmod p$ .

Это правда, что это следствие FLT, но на самом деле это гораздо более слабое утверждение, чем FLT. В частности, это утверждение следует из принципа слабой ямы, который, как известно, доказуем в подсистеме ограниченной арифметики (хотя и более сильной, чем ). Таким образом, аргумент Крайчека и Пудлака показывает, что не доказывает принцип слабой ямы, если факторинг не является простым, и как таковой обеспечивает условное отделение от другого уровня ограниченной арифметической иерархии, скажем, . $S^1_2$ $S^1_2$ $S^1_2$ $T^2_2$

Напротив, фактический FLT даже не представляется доказуемым в полной ограниченной арифметике , но это не связано с криптографией. Вы можете найти соответствующую дискуссию в моей статье об абелевых группах и квадратичных вычетах в слабой арифметике . $S_2=T_2$

Эмиль Йержабек
источник

Привет Эмиль: Спасибо за полный ответ. Простите, что снова спросил. Вы пишете: «Все известные доказательства теоремы Ферма Литтла используют либо объекты экспоненциального размера, либо они основаны на точном подсчете размеров ограниченных множеств (что, вероятно, не определяется ограниченной формулой, т. Е. В полиномиальной иерархии, из-за тоды Тоды). теорема) «. Но flt о по модулю

сам по себе экспоненциальный объект?

a^{k}

$a^{k}$

p

$p$

a^{k}

$a^{k}$

T ....

a^{k}

$a^k$

a

$a$

k

$k$

p

$p$

a^{k} mod p

$a^k\bmod p$

Факторная гипотеза говорит о том, что подобные продукты не должны быть эффективно вычисляемыми, в частности, вычисление так же сложно, как и факторинг , так что это вряд ли поможет. Обратите внимание, что даже если произведение вычислилось с помощью алгоритма полиномиального времени, и вы могли бы формализовать его в , все еще довольно неочевидно, как доказать, что такие экспоненциально длинные произведения инвариантны при перестановке мультипликатов (что является основное свойство, используемое в вики-доказательстве).

m! mod n

$m!\bmod n$

n

$n$

S_{2}^{1}

$S^1_2$

Эмиль Йержабек

Нет, этого будет недостаточно. Коммутативность только говорит вам, что произведение двух членов может быть переставлено. Для более длинных продуктов вам нужно было бы установить некий аргумент по индукции, который должен включать продукты более сложной структуры, чем просто модульные арифметические последовательности, используемые в исходном продукте (например, или что-то в этом роде). Если это помогает вашему воображению, в то время как продукты выглядят конечными, в нестандартной арифметической модели набор индексов действительно бесконечен, ...

\prod_{i = 1}^{p - 1} {\begin{cases} i a & if (i a mod p) < k \\ 1 & otherwise \end{cases}

$\prod_{i=1}^{p-1}\begin{cases}ia&\text{if }(ia\bmod p)<k\\1&\text{otherwise}\end{cases}$

[1, p - 1]

$[1,p-1]$

Эмиль Йержабек

... и это даже не упорядоченная последовательность (она содержит копию ).

Q

$\mathbb Q$

Эмиль Йержабек

Доказательства в

Ответы: