Сокращение факторинга основных продуктов до факторизации целочисленных продуктов (в среднем случае)

Мой вопрос касается эквивалентности безопасности различных односторонних функций-кандидатов, которые могут быть построены на основе сложности факторинга.

Предполагая проблему

ФАКТОРИНГ: [Дано для случайных простых чисел , найти , ]P , Q < 2 n P $N = PQ$$P, Q < 2^n$$P$$Q$

невозможно решить за полиномиальное время с незначительной вероятностью, функция

PRIME-MULT: [Учитывая битовую строку качестве входных данных, используйте в качестве начального числа для генерации двух случайных простых чисел и (где длины , только полиномиально меньше длины ); затем выведите .]x P Q P Q x P $x$$x$$P$$Q$$P$$Q$$x$$PQ$

может быть показано, чтобы быть односторонним.

Еще одна кандидатная односторонняя функция

INTEGER-MULT: [Учитывая случайные целые числа качестве входных данных, выводить .] A $A, B < 2^n$$A B$

INTEGER-MULT имеет то преимущество, что его легче определить по сравнению с PRIME-MULT. (Обратите внимание, в частности, что в PRIME-MULT существует вероятность (хотя, к счастью, незначительная), что начальное число не может генерировать которые являются простыми.)P , $x$$P, Q$

По крайней мере, в двух разных местах (Арора-Барак, Вычислительная сложность, с. 177, сноска 2) и ( Примечания к лекции Вадхана «Введение в криптографию» ) упоминается, что INTEGER-MULT является односторонним методом, предполагающим среднюю твердость факторинга. Тем не менее, ни один из этих двух не дает причину или ссылку на этот факт.

Итак, вопрос:

Как мы можем уменьшить в полиномиальном факторе времени с незначительной вероятностью до инвертирования INTEGER-MULT с незначительной вероятностью?$N = PQ$

Вот возможный подход (который, как мы увидим, НЕ работает!): Учитывая , умножьте N на гораздо более длинное (хотя и полиномиально) случайное целое число A ′, чтобы получить A = N A ′ . Идея заключается в том , что " настолько велика , что она имеет множество простых делителей размером примерно равен P , Q , так что P , Q не«выделяться»среди главных факторов A . Тогда A имеет приблизительно распределение равномерно случайного целого числа в заданном диапазоне (скажем, [ $N = PQ$$N$$A'$$A = NA'$$A'$$P, Q$$P, Q$$A$$A$ ). Затемслучайным образомвыберите целое число B из того же диапазона [ 0 , 2 n - 1 ] .$[0,2^n-1]$$B$$[0,2^n-1]$

Теперь, если инвертор для INTEGER-MULT может, учитывая , с некоторой вероятностью найти A ′ , B ′ < 2 n, такой, что A ′ B ′ = A B , есть надежда, что один из A ′ или B ′ содержит P как фактор , а другой содержит Q . Если бы это было так, то мы можем найти P или Q , взяв НОД А ' с N = P Q .$AB$$A', B' < 2^n$$A'B' = AB$$A'$$B'$$P$$Q$$P$$Q$$A'$$N = PQ$

Проблема состоит в том, что инвертор может выбрать разделение основных факторов, например, помещая малые факторы в A ′ и большие в B ′ , так что P и Q заканчиваются как в A ′, так и в обоих в B ′ .$AB$$A'$$B'$$P$$Q$$A'$$B'$

Есть ли другой подход, который работает?

Это не совсем ответ, но он проливает некоторый свет на трудность демонстрации таких сокращений.

Задача может быть обобщена следующим образом: Пусть - алгоритм, который решает задачу INTEGER-MULT с пренебрежимо малой вероятностью. Пусть эта вероятность будет по крайней мере n - c для некоторой константы c ∈ N (когда размер ввода равен n ). Докажите , что существует PPT (вероятностное полиномиальное время) алгоритм A ' , который использует A в качестве подпрограммы и решает экземпляр задачи FACTORING размера п с вероятностью по крайней мере п - г , для некоторой константы D ∈ N .$\mathcal{A}$$n^{-c}$$c \in \mathbb{N}$$n$$\mathcal{A}'$$\mathcal{A}$$n$$n^{-d}$$d \in \mathbb{N}$

Рассмотрим алгоритм который решает задачу INTEGER-MULT тогда и только тогда, когда вход N имеет специальное значение из N = P Q R , где P и Q - простые числа размера n / 4, а R - простое число размера n / 2. и в противном случае не удается. Кроме того, на входе целое число N указанного выше вида, он выводит P Q и R . Сначала покажем, что A$\mathcal{A}^*$$N$ $N = PQR$$P$$Q$$n/4$$R$$n/2$$N$$PQ$$R$$\mathcal{A}^*$имеет ничтожную вероятность решения задачи INTEGER-MULT. Для этого достаточно найти долю битных целых чисел специального вида, так как эта доля ограничивает вероятность успеха A ∗ снизу.$n$$\mathcal{A}^*$

По теореме простых чисел число простых чисел, размер которых равен -битам:$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

Следовательно, доля битных целых чисел специальной формы составляет:$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

что немаловажно в .$n$

Таким образом, следует иметь возможность доказать существование РРТ алгоритм , который использует A * в качестве подпрограммы и решает экземпляр задачи FACTORING размера п с вероятностью по крайней мере п - г , для некоторой константы D ∈ N .$\mathcal{A}'$$\mathcal{A}^*$$n$$n^{-d}$$d \in \mathbb{N}$

ИМХО, это кажется очень трудной задачей, так как только (частично) разлагается целые специальной формы, и не кажется , что должен быть способ , чтобы использовать его для разложения чисел вида P Q .$\mathcal{A}^*$$PQ$