二次剰余と整数因数分解

私は、が法とする2次剰余であるかどうかを決定することは、（特にが素数でない場合）数論からの興味深い（そして難しい）問題であることをよく読みます。 $r$ $n$ $n$

この問題の次の特殊なケースを見ていますとを2つの異なる素数とし、ます。と間のが与えられます。ようなが存在するかどうかを判断します。 $p$ $q$ $n:=pq$ $r$ $1$ $n$ $x\in\mathbb{Z}/n\mathbb{Z}$ $x^2\equiv r\pmod{n}$

私の質問は次のとおりです。この問題の機能バージョン、つまり「上記のような $x$ を検索」は、整数因数分解のためのランダム化されたアルゴリズムを生成します。したがって、「RSAの破壊」などの実用的な理由から、非常に興味深いものです。この問題の決定バージョンについて、そのような結果はありますか？そうでない場合、二次残差を決定することは難しい問題であると私たちに考えさせる典型的な問題は何ですか？

さらに、私が見ている特別なケースは本当に特別なケースですか？または、上記の決定問題のオラクルで任意の $n$ を使用して一般的なケースを解決できますか？

cryptography number-theory

— 生まれ
ソース

二次残差問題に関するWikipediaの記事を参照してください。そこあまりないですが、それがされファクタリングの問題などとは別の計算硬度の前提として記載されています。また、因数分解することはできませんが、がまたは素数の積であるかどうかを判断できます。（また、いいえに答えるのが簡単な場合もあります。実際、そのようなすべてのの半分がそうです。他の半分の「はい」インスタンスと「いいえ」インスタンスを区別するのは難しいことです。）

n

$n$

n

$n$

2

$2$

3

$3$

r

$r$

— ShreevatsaR

Tibor JagerとJörgSchwenkは、因数分解の仮定のもとでのサブセットメンバーシップ問題の一般的な硬さで、因数分解が一般的なリングアルゴリズムの Jacobiシンボル1を持つ数からの2次残差の識別に減少することを示しています。これらは、整数に対する「API」のみがリング演算（加算、乗算、減算、除算）、等値比較、およびランダム要素の生成であるアルゴリズムです。また、多項式時間で効率的に計算できるヤコビシンボルには、効率的な汎用リングアルゴリズムがないことも示しています。ですから、彼らの結果はあなたの質問に答えません、それは答えが知られていないことを暗示することを除いてです。

— ユヴァルフィルムス
ソース