Réduction des produits principaux d'affacturage en produits entiers d'affacturage (dans le cas moyen)

Ma question porte sur l'équivalence de la sécurité des différentes fonctions unidirectionnelles candidates qui peuvent être construites en fonction de la dureté de l'affacturage.

En supposant que le problème de

FACTEUR: [Étant donné pour des nombres premiers aléatoires P , Q < 2 n , trouver P , Q. ]$N = PQ$$P, Q < 2^n$$P$$Q$

ne peut pas être résolu en temps polynomial avec une probabilité non négligeable, la fonction

PRIME-MULT: [Étant donné la chaîne de bits comme entrée, utilisez x comme graine pour générer deux nombres premiers aléatoires P et Q (où les longueurs de P , Q ne sont polynomialement plus petites que la longueur de x ); puis sortez P Q. ]$x$$x$$P$$Q$$P$$Q$$x$$PQ$

peut être montré à sens unique.

Une autre fonction unidirectionnelle candidate est

INTEGER-MULT: [Étant donné des entiers aléatoires en entrée, sortie A B. ]$A, B < 2^n$$A B$

INTEGER-MULT a l'avantage d'être plus facile à définir par rapport à PRIME-MULT. (Notez en particulier que dans PRIME-MULT, il y a une chance (quoique heureusement négligeable) que la graine ne génère pas P , Q qui sont premiers.)$x$$P, Q$

Au moins à deux endroits différents (Arora-Barak, Computational Complexity, page 177, note de bas de page 2) et ( Vadhan's Introduction to Cryptography Lecture Notes ), il est mentionné que INTEGER-MULT est unidirectionnel en supposant une dureté moyenne de l'affacturage. Cependant, aucun de ces deux ne donne la raison ou une référence à ce fait.

La question est donc:

Comment réduire la factorisation polynomiale de avec une probabilité non négligeable en inversant INTEGER-MULT avec une probabilité non négligeable?$N = PQ$

Voici une approche possible (qui, comme nous le verrons, ne fonctionne PAS!): Étant donné , multipliez N par un entier aléatoire beaucoup plus long (mais polynomial) A ′ pour obtenir A = N A ′ . L'idée est que A ' est si grand qu'il a beaucoup de facteurs premiers de taille égale à peu près à P , Q , de sorte que P , Q ne pas « se démarquer » parmi les principaux facteurs de A . Alors A a approximativement la distribution d'un entier uniformément aléatoire à une plage donnée (disons [ $N = PQ$$N$$A'$$A = NA'$$A'$$P, Q$$P, Q$$A$$A$ ). Choisissez ensuite l'entier B au hasard dans la même plage [ 0 , 2 n - 1 ] .$[0,2^n-1]$$B$$[0,2^n-1]$

Maintenant, si un inverseur pour INTEGER-MULT peut, étant donné , avec une certaine probabilité trouver A ′ , B ′ < 2 n tel que A ′ B ′ = A B , l'espoir est que l'un de A ′ ou B ′ contienne P comme un facteur et l'autre contient Q . Si tel était le cas, nous pouvons trouver P ou Q en prenant pgcd de A ' avec N = P Q .$AB$$A', B' < 2^n$$A'B' = AB$$A'$$B'$$P$$Q$$P$$Q$$A'$$N = PQ$

$AB$$A'$$B'$$P$$Q$$A'$$B'$

Y a-t-il une autre approche qui fonctionne?

Ce n'est pas vraiment une réponse, mais cela met en lumière la difficulté de démontrer de telles réductions.

$\mathcal{A}$$n^{-c}$$c \in \mathbb{N}$$n$$\mathcal{A}'$$\mathcal{A}$$n$$n^{-d}$$d \in \mathbb{N}$

$\mathcal{A}^*$$N$ $N = PQR$$P$$Q$$n/4$$R$$n/2$$N$$PQ$$R$$\mathcal{A}^*$$n$$\mathcal{A}^*$

$k$

$2^k / \ln(2^k) - 2^{k-1} / \ln(2^{k-1}) = \Theta(2^k / k)$

$n$

$\frac{\Theta(2^{n/4} / (n/4))^2 \cdot \Theta(2^{n/2} / (n/2))}{2^{n-1}} = \Theta(n^{-3})$

$n$

$\mathcal{A}'$$\mathcal{A}^*$$n$$n^{-d}$$d \in \mathbb{N}$

$\mathcal{A}^*$$PQ$