Limites inférieures de la période en factorisation entière?

En 1975, Miller a montré comment réduire la factorisation de l'entier pour trouver la période d'une fonction telle que f (x + r) = f (x) avec certains choisis au hasard a <N . Il est bien connu que l'algorithme de Shor peut trouver r efficacement sur un ordinateur quantique, alors qu'il est considéré comme insoluble pour un ordinateur classique de trouver r .$N$$r$$f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

Ma question est maintenant: y a-t-il des bornes inférieures connues sur $r$ pour N aléatoire $N$? Y a-t-il des bornes sur $r$ étant donné que $N=pq$ est choisi comme dans RSA? Clairement, $r$ doit être $\Omega(\log(N))$ car sinon on pourrait simplement évaluer $f(x)$ sur $O(\log(N))$ points successifs pour comprendre $r$ classiquement. Suffirait-il de casser RSA s'il y avait un algorithme de factorisation classique qui ne fonctionne que sous certaines hypothèses sur la distribution de $r$ , par exemple $r \in \Theta(N/\log(N))$ ou $r \in \Theta(\sqrt{N})$ ?

Une présentation de Carl Pomerance sur " L'ordre multiplicatif mod $n$ en moyenne " cite la preuve que $r$ est $O(N/\log(N))$ en moyenne sur tout $N$ , mais je ne sais pas si un algorithme classique qui peut factoriser $N$ sous l'hypothèse de $r \in O(N/\log(N))$ romprait définitivement RSA. Peut $N$ être choisi adverserially avoir $r \in O(N))$ ou $r \in O(\sqrt{N})$ ?

(Remarque: il existe une question connexe sur l'affacturage générique contre l'affacturage RSA)

Si , la période sera toujours un diviseur de . Si vous choisissez et pour prime, alors à moins que vous ne soyez incroyablement chanceux, nous aurons . Je crois également que nous pouvons trouver efficacement des nombres premiers avec en choisissant des candidats au hasard et en les testant (cela est vrai si les événements que et$N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$sont premiers sont à peu près indépendants; Je ne sais pas si cela a été prouvé). Ainsi, en choisissant soigneusement vos nombres premiers, RSA sera toujours protégé contre les attaques, même avec l'hypothèse supplémentaire d'une factorisation facile.

Je soupçonne que des nombres aléatoires ou aléatoires sont extrêmement peu susceptibles d'avoir , mais je n'ai pas de preuve de cette désinvolture. L'hypothèse est extrêmement forte, et je ne serais pas surpris si un algorithme de factorisation efficace était déjà connu pour ce cas.$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$