RSA 인수 분해보다 더 열심히 정수 인수 분해 문제는 : ?


39

이것은 math.stackexchange 의 크로스 포스트입니다 .


정수 인수 분해 문제를 나타내는 사실을 보자 : 주어진 찾을 소수 및 정수 하도록nN,piN,eiN,n=i=0kpiei.

RSA가 이고 가 소수 인 특수한 인수 분해 문제를 나타냅니다 . 즉, 이러한 인수 분해가없는 경우 소수 또는 NONE을 찾습니다 .n=pqp,qnp,q

분명히 RSA는 FACT의 인스턴스입니다. FACT는 RSA보다 어렵습니까? 다항식 시간에 RSA를 해결하는 오라클을 사용하면 다항식 시간에 FACT를 해결하는 데 사용할 수 있습니까?

(문헌에 대한 포인터는 대단히 높이 평가됩니다.)


편집 1 : 계산력에 대한 제한을 다항식 시간으로 추가했습니다.


편집 2 : Dan Brumleve의 답변 에서 지적했듯이 RSA가 더 어렵거나 더 쉬운 FACT를 주장하고 반대하는 논문이 있다고 지적했습니다 . 지금까지 다음과 같은 논문을 발견했습니다.

D. Boneh와 R. Venkatesan. RSA를 깨는 것이 팩토링보다 쉬울 수 있습니다. EUROCRYPT 1998. http://crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf

D. Brown : RSA를 깨는 것은 팩토링만큼 어려울 수 있습니다. 암호 전자 인쇄 아카이브, 보고서 205/380 (2006) http://eprint.iacr.org/2005/380.pdf

G. Leander와 A. Rupp. 일반 링 알고리즘에 관한 RSA와 팩토링의 동등성 ASIACRYPT 2006 년 http://www.iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

D. Aggarwal과 U. Maurer. 일반적으로 RSA를 깨는 것은 팩토링과 같습니다. EUROCRYPT 2009 년 http://eprint.iacr.org/2008/260.pdf

나는 그들을 통해 결론을 찾아야한다. 이 결과를 알고있는 사람이 요약을 제공 할 수 있습니까?


1
올바르게 기억한다면 을 계산 하거나 d를 찾는 것은 인수 분해와 동일하지만 RSA가 인수 분해보다 약한 방법이있을 수 있습니다. 간단히 말해서 RSA가 인수 분해 문제를 해결하는 것을 의미하지는 않습니다. 동등한 것으로 알려진 공식적인 증거는 없습니다. (내가 아는 한)ϕ(n)
singhsumit

1
Mohammad, 왜 FACT가 RSA에 환원 될 수 없습니까?
Dan Brumleve

1
어쩌면 나는 기본적인 것을 오해하고있을 것입니다. 다항식 시간에서 세미 프라임을 인수 분해하는 알고리즘의 존재가 다항식 시간에서 3 개의 소수 요소를 갖는 숫자를 인수 분해하는 알고리즘의 존재를 의미하지는 않습니까?
Dan Brumleve

6
그것이 무엇인지를 어떻게 알 수 있습니까?
Dan Brumleve

7
언급 된 두 문제 사이에 폴리 타임 감소가 없다면 이것을 보여주기 어려울 것입니다. 다중 시간 감소가 존재하지 않음을 증명하려면 증명해야합니다 . PNP
Fixee

답변:


13

RSA를 깨는 것이 팩토링보다 쉽다는 제목의이 논문을 찾았습니다 . 그들은 주장이 계산 뿌리는 모듈로 번째 인수보다 더 쉬울 수 있습니다 .en=pqn=pq

그러나 그들은 당신이 묻는 질문을 다루지 않습니다 : 형식 의 정수를 인수 분해하는 것이 임의의 정수를 인수 분해하는 것보다 쉬운 지 고려하지 않습니다 . 결과적으로이 답변은 특정 질문과 관련이 없습니다.n=pq


감사! 관련 제목, 상호 참조가있는 다른 여러 논문을 발견했습니다. 아래 링크를 게시하겠습니다. (편집 : 아래 링크가보기

1
D. Boneh와 R. Venkatesan. RSA를 깨는 것이 팩토링보다 쉬울 수 있습니다. EUROCRYPT 1998. crypto.stanford.edu/~dabo/papers/no_rsa_red.pdf D. Brown : RSA를 깨는 것은 인수 분해만큼 어려울 수 있습니다. 암호학 ePrint 아카이브, 보고서 205/380 (2006) eprint.iacr.org/2005/380.pdf D. Aggarwal 및 U. Maurer. 일반적으로 RSA를 깨는 것은 팩토링과 같습니다. EUROCRYPT 2009. eprint.iacr.org/2008/260.pdf G. Leander 및 A. Rupp. 일반 링 알고리즘에 관한 RSA와 팩토링의 동등성 ASIACRYPT 2006. iacr.org/archive/asiacrypt2006/42840239/42840239.pdf

1
초록을 읽었고 Aggarwal과 Maurer 논문은 약간 다른 문제에 관한 것 같습니다 (반원자를 고려하여 phi 함수 계산?) 다른 사람들은 분명히 문제가 열려 있다고 말합니다. 2006 년보다 더 최근의 결과가 없다면 여전히 존재한다고 생각합니까?
Dan Brumleve

1
Boneh와 Venkatesan 논문은 반 초점 분해의 경도 대 RSA 파괴의 경도에 관한 것입니다. 질문이 부르는 "RSA는"합니다 (Boneh-Venkatesan 종이 알 것입니다) RSA 깨는 것보다 더 어려울 수 있습니다 인수 분해 semiprimes의 문제, 사실입니다
Sasho 니콜 로프

4
이 답변은 정확하지 않습니다. 당신은 그 논문들이 무엇을 증명하고 있는지 이해하지 못했습니다. "RSA 문제"는 모듈 식 근 (mod )을 계산하고 을 인수 분해하는 어려움과 관련된 문제를 의미합니다 . 두 경우 모두 은 RSA 번호입니다 (예 : . 따라서 당신이 인용 한 논문은 실제로 당신이 질문 한 문제를 다루지 않습니다. 이 질문의 "RSA 문제"는 해당 논문이 "RSA 문제"라고하는 것과 동일하지 않기 때문에 혼란이 생깁니다. ennnn=pq
DW

19

내가 알 수있는 한, RSA (factoring semiprimes)를위한 효율적인 알고리즘은 FACT (General integers)를위한 효율적인 알고리즘으로 자동 변환되지 않습니다. 그러나 실제로 세미 프라임은 가장 어려운 요소입니다. 가장 작은 소수의 최대 크기가 요인 수에 따라 달라지기 때문입니다. 소수 요소 가 인 정수 의 경우 가장 작은 소수 요소의 최대 크기는 이므로 ( 소수 정리 를 통해 ) 약 가능성. 따라서 증가NfN1ffN1flog(N)f가장 작은 소인수의 가능성을 줄입니다. 이 확률 공간을 연속적으로 줄이는 작동하는 알고리즘은 큰 에 가장 적합하고 가장 적합 합니다. 팩토링되는 숫자에 2 가지 이상의 주요 요소가있을 때 많은 클래식 팩토링 알고리즘이 훨씬 빠르기 때문에 실제로 적용됩니다.ff=2

또한 가장 빠른 알려진 클래식 인수 분해 알고리즘 인 General Number Field Sieve 와 다항식 시간 양자 인수 분해 알고리즘 인 Shor 's 알고리즘 은 비반 유물에 대해서도 동일하게 작동합니다. 일반적으로, 공동 초점에 의한 요소 들이 그것들보다 소수 인 것이 훨씬 더 중요해 보입니다 .

그 이유 중 일부는 팩토링 공동 프라임의 의사 결정 버전이 가장 자연스럽게 약속 문제 라고 설명하기 때문에 반 프라임 인 입력의 약속을 제거하는 방법은 다음 중 하나입니다.

  1. semiprimes에 대한 색인 생성 (자체를 고려하는 것 자체가 어렵다) 또는
  2. 비 반도체를 포함하도록 문제를 일반화함으로써.

후자의 경우 가장 효율적인 알고리즘은 RSA뿐만 아니라 FACT도 해결할 수 있지만, 이에 대한 증거는 없습니다. 그러나 RSA에 대한 오라클이 FACT를 효율적으로 해결할 수 없다는 것이 를 증명할 수 없음을 증명하기 때문에 증거가 거의 요구되지 않습니다 .PNP

마지막으로 RSA (위에서 정의한 팩토링 문제가 아닌 암호화 시스템)는 세미 프라임 이상의 일반화라는 점을 지적 할 가치가 있습니다.


3
Joe, 저는 이 질문에 대해 인수 분해가 (그리고 따라서 )에 있지 않다고 가정하는 것이 합리적이라고 생각합니다. 그리고 그 대답은 마지막 단락에서 언급 한 것처럼 획기적인 복잡성 결과를 의미하지 않습니다. PPNP
Kaveh

1
@ Kaveh : 충분하지 않다고 생각합니다. 인지 여부를 표시하려고합니다 . 이 질문은 귀하의 가정에 따라 다른 답변을 제공합니다. 실제로 P = NP (실제로 P의 FACT 만 필요하지만 P v NP와의 연결을 강조하고 싶다)를 상상하지만 FACT가 P에 없다고 가정합니다. 그러면 환원 다항식 시간 알고리즘을 나타내는, 또는 그 증명함으로써 복잡도에 대해 가정을 RSA위한 다항식 시간 알고리즘을 나타내는 의해 사용 사실. PRSA=PFACTPRSA=PFACTPRSAPFACT
Joe Fitzsimons

1
질문을 " " 로 해석했습니다 . 그렇다면 라면 정답은 예입니다. 따라서 라고 가정 할 수 있으며, 잘못된 가정을하고 있다면 물론 어떤 것도 도출 할 수 있습니다. :)FACTPRSA?FACTPFACTP
Kaveh

@ Kaveh :이 경우 문제의 두 진술이 동일하다고 생각합니다. 필자의 요점은 먼저 P 대 NP를 결정하지 않고 를 증명할 수 있다는 것입니다 . FACTPRSA
Joe Fitzsimons

2

완전한 대답은 아니지만 개선 된 것으로 보입니다.

위에서 인용 한 연구 논문은 루트 루트 모드 N을 계산하는 문제, 즉 RSA 암호 시스템에서 개인 키 작업을 수행하는 문제를 공개 키만 사용하여 인수 분해, 즉 두 경우 모두 개인 키를 찾는 문제와 비교합니다. 이 경우 팩토링 문제는 일반적인 경우가 아니라 semiprime 경우입니다. 다시 말해, 그들은 다른 질문을 고려하고 있습니다.

나는 Knuth의 AoCP를 참조하십시오. 대부분의 숫자 N은 비트 길이가 비트 길이와 N의 비트 길이를 비교하여 평균 1/2, 1/4, 1/8, ..., 또는 2/3, 2/9, 2/27에서와 같이 더 급격히 떨어질 수도 있지만 ... 따라서, 시험 분할 또는 Lenstra의 ECM에 의해 더 작은 요인이 신속하게 발견 될 수있을 정도로 충분히 작은 크기의 일반적인 랜덤 N의 경우, 나머지는 반 평형 일 수 있지만 반 평형 일 수 있습니다. 이것은 일종의 축소이지만 요인 분포에 크게 의존하고 다른 인수 분해 알고리즘을 호출한다는 점에서 느리게 감소합니다.

또한 숫자가 세미 프라임인지 여부를 확인하는 알려진 테스트는 없습니다. 이것은 단지 세미 프라임 인수 분해 알고리즘을 일반 수에 적용하고 항상 실패하면 알 수없는 문제를 해결했음을 의미합니다.


그러나 인수 분해 알고리즘은 다항식 시간에 실행되어야합니다. 그래서 당신은 "다중 시간 분해 알고리즘을 가지고 있다면 알 수없는 문제를 해결했을 것"이라고 말합니다. 순진 인수 분해 알고리즘을 사용하여 숫자가 반 프라임인지 여부를 알 수 있기 때문입니다.
Elliot Gorokhovsky
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.