整数因数分解の期間の下限？

1975年に、ミラーが示されている整数の因数分解低減する方法期間見つけることに関数のようにランダムに選択されます。Shorのアルゴリズムが量子コンピューターで効率的に見つけることができるのはよく知られていますが、古典的なコンピューターではを見つけるのは難しいと考えられています。$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

私の質問は次のとおりです：ランダム既知の下限はありますか？上の任意の限界がある与えられた RSAのように選択されていますか？明らかに、でなければならないひとつ評価することができ、さもなければとして上のを把握する連続する点を古典。古典ファクタリングのみの配布にいくつかの仮定の下で動作するアルゴリズムがあった場合には、RSAを破るために十分である例えば、または？$r$$N$$r$$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

「平均で乗数mod $n$平均」に関するCarl Pomeranceのプレゼンテーションでは、$r$がすべてのNにわたって平均で$O(N/\log(N))$であるという証拠を引用していますが、Nを因数分解できる古典的なアルゴリズムがr \ in O（N / \ log（N））の仮説では、RSAは最終的に破られます。Nは逆にr \ in O（N））またはr \ in O（\ sqrt {N}）を持つように選択できますか？$N$$N$$r \in O(N/\log(N))$$N$$r \in O(N))$$r \in O(\sqrt{N})$

（注：一般的なファクタリングとRSAファクタリングには関連する質問があります）

場合、期間常にの除数であろう。あなたが選択した場合とのためのプライムをあなたは信じられないほど幸運でない限り、それから、我々は持つことになります。また、候補をランダムに選択してテストすることで、素数を効率的に見つけることができると考えています（とイベントが$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$素数はほぼ独立しています。これが証明されたかどうかはわかりません）。したがって、素数を慎重に選択することにより、RSAは、簡単なファクタリングに関する追加の仮説があっても、攻撃に対して安全です。

乱数または乱数がを持っている可能性は非常に低いと思われますが、この裏技の証拠はありません。仮説は非常に強力であり、この場合に効率的なファクタリングアルゴリズムが既に知られていても驚かないでしょう。$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$