정수 인수 분해에서 기간의 하한?

1975 년에 Miller는 정수 의 인수 분해를 줄여 함수$N$ 의주기 을 찾는 방법을 보여주었습니다.$r$f ( x + r ) = f ( x ) a < N r $f(x)=a^x\;\bmod\;N$$f(x+r)=f(x)$$a<N$$r$$r$

내 질문은 : 에 임의의 에 대해 알려진 하한이 있습니까? 에 어떤 경계 있는가 주어진 RSA와 같이 선택? 분명히, 은 여야합니다. 그렇지 않으면, 고전적으로 알아 내기 위해 연속 지점에서 를 평가할 수 있습니다 . 분포에 대한 일부 가정 하에서 만 작동하는 고전적 인수 분해 알고리즘이 있다면 RSA를 중단하는 것으로 충분합니까? 예를 들어 또는 ?N r N = p q r Ω ( log ( N ) ) f ( x ) O ( log ( N ) ) r r r ∈ Θ ( N / log ( N ) ) r ∈ Θ ( $r$$N$$r$$N=pq$$r$$\Omega(\log(N))$$f(x)$$O(\log(N))$$r$$r$$r \in \Theta(N/\log(N))$$r \in \Theta(\sqrt{N})$

"에 칼 포머 란스의 프리젠 테이션 곱셈 주문 모드 평균은$n$ "증거 인용 입니다 모든 것을 평균 , 그러나 나는 고전적인 알고리즘에 반영 할 수있는 여부를 확실하지 않다 의 가설 하에서 RSA를 결정적으로 깨뜨릴 것이다. 또는 을 갖도록 을 불리하게 선택할 수 있습니까 ?$r$$O(N/\log(N))$$N$$N$$r \in O(N/\log(N))$$N$$r \in O(N))$$r \in O(\sqrt{N})$

(참고 : 일반 인수 분해와 RSA 인수 분해에 대한 관련 질문 이 있습니다 )

경우 , 기간 항상 제수 것이다 . 당신이 선택하면 및 을 위해 당신이 믿을 수 없을만큼 운이없는 한 총리, 다음, 우리가 할 . 또한 후보를 무작위로 선택하고 테스트하여 소수 를 효율적으로 찾을 수 있다고 생각 합니다 ( 와r ϕ ( N ) = l c m ( p - 1 , q - 1 ) p - 1 = 2 p ′ q - 1 = 2 q ′ p ′ , q ′ r ≥ p ′ q ′ ≈ N / 4 p p = 2 p ' + 1 p $N=pq$$r$$\phi(N)=\mathrm{lcm}(p-1,q-1)$$p-1=2p'$$q-1=2q'$$p',q'$$r \geq p'q' \approx N/4$$p$$p=2p'+1$$p$$p'$소수는 거의 독립적입니다. 이것이 입증되었는지는 모르겠습니다). 따라서 소수를 신중하게 선택하면 RSA는 쉬운 팩토링에 대한 추가 가설이 있어도 공격으로부터 안전하게 보호됩니다.

임의의 숫자 또는 임의의 가 을 가질 가능성이 거의없는 것으로 생각되지만,이 사실에 대한 증거는 없습니다. 가설 은 매우 강력하며,이 경우에 효율적인 팩토링 알고리즘이 이미 알려진 경우 놀라지 않을 것입니다.$N$$N=pq$$r \in O(\sqrt{N})$$r\in O(\sqrt{N})$