整数分解問題はRSA分解より難しいですか？？

これは、math.stackexchangeからのクロスポストです。

ような素数整数与えられた、FACTが整数因数分解問題を表すとします $n \in \mathbb{N},$ $p_i \in \mathbb{N},$ $e_i \in \mathbb{N},$ $n = \prod_{i=0}^{k} p_{i}^{e_i}.$

RSAは、およびが素数である因数分解問題の特殊なケースを示します。つまり、素数またはそのような因数分解がない場合はNONEを見つけます。 $n = pq$ $p,q$ $n$ $p,q$

明らかに、RSAはFACTのインスタンスです。FACTはRSAよりも難しいですか？多項式時間でRSAを解くオラクルを考えると、多項式時間でFACTを解くのに使用できますか？

（文献へのポインタは大歓迎です。）

編集1：計算時間の制限を多項式時間に追加しました。

編集2：Dan Brumleveによる回答で指摘されているように、FACTよりも難しい（または簡単な）RSAを支持する、または反対する論争がある論文があるという。これまでに次の論文を見つけました。

D.ボーネとR.ベンカテサン。RSAを破る方が、ファクタリングよりも簡単かもしれません。EUROCRYPT1998。http ：//crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf

D.ブラウン：RSAを破ることは、ファクタリングと同じくらい難しいかもしれません。Cryptology ePrint Archive、Report 205/380（2006）http://eprint.iacr.org/2005/380.pdf

G.リアンダーとA.ラップ。汎用リングアルゴリズムに関するRSAとファクタリングの等価性について。ASIACRYPT2006。http ： //www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

D.アガーワルとU.マウラー。RSAを一般的に破ることは、ファクタリングと同等です。EUROCRYPT2009。http ：//eprint.iacr.org/2008/260.pdf

私はそれらを調べて結論を見つけなければなりません。これらの結果を知っている人は要約を提供できますか？

— コミュニティ
ソース

私の記憶が正しければ、計算またはdの検出は因数分解と同等ですが、RSAが因数分解よりも弱い方法があるかもしれません。要するに、RSAは因数分解問題の解決を意味しないかもしれません。それらは同等であるために知られている正式な証明ません（私の知る限り）。

ϕ (n)

$\phi(n)$

— singhsumit

Mohammad、なぜFACTはRSAに還元できないのですか？

— ダンブルムレーヴ

たぶん私は何か基本的なことを誤解しています。多項式時間でセミプライムを因数分解するアルゴリズムの存在が、多項式時間で3つの素因数を持つ数を因数分解するアルゴリズムの存在を意味しないことをどのように示すか？

— ダンブルムレーヴ

それがそれが何であるかをどのように知っていますか？

— ダンブルムレーヴ

述べられている2つの問題の間に時間の短縮がない場合、これを示すのは難しいでしょう？削減が存在しないことを証明するには、を証明する必要があります。

P \neq N P

$P\neq NP$

— -Fixee

回答:

RSAを破るということは、ファクタリングより簡単かもしれないというタイトルのこの論文を見つけました。彼らは主張しているコンピューティング根はモジュロ番目ファクタリングよりも簡単かもしれない。 $e$ $n=pq$ $n=pq$

しかし、彼らはあなたが尋ねた質問に対処しません：彼らはの形式の整数を因数分解することは任意の整数を因数分解するより簡単かもしれないかどうかを考慮しません。結果として、この回答は特定の質問とはほとんど無関係です。 $n=pq$

— ダン・ブルムレーヴ
ソース

ありがとう！関連タイトル、相互参照を含む他の論文をいくつか見つけました。以下にリンクを掲載します。（編集：以下のリンクはいです。コメントで適切な書式設定を取得できません。）

D.ボーネとR.ベンカテサン。RSAを破る方が、ファクタリングよりも簡単かもしれません。EUROCRYPT 1998. crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf D.ブラウン：RSAを破ることは、ファクタリングと同じくらい難しいかもしれません。Cryptology ePrint Archive、レポート205/380（2006）eprint.iacr.org/2005/380.pdf D. AggarwalおよびU. Maurer。RSAを一般的に破ることは、ファクタリングと同等です。EUROCRYPT 2009. eprint.iacr.org/2008/260.pdf G. LeanderおよびA. Rupp。汎用リングアルゴリズムに関するRSAとファクタリングの等価性について。ASIACRYPT 2006 iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

アブストラクトを読みますが、AggarwalとMaurerの論文は、わずかに異なる問題（セミプライムとphi関数の計算のどちらか）についてのもののようです。2006年よりも最近の結果がない限り、それはまだだと思いますか？

— ダンブルムレーヴ

BonehとVenkatesanの論文は、ファクタリングセミプライムの硬度とRSAの破れの硬度に関するものであることを言及する価値があるでしょう。質問が「RSA」と呼ぶものは、実際にはセミプライムの因数分解の問題であり、これはRSAを破るより難しいかもしれません（これはBoneh-Venkatesanの論文が示唆するものです）

— Sasho Nikolov

この答えは正しくありません。あなたはそれらの論文が証明していることを誤解しています。「RSA問題」とは、モジュラー thルート（mod）を計算し、それをの因数分解の難しさに関連付ける問題を意味します。どちらの場合も、はRSA番号、つまりです。したがって、引用する論文は、実際にあなたが尋ねた質問に取り組んでいない。ここで混乱が生じるのは、質問の「RSA問題」がそれらの論文が「RSA問題」と呼ぶものと同じではないからです。

e

$e$

n

$n$

n

$n$

n

$n$

n = p q

$n=pq$

— DW

私が見る限り、セミプライム（RSA）を因数分解するための効率的なアルゴリズムは、一般整数（FACT）を因数分解するための効率的なアルゴリズムに自動的に変換されません。ただし、実際には、セミプライムは因数分解が最も難しい整数です。この理由の1つは、最小素数の最大サイズが因子の数に依存することです。素因数を持つ整数場合、最小素因数の最大サイズはであるため、（素数定理を介して）およそこの可能性。したがって、 $N$ $f$ $\lfloor N^\frac{1}{f} \rfloor$ $\frac{f N^\frac{1}{f}}{\log(N)}$ $f$ 最小の素因数の可能性の数を減らします。この確率の空間を連続的に削減するように機能するアルゴリズムは、大きな最適に機能し、最悪に機能します。多くの古典的な因数分解アルゴリズムは、因数分解される数に2つ以上の素因数がある場合、はるかに高速であるため、これは実際に裏付けられています。 $f$ $f=2$

さらに、一般的な最速の既知の因数分解アルゴリズムである一般数場ふるい、および多項式時間量子因数分解アルゴリズムであるShorのアルゴリズムは、非準素に対しても同様に機能します。一般に、因子が素数であるというよりも、素数による因子の方がはるかに重要であると思われます。

この理由の一部は、因数分解のコプライムの決定バージョンが最も自然に約束問題として記述されていることであり、セミプライムである入力の約束を削除する方法は

セミプライムにインデックス付けを導入します（それ自体はファクタリングと同じくらい難しいと思われます）、または
問題を一般化して、非準プリムを含めます。

後者の場合、最も効率的なアルゴリズムがRSAと同様にFACTを解決する可能性が高いようですが、私はこれを証明していません。ただし、これがFACTを効率的に解決できないことを証明するRSAのオラクルを考えると、を証明することになるため、証拠を求めるのは少々大変です。 $P\neq NP$

最後に、RSA（上で定義した因数分解の問題ではなく暗号システム）が半素数を超えて簡単に一般化されることを指摘する価値があります。

— ジョー・フィッツシモンズ
ソース

ジョー、この質問の因数分解は（したがって）にないと仮定するのは合理的だと思います（そして、最後の段落で述べたように、答えは突破的な複雑さの結果を意味しません）。

P

$P$

P \neq N P

$P \neq NP$

— カヴェー

@Kaveh：それだけでは不十分だと思います。かどうかを示したい。この質問には、あなたが行った仮定に応じて異なる答えがあります。現実Pに= NP（実際には、我々は唯一のPでFACTが必要ですが、私はP V NPへの接続を強調したかった）、私たちはFACTがP.されていないことを前提に、あることを証明することが可能である作ることを想像は、リダクションの多項式時間アルゴリズムを示すことにより、またはがRSAの多項式時間アルゴリズムを示すことにより、複雑さに関する仮定を使用することにより、事実の。

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} = P^{F A C T}

$P^{RSA} = P^{FACT}$

P^{R S A} \neq P^{F A C T}

$P^{RSA} \neq P^{FACT}$

— ジョーフィッツシモンズ

質問を「」と解釈しました。その後、場合、答えはイエスです。したがって、であると仮定できます。誤った仮定を立てている場合は、もちろん何でも導出できます。:)

F A C T \in P^{R S A} ?

$FACT \in P^{RSA}?$

F A C T \in P

$FACT \in P$

F A C T \notin P

$FACT \notin P$

— カベ

@Kaveh：この場合、問題の2つのステートメントは同等であると思います。私の要点は、P対NPを最初に決定することなく、その逆ではなく、でを証明することは潜在的に可能であるということです。

F A C T \in P^{R S A}

$FACT \in P^{RSA}$

— ジョーフィッツシモンズ

完全な答えではありませんが、改善されているようです：

上記で引用した研究論文では、eth roots mod Nの計算、つまりRSA暗号システムでの秘密鍵操作の問題を、ファクタリングの問題、つまりどちらの場合も公開鍵のみを使用して秘密鍵を見つける問題と比較しています。この場合、因数分解の問題は一般的なケースではなく、半素数のケースです。言い換えれば、彼らは別の質問を検討しています。

KnuthのAoCPを参照してください。ほとんどの数値Nの素因数分解のビット長はNのビット長と比較され、平均で1 / 2、1 / 4、1 / 8、...または、2 / 3、2 / 9、2 / 27などのように、より急激に低下することもありますが、平坦化される可能性があります。そのため、試行分割またはLenstraのECMでより小さいファクターをすぐに見つけることができるほど十分に小さいサイズの一般的なランダムNの場合、バランスの取れていないものが残ってもセミプライムになる可能性があります。これは一種の削減ですが、因子の分布に大きく依存し、他の因子分解アルゴリズムを起動するという点でゆっくりとした削減です。

また、数値が半素数であるかどうかを判断するための既知のテストはありません。これは、セミプライム因数分解アルゴリズムを一般的な数に適用しただけで、常に失敗した場合にのみ、未知の問題を解決したことを意味します。

— user18217
ソース

ただし、分解アルゴリズムは多項式時間で実行する必要があります。本当にあなたは「多時間分解アルゴリズムがあれば、未知の問題を解決できただろう」と言っているのです。素因数分解アルゴリズムを使用して、数値が半素数かどうかを調べることができるためです。

— エリオットゴロホフスキー