意味：「「大きな整数を因数分解するのが難しいなら、RSAを破ることは難しい」ということは証明されていません」

30

私はCLRSを読んでいたと言われています：

大きな整数を因数分解するのが簡単な場合、RSA暗号システムを破るのは簡単です。

と知識があれば、公開鍵の知識が秘密鍵を作成するのは簡単だからです。しかし、それは逆の声明を説明しますが、私はそれをまったく理解していません： $p$ $q$

大きな整数を因数分解するのが難しい場合、RSAを破ることは難しいという逆のステートメントは証明されていません。

上記の文は正式にはどういう意味ですか？ファクタリングが難しい（正式な方法で）と仮定した場合、なぜRSA暗号システムを破ることが難しいことを意味しないのでしょうか？

ここで、ファクタリングが困難であると仮定した場合、およびRSA暗号システムが破られにくいことを意味することを発見したと考えてください。それは正式に何を意味するのでしょうか？

cryptography

— チャーリー・パーカー
ソース

3

RSAを破ることは難しいことを暗示しているかもしれませんが、証明されていません。

— トムファンデルザンデン

2

「非常に類似した」RSAを破る中心にある離散対数問題は、因数分解と同等であることが証明されていません。その分野の主要な未解決の問題（暗号とTCSの両方）

— vzn

1

2番目はコンマの代わりにダッシュを使用すべきではありませんか？従属節の中にコンマがある場合、ダッシュは使用されませんか？ The converse statement -- that if factoring large integers is hard, then breaking RSA is hard -- is unproven.

— Czipperz

@ruakh：おっと、ええ...私もそれを再確認することを確認しましたが、まだ間違っていました。少なくとも現在の問題と同じくらい難しいとわかっている問題ではなく、簡単であるとわかっている問題に還元することになっていることを忘れがちです。:-)それをありがとう、私はそれを削除しました。

— Mehrdad

数学的な引数： "if、then "は "if not、then not

" と同じ意味です。「

、

でもない」ということは言えません。

A

$A$

B

$B$

B

$B$

A

$A$

A

$A$

B

$B$

— -drzbir

50

それについて考える最も簡単な方法は、反陽性を考えることです。

ステートメント：

大きな整数を因数分解するのが難しい場合、RSAを破ることは難しい

以下と同等です：

RSAを破るのが簡単な場合、大きな整数の因数分解は簡単です

この声明は証明されていません。

彼らが言っているのは、多項式時間の因数分解を解決するアルゴリズムがあると仮定することです。次に、それを使用して、多項式時間でRSAを解くアルゴリズムを構築できます。

しかし、整数の因数分解を伴わないRSAをクラックする他の方法があります。多項式時間で整数を因数分解できない方法でRSAをクラックできる可能性があります。

要するに、RSAは少なくともファクタリングと同じくらい簡単であることを知っています。考えられる結果は2つあります。RSAとファクタリングは同等の難易度です。または、RSAはファクタリングよりも厳密に簡単な問題です。どちらが当てはまるかわかりません。

— jmite
ソース

10

「少なくとも同じくらい簡単」-これは、他の方法とともにより明確に教えられるべき還元を解釈する方法です。

— G.バッハ

いずれにしても、Xが少なくともYと

— 同じくらい硬けれ

2

それは私が意図したことです-ほとんどの人はおそらく「Xは少なくともYと同じくらい難しい」と聞いていますが、「Yは少なくともXと同じくらい簡単です」と説明されることはほとんどありません-それは同じくらい便利です。

— G.バッハ

1

ドナルド・クヌースが、任意のRSA暗号化メッセージを魔法のように解読できるマシンが2つの大きな素数の積を因数分解できるアルゴリズムを述べたことを漠然と覚えているようです。私はこれが間違っているかもしれません:

— gnasher729

31

難しい方法の存在は、簡単な方法がないことを意味しません。

RSAを破る方法はいくつかありますが、そのうちの1つを見つけるだけで済みます。

これらの方法の1つは、大きな整数を因数分解することです。したがって、それが簡単な場合、この方法で行うことができ、RSAは壊れています。これは、私たちがまだ知っている唯一の方法でもあります。それが不可能な場合でも、nからpとqを明示的に計算する必要なしに、タスクを実行するための計算負荷の少ない別の方法を見つけることができます。

RSAが壊れていることを証明するには、それを行う1つの方法が簡単であることを証明する必要があります。

RSAが安全であることを証明するためには、RSA を実行するすべての方法が難しいことを証明する必要があります。

最後に、暗号文から情報を抽出する他のより簡単な方法が存在しないことは証明されていないため、ステートメントは証明されていません。

— Rainer P.
ソース

1

特別なRSA暗号化メッセージを生成し、クラッキングしてからさらに計算を行うことで、2つの大きな素数の積を因数分解できるアルゴリズムを作成できれば、RSAと因数分解が同様に困難であることを証明できます。つまり、RSAはファクタリングよりも簡単ではありません。簡単でも難しいことでもありません。

— gnasher729

@ gnasher729それで十分でしょうか？アルゴリズムが2つの大きな素数の積を因数分解できるが、3つ以上の素数を含む積、または小さい素数を含む積ではない場合

— オタクコード

@RSAは、互いに素な要素にのみ依存すると思います。したがって、複数の要因の製品を回避することは簡単です。

— Taemyr

10

それを見るもう1つの方法は、RSAを破るには、ファクタリングの一般的な質問に関係なく簡単な場合とそうでない場合がある、ファクタリングの特別な場合のみが必要なことです。

$3$

— ランG.
ソース

7

つまり、RSAの問題は（現時点では）因数分解よりも具体的であると思われます。

$pq$ $e,$ $v,$ $m$ $v \equiv m^e \mod pq$

$pq,$ $p$ $q$

$d$ $m \equiv v^d$

$m$

実際、1998年にBonehとVenkatesanは、特定の単純なクラスのアルゴリズム（プラス、時間、指数、XOR / NANDタイプのものは使用できない）を使用してRSA問題ソリューションをファクタリングアルゴリズムに変換できないことを証明しました。引数には単純な工夫がありました。これらの算術演算を数学的に操作することにより、「縮約アルゴリズム」（正確さのために：これはセミプライムにRSA「オラクル」を使用してセミプライムを因数分解するアルゴリズム）が変わることがわかります独自のファクタリングアルゴリズムであるため、そのオラクルを呼び出さないバリアントに変更できます。つまり、（a）そのようなリダクションアルゴリズムがないか、（b）リダクションアルゴリズムに優れた算術解釈がないか、（c）リダクションアルゴリズムがそうであったように多項式時間であるかのどちらかです。

— CR Drost
ソース

p

$p$

q

$q$

n

$n$

e

$e$

d

$d$

実際、@ Gillesはあなたが正しいと思うので、それに応じて答えを修正しました。

— CR Drost

3

$\log_e C$ $\mathbb{Z}_{m}$ $e$ $m$ $C$

これら2つの数学的なタスクは関連していますが、（私が正しく覚えていれば）1つの解決策が他の解決策を意味しないと考えられています。RSAを数学的に破る唯一の2つの方法であるかどうかはわかりません。

— ズウォル
ソース

m

$m$

m

$m$